Alexander UsА если будет похищен весь сервер со включённым TDE для базы "XYZ"?
Может ли злоумышленник получить доступ у данным базы "XYZ"?

Т.е.:
1) помогает ли TDE в случае похищения SQL сервера?
2) помогает ли TDE в случае похищения SQL сервера и контроллера домена?

не помогает в обоих упомянутых случаях

не используйте локальные диски, если у вас сервер могут физически увести

Alexander Uskomradне помогает в обоих упомянутых случаях
не используйте локальные диски, если у вас сервер могут физически увести
Увы, базы большие, перенос в сеть будет слишком затратным.

в смысле? в какую сеть?

Alexander UsПравильно ли я понял: если крадут файл то TDE помогает, а если крадут сервер то не помогает?
Не поделитесь ли ссылкой или объяснением почему не помогает?

если у вас ушёл сервер с дисками, то не проблема его включить, получить доступ админа в винду (полагаю, что можно), далее становитесь сисадмином на сиквеле и все данные ваши

Alexander UsИ, в случае кражи сервера с базой , защтщённой TDE какова сложность взлома?
нулевая, подразумевается что master с сертификатом и ключем тоже ушел комплектом


ссылки почитать:
https://www.red-gate.com/simple-talk/sql/sql-development/encrypting-sql-server-transparent-data-encryption-tde/
https://blogs.msdn.microsoft.com/sqlsecurity/2016/10/05/feature-spotlight-transparent-data-encryption-tde/

Alexander Uskomradне используйте локальные диски, если у вас сервер могут физически увестиИзвините, туплю: а какие диски использовать?
гулите на тему "san storage"

Alexander UsВот, наткнулся на статью где разносят TDE в пух и прах:
https://simonmcauliffe.com/technology/tde/

ну, справедливости ради, стоит заметить, что сжатые бэкапы шифрованных баз поддерживаются с SQL2016
https://blogs.msdn.microsoft.com/sql_server_team/backup-compression-for-tde-enabled-databases-important-fixes-in-sql-2016-sp1-cu4-and-sql-2016-rtm-cu7/

в общем, применять какое-либо решение стоит осознавая все его плюсы и минусы

в вашем случае, полагаю, достаточно будет физически разделить сервер и диски с данными

Alexander UsУ Вас наверное похожие вопросы на повестке?
не заметил подобной активности
вероятно, банки это не особо затронуло по причине изначальной повышенной секьюрности

Alexander Us
Суть её в том, что достаточно сделать папку C:\Windows\System32\Microsoft\Protect\S-1-5-18 доступной для чтения только сисадимнам.
Недостаток в том, что на физ. машине можно будет запускать только sql server, но не другие приложения, использующие штфрование.


суть в том, что надо ограничить доступ к этой папке;выдать только тем эккаунтам, которым нужно использовать шифрование
с случае выделенного сервера - учетке сиквела, ну и админам

0wlkomrad,

Может я чего-то не понял в статье, но ведь это же не спасает от возможности зайти админом, стать владельцем папки и спокойно ее прочитать. То есть, в случае с маски-шоу приглашенный эксперт сможет ломануть шифрование конфискованного сервера. Или я неправ?

Если дальше рассуждать, надо дальше защищать хранилище ключа с помощь какого-нибудь BitLocker.
в случае маски-шоу, надо разносить физические носители с файлами баз и сам сервер в пространстве
имея комплект "сервер+диски" можно получить доступ к данным

не имея дисков, такого доступа получить, очевидно, нельзя ... не считая способов термального криптоанализа