SQL Server 安全篇——安全元数据(4)——加密(Ecryption)元数据

最新推荐文章于 2023-05-30 15:33:19 发布
置顶 最新推荐文章于 2023-05-30 15:33:19 发布
阅读量857 收藏 1
点赞数
分类专栏: 数据库管理 DBA 安全 SQL Server Security 文章标签: SQL Server DBA 安全 元数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DBA_Huangzj/article/details/79163194
版权
数据库管理 同时被 3 个专栏收录
277 篇文章 39 订阅
订阅专栏
DBA
186 篇文章 6 订阅
订阅专栏
安全
65 篇文章 0 订阅
订阅专栏

本文属于SQL Server安全专题系列


     这里需要注意,加密不是动词,而是指关于加密功能的元数据。SQL Server作为成熟的数据库管理系统,必须有加密功能,而加密功能又需要有一定的元数据作为协助,不然对于用户或者DBA来说会很难使用。本文重点介绍在SQL Server 2016出现的Always Encrypted(始终加密)和2008开始出现的TDE功能的元数据。


Always Encrypted:

     简称AE。始终加密包含了两部分,列主密钥(column master keys)和列加密密钥(column encryption keys),两者是一对多的关系,因此,元数据也需要体现出这种关系。这两部分的元数据主要来自于:sys.column_encryption_keyssys.column_encryption_key_valuessys.column_master_keys目录视图,它们组合成一个层次结构用来显示列主密钥和列加密密钥的关系。

     本文不是专门介绍AE的,所以这里不打算展开太多,下面我们快速来实操一下AE,首先我们要使用SQL Server 2016及以上版本,因为这个是2016才引入的功能。然后下载一个AdventureWorks2016做演示。按照图中的方式打开:


打开之后的样子:


在这里,输入列主密钥的名字和选择存储类型:

这里选择使用【Windows证书存储-当前用户】,然后点击左下角的【生成证书】,可以看到多了一行: 现在列主密钥已经创建完毕,接下来创建列加密密钥,按照上面的方式打开:


选择名字及对应的列主密钥:


点击确定之后,完成密钥的创建。接下来我们找个数据来加密一下。这里暂时不解释细节问题。

我们使用AdventureWorks2016中的Sales.CreditCard表加密信用卡号(CardNumber)、过期月份(ExpMonth)和过期年份(ExpYear)三列。


注意状态:在选择了【加密类型】后,cardnumber变成【警告】状态。因为它需要改变列的排序规则以便支持BIN2。而modifiedData由于是不支持AE的数据类型所以不能使用AE功能。


因为这里只是简单演示,所以不做详细截图。

下面的语句用来展开始终加密的信息:

SELECT t.NAME AS TableName
	,c.NAME AS ColumnName
	,c.encryption_type_desc
	,c.encryption_algorithm_name
	,cek.NAME AS ColumnEncryptionKeyName
	,cev.encrypted_value
	,cev.encryption_algorithm_name
	,cmk.NAME AS ColumnMasterKeyName
	,cmk.key_store_provider_name AS column_master_key_store_provider_name
	,cmk.key_path
FROM sys.columns c
INNER JOIN sys.column_encryption_keys cek ON c.column_encryption_key_id = cek.column_encryption_key_id
INNER JOIN sys.tables t ON c.object_id = t.object_id
JOIN sys.column_encryption_key_values cev ON cek.column_encryption_key_id = cev.column_encryption_key_id
JOIN sys.column_master_keys cmk ON cev.column_master_key_id = cmk.column_master_key_id;

    结果如下:虽然看起来没什么价值,但是一旦开启某些功能,那么对这些功能的状态收集就很有必要。

TDE元数据:

     在元数据层面,TDE跟AE是很像的。TDE有sys.databasessys.certificatessys.database_encryption_keys目录视图来综合表现。在sys.databases视图中包含了一列is_encrypted列,这列Bit类型中0代表没有用TDE加密,而1则表示已加密,注意这里是指TDE加密而不是其他加密。如果库已经使用了TDE加密,则关联sys.certificates获取加密密钥。密钥的信息又从sys.database_encryption_keys中展示。

 关于TDE的元数据有挺多使用场景,比如:

     1. 列出已使用TDE的数据库: 
SELECT name 
FROM sys.databases 
WHERE is_encrypted = 1 ;

     2. 检查证书是否已经备份: 
SELECT 
     DB_NAME(dek.database_id) AS DatabaseName 
    ,c.name AS CertificateName 
FROM AdventureWorks2014.sys.dm_database_encryption_keys dek 
INNER JOIN master.sys.certificates c 
ON c.thumbprint = dek.encryptor_thumbprint 
WHERE c.pvt_key_last_backup_date IS NULL ;

    3. 还有一个非常实用的需求——加密实例上N个数据库,此时就可以使用元数据来实现。这个脚本首先创建使用一个服务器证书用于加密每个数据库的数据库加密密钥(database encryption key),然后使用sp_msforeachdb来遍历每个数据库。在循环内部检查是否为数据库,是否已经进行了TDE加密: 
USE  master 
GO 
CREATE CERTIFICATE TDECert WITH SUBJECT = 'My DEK Certificate'; 
GO 
EXEC sys.sp_MSforeachdb @command1 = 'USE ? 
IF (SELECT DB_ID()) > 4 
BEGIN 
    IF (SELECT is_encrypted FROM sys.databases WHERE database_id = DB_ID()) 
= 0 
        BEGIN 
        CREATE DATABASE ENCRYPTION KEY   
        WITH ALGORITHM = AES_128   
        ENCRYPTION BY SERVER CERTIFICATE TDECert 
        ALTER DATABASE ?   
        SET ENCRYPTION ON 
        END 
END' ;


总结:

     本文只介绍了一些脚本,还有一些相关视图,内容很少,但是作者希望读者能看出“方法”、“思路”,然后根据实际情况进行改造,举一反三地扩展。

    移除AE的方法可以查看 “SQL Server 安全篇——SQL Server加密(2)——加密数据”


發糞塗牆
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL Server 存储过程with encryption解密
qq_38754559的博客
04-16 3845
先把下面的存储过程在要解密的存储过程的数据库上创建 然后新建查询 再右击连接->更改连接,然后在服务器名称输入admin:127.0.0.1,点击连接 输入以下代码更改要解密的数据库 exec dbo.sp__procedure$decrypt ‘数据库.存储过程’,1 看完提示后保证都做好了备份,再把1改成0再次运行 2000版本的直接创建存储,再进行解密就行了 exec sp_decr...
sql server 加密_SQL Server 2016中的新功能–始终加密
culuo4781的博客
07-17 1713
sql server 加密 There are many new features in SQL Server 2016, but the one we will focus on in this post is: SQL Server 2016中有许多新功能,但本文中我们将重点介绍的功能是: Always encrypted 始终加密 A feature many c...
AES-1:在java中使用256位密钥的AES ecryption
06-10
AES 高级加密标准使用 256 位密钥和 14 轮来加密和解密 Java 中的给定文本。
SQL Server安全(8/11):数据加密(Data Encryption)
weixin_34235457的博客
04-05 251
在保密你的服务器和数据,防备当前复杂的攻击,SQL Server有你需要的一切。但在你能有效使用这些安全功能前,你需要理解你面对的威胁和一些基本的安全概念。这篇文章提供了基础,因此你可以对SQL Server里的安全功能充分利用,不用在面对特定威胁,不能保护你数据的功能上浪费时间。 从让人眼花缭乱的客户端使用连接,通过到处分布的网络,尤其是互联网,关系数据库在各种应用程序里广泛使用。这使数据...
sqlserver备份单表 全英文
最新发布
zcxbd的博客
05-30 73
保存结构和数据
sqlserver 进行MD5加密
weixin_33700350的博客
09-18 1420
官方定义函数: HashBytes ( '<algorithm>', { @input | 'input' } ) <algorithm>::= MD2 | MD4 | MD5 | SHA | SHA1 参数解释: algorithm:标识用于对输入执行哈希操作的哈希算法。这是必选参数,无默认值。需要使用单引号。 @input : 数据类型为 varch...
SQL Server 安全篇——安全数据(1)——安全主体(Principal)元数据
MVP黄钊吉(發糞塗牆)
02-01 1470
本文属于SQL Server安全专题系列  虽然大量的安全数据(security metadata)可以从SSMS中查询(指鼠标操作),但是有些元数据仅能通过T-SQL来查看。完整的安全数据足以单独成书,这里仅介绍一些有用的或者可能会用到的内容。 安全主体元数据:  当在实例上实施安全策略时,很有可能就要收集很多安全实体或者安全对象的信息。比如一个策略是所有数据库必须属于
SQL Server Always Encrypted
三空道人的博客
08-28 1948
过去SQL Server有多种加密数据的方式,如透明数据加密(TDE)。这种技术是在数据库文件或者备份被盗用时,保护静态数据。然而对于可以访问数据库本身,或者任何拥有数据库的用户,可以获取秘钥、证书和密码(系统管理员、黑客诸如此类),是没有效果的。 SQL Server 2016新引入了Always Encrypted 功能,其设计的目的即时保护敏感数据,如手机号、身份证、银行卡号等等,可以同时加密静态和动态数据(内存中的数据也会被加密)。因此,这可以保护数据免受流氓管理员、备份窃贼和中间人攻击。和TDE
查看SQL SERVER 加密存储过程,函数,触发器,视图
j9988的专栏
04-16 9044
create  PROCEDURE sp_decrypt(@objectname varchar(50))ASbeginset nocount on--CSDN:j9988 copyright:2004.07.15 --V3.2 --破解字节不受限制,适用于SQLSERVER2000存储过程,函数,视图,触发器--修正上一版"视图触发器"不能正确解密错误--发现有错,请E_MAIL:CSDNj99
sql server 加密_SQL Server始终被加密,以适合您的环境进行敏感数据加密
culuo4781的博客
07-19 713
sql server 加密 So, your manager wants you to figure out how to encrypt sensitive Data? Well, Microsoft has introduced a fairly easy way to configure feature called Always Encrypted. 因此,您的经理希...
column-encryption:使用SQL Always Encrypted库演示列(字段)级加密模式的示例应用程序
04-23
介绍 该项目描述了一种Azure本机拓扑,用于在整个组织的数据仓库中的各种情况下应用列级加密。 它包括用于评估目的的示例代码和文档。 该项目的基础是新发布的 (MDE),它提供一致且可移植的工具来应用加密技术来满足数据保护需求。 这些工具与SQL Server一部分的的现有实现完全兼容。 由于这些库是可移植的,因此标准化和兼容的加密方法可以扩展到不受支持的数据引擎(例如Azure SQL数据库)之外。 例如,具有通过SQL Always Encrypted加密的敏感列的记录可以作为事件作为变更数据捕获(CDC)提要的一部分进行流传输,然后由授权的微服务在其他地方进行解密和处理。 加密方案 该模型可用于支持三种主要方案:(1)从本地系统迁移到数据湖;(2)通过分布式处理系统进行数据准备和分析;以及(3)事件驱动的体系结构。 下图突出显示(黄色),其中上述代码库将作为Azure实施中的一部
johnnycanencrypt:用Rust编写的OpenPGP的Python模块
05-24
约翰尼可以加密 Johnnycanencrypt aka jce是用Rust编写的Python模块,用于执行基本的加密和解密操作。 它为实际的OpenPGP操作使用了惊人的库。 注意-在当前状态下,这是非常实验性的代码,请不要在生产中使用它。...
NoteClipper-crx插件
04-05
- 键入浏览器的omnibox“nc [空格或标签] [某些文本]” 通过AES-256算法进行ECRYPTION,利用您在扩展名的POPUP中输入的秘密。如果按钮是绿色的,则会存储已存储的秘密,并被删除PC用户会话结束。 列表仅显示可以...
Android代码-SnooperStopper
08-07
Android device ecryption password manager and failed unlock attempts monitor SnooperStopper allows you to have different device encryption password than screen unlock pattern/PIN/password. You can ...
Encr image_ImageEncryption_matlab_encryption_guessji1_algorithm_
10-03
Ecryption image code
SQL Server 安全篇——安全数据(2)——安全对象(Securable)元数据
MVP黄钊吉(發糞塗牆)
02-02 1088
本文属于SQL Server安全专题系列  在某些日常工作中,安全配置文件可能会成为需要保护的对象。下面对这些可能进行简介, 并演示元数据如何帮助你验证或实施策略。 Code Signing:  代码签名,代码注入攻击明显是违反了安全策略,可以使用代码签名来防御这类工具,假设安全策略上要求所有程序集和存储过程必须使用代码签名来最小化安全威胁。  下面的代码返回在数据库中
SQL Server 安全篇——安全数据(5)——元数据自身安全
MVP黄钊吉(發糞塗牆)
02-11 619
本文属于SQL Server安全专题系列    随着元数据的使用频率越来越高,安全性也越来越凸显,因为从元数据中可以得到很多不应该随意暴露的系统信息。所以,绝大部分的元数据并不能随意被查看,通常都需要授权。    比如当一个用户A被授权查询B表,那么这个用户A就自动获得了在sys.tables和sys.objects中关于B表的信息。否则他无法真正使用这个B表。    如果需要查看那些没有权限访问...
[译]OpenSSL Cookbook
weixin_30416497的博客
06-26 1309
  记录个人学习过程吧,顺便翻译一下。另外,本文并不会包括原连接中的所有内容,仅包括个人在工作中会经常遇到的。   参考:OpenSSL Cookbook 前言   由于协议特性和实现的复杂性,有时很难确定安全服务器的确切配置和特性。尽管存在许多用于此目的的工具,但通常很难确切知道它们是如何实现的,这有时会使完全信任它们的结果变得困难。尽管我花了很多年的时间测试安全服务器,并且能够使用好的工...
SQL Server 安全篇——安全数据(3)——审核元数据
MVP黄钊吉(發糞塗牆)
02-05 905
本文属于SQL Server安全专题系列  审核除了应对用户行为之外,还能进行“审核审核”以避免别人对自己的怀疑。比如一个恶意的 DBA关闭了审核, 然后执行的是一个危险的行为, 则该操作本身将不会被审核, 但 由于DBA已经关闭了审计, 然后再次将其重新打开的时候,这个打开操作将被审核。  SQL Server提供了很多元数据对象来实现审核增强,其中一个最常用的就是sys.fn_ge
sql 系统 存储过程的使用方法 转载
weixin_33800593的博客
08-06 165
声明:本文仅用于教学目的,如果因为本文造成的攻击后果本人概不负责。因为发觉其危害过大,原文已经经过大量删减及修改,即使这样本文的危害性仍然很大,所以请大家不要对国内的站点做任何具有破坏性的操作。考虑再三,偶还是决定发出来。此招手段歹毒,利用范围广泛,可以说是只要是有sql注射漏洞的网站,只要运用此法99%可以拿到webshell甚至系统权限(不敢把话说满,呵呵,经本人数百次真实“实战演习”,基本上...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值