|
Действия ...
Этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
Политика конфиденциальности
Новые сообщения [новые:0]
Дайджест
Горячие темы
Избранное [новые:0]
Форумы
Пользователи
Статистика
Статистика нагрузки
Мод. лог
Поиск
|
|
28.08.2018, 11:35
|
|||
|---|---|---|---|
|
|||
TDE: от чего таблетка? |
|||
|
#18+
В описании TDE сказано: https://docs.microsoft.com/ru-ru/sql/relational-databases/security/encryption/transparent-data-encryption?view=sql-server-2014]Однако если будет похищен физический носитель (например, диск или ленты резервной копии), злоумышленник может легко восстановить или подключить базу данных и получить доступ к данным. Т.е. согласно болу, если злоумышленник похтщает файлы, диски или бэкап от базы со включённым TDE - то данные защищены. А если будет похищен весь сервер со включённым TDE для базы "XYZ"? Может ли злоумышленник получить доступ у данным базы "XYZ"? Т.е.: 1) помогает ли TDE в случае похищения SQL сервера? 2) помогает ли TDE в случае похищения SQL сервера и контроллера домена? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
28.08.2018, 12:01
|
|||
|---|---|---|---|
TDE: от чего таблетка? |
|||
|
#18+
Alexander UsА если будет похищен весь сервер со включённым TDE для базы "XYZ"? Может ли злоумышленник получить доступ у данным базы "XYZ"? Т.е.: 1) помогает ли TDE в случае похищения SQL сервера? 2) помогает ли TDE в случае похищения SQL сервера и контроллера домена? не помогает в обоих упомянутых случаях не используйте локальные диски, если у вас сервер могут физически увести ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
28.08.2018, 12:12
|
|||
|---|---|---|---|
|
|||
TDE: от чего таблетка? |
|||
|
#18+
komradне помогает в обоих упомянутых случаях не используйте локальные диски, если у вас сервер могут физически увести Увы, базы большие, перенос в сеть будет слишком затратным. Правильно ли я понял: если крадут файл то TDE помогает, а если крадут сервер то не помогает? Не поделитесь ли ссылкой или объяснением почему не помогает? И, в случае кражи сервера с базой, защтщённой TDE какова сложность взлома? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
28.08.2018, 12:17
|
|||
|---|---|---|---|
TDE: от чего таблетка? |
|||
|
#18+
Alexander Us, Я так подозреваю, что речь идет о случае если украли сервер включили и смогли войти. Сбросить пароли на win вроде никогда проблемой не было. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
28.08.2018, 12:19
|
|||
|---|---|---|---|
|
|||
TDE: от чего таблетка? |
|||
|
#18+
Alexander Uskomradне помогает в обоих упомянутых случаях не используйте локальные диски, если у вас сервер могут физически увести Увы, базы большие, перенос в сеть будет слишком затратным. До первого маски-шоу все так думают. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
28.08.2018, 12:22
|
|||
|---|---|---|---|
|
|||
TDE: от чего таблетка? |
|||
|
#18+
Ennor TiegaelДо первого маски-шоу все так думают. Речь идёт о защите от хищения. Маски-шоу тут не при чём. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
28.08.2018, 12:23
|
|||
|---|---|---|---|
TDE: от чего таблетка? |
|||
|
#18+
Alexander Uskomradне помогает в обоих упомянутых случаях не используйте локальные диски, если у вас сервер могут физически увести Увы, базы большие, перенос в сеть будет слишком затратным. в смысле? в какую сеть? Alexander UsПравильно ли я понял: если крадут файл то TDE помогает, а если крадут сервер то не помогает? Не поделитесь ли ссылкой или объяснением почему не помогает? если у вас ушёл сервер с дисками, то не проблема его включить, получить доступ админа в винду (полагаю, что можно), далее становитесь сисадмином на сиквеле и все данные ваши Alexander UsИ, в случае кражи сервера с базой , защтщённой TDE какова сложность взлома? нулевая, подразумевается что master с сертификатом и ключем тоже ушел комплектом ссылки почитать: https://www.red-gate.com/simple-talk/sql/sql-development/encrypting-sql-server-transparent-data-encryption-tde/ https://blogs.msdn.microsoft.com/sqlsecurity/2016/10/05/feature-spotlight-transparent-data-encryption-tde/ ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
28.08.2018, 12:52
|
|||
|---|---|---|---|
|
|||
TDE: от чего таблетка? |
|||
|
#18+
komradне используйте локальные диски, если у вас сервер могут физически увестиИзвините, туплю: а какие диски использовать? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
28.08.2018, 13:14
|
|||
|---|---|---|---|
|
|||
TDE: от чего таблетка? |
|||
|
#18+
komrad, спасибо за ссылки и ответы. ЗЫ: Вот, наткнулся на статью где разносят TDE в пух и прах: https://simonmcauliffe.com/technology/tde/ ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
28.08.2018, 13:34
|
|||
|---|---|---|---|
TDE: от чего таблетка? |
|||
|
#18+
Alexander UsИзвините, туплю: а какие диски использовать? Не локальные. NFS, ISCSI, FC. Если канал позволяет и нагрузка небольшая, то даже какое-нибудь облако. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
28.08.2018, 13:35
|
|||
|---|---|---|---|
TDE: от чего таблетка? |
|||
|
#18+
Alexander Uskomradне используйте локальные диски, если у вас сервер могут физически увестиИзвините, туплю: а какие диски использовать? гулите на тему "san storage" ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
28.08.2018, 13:41
|
|||
|---|---|---|---|
TDE: от чего таблетка? |
|||
|
#18+
Alexander UsВот, наткнулся на статью где разносят TDE в пух и прах: https://simonmcauliffe.com/technology/tde/ ну, справедливости ради, стоит заметить, что сжатые бэкапы шифрованных баз поддерживаются с SQL2016 https://blogs.msdn.microsoft.com/sql_server_team/backup-compression-for-tde-enabled-databases-important-fixes-in-sql-2016-sp1-cu4-and-sql-2016-rtm-cu7/ в общем, применять какое-либо решение стоит осознавая все его плюсы и минусы в вашем случае, полагаю, достаточно будет физически разделить сервер и диски с данными ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
28.08.2018, 15:02
|
|||
|---|---|---|---|
|
|||
TDE: от чего таблетка? |
|||
|
#18+
komradну, справедливости ради, стоит заметить, что сжатые бэкапы шифрованных баз поддерживаются с SQL2016 Увы, это надо для SQL2008. Вобще вся кутерьма из за введения в DE:"EU-Datenschutzverordnung"; По NL это где то так: "Europese verordening gegevensbescherming". У Вас наверное похожие вопросы на повестке? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
28.08.2018, 15:44
|
|||
|---|---|---|---|
TDE: от чего таблетка? |
|||
|
#18+
Ennor TiegaelДо первого маски-шоу все так думают. Можно подумать что от маски-шоу вам что-то поможет. При грамотном подходе сами все предоставите, если присесть не желаете... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
28.08.2018, 17:00
|
|||
|---|---|---|---|
TDE: от чего таблетка? |
|||
|
#18+
офф: Чтоб сервер не унесли, его можно заминировать. :) Что-то вроде спец. чемодана с краской для переноса денег. Грят, что во Франции, после введения в строй этих чемоданов, не было ниодной попытки завладеть чемоданом. И это при том что, чемоданы были без спецохраны с автоматами. Мож врут... :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
28.08.2018, 17:33
|
|||
|---|---|---|---|
TDE: от чего таблетка? |
|||
|
#18+
Alexander UsУ Вас наверное похожие вопросы на повестке? не заметил подобной активности вероятно, банки это не особо затронуло по причине изначальной повышенной секьюрности ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
28.08.2018, 19:39
|
|||
|---|---|---|---|
TDE: от чего таблетка? |
|||
|
#18+
Alexander Us 1) помогает ли TDE в случае похищения SQL сервера? 2) помогает ли TDE в случае похищения SQL сервера и контроллера домена?TDE помогает поставить галочку "базы зашифрованы" в чеклисте и показать начальству. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
29.08.2018, 07:40
|
|||
|---|---|---|---|
|
|||
TDE: от чего таблетка? |
|||
|
#18+
AndrF, Помогает в том смысле, что работа не останавливается после физического изъятия всех on-prem серверов; в случае с облаком это весьма затруднительно сделать. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
29.08.2018, 07:51
|
|||
|---|---|---|---|
TDE: от чего таблетка? |
|||
|
#18+
Ennor Tiegael, Роскомнадзор с вами бы не согласился ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
29.08.2018, 10:06
|
|||
|---|---|---|---|
|
|||
TDE: от чего таблетка? |
|||
|
#18+
Ну хорошо, давайте подбораться к итогам: тут инструкция по взлому TDE тут инструкция по предотвращению взлома TDE Суть её в том, что достаточно сделать папку C:\Windows\System32\Microsoft\Protect\S-1-5-18 доступной для чтения только сисадимнам. Недостаток в том, что на физ. машине можно будет запускать только sql server, но не другие приложения, использующие штфрование. Буду рад, если наши эксперты сочтут возможным прокоментировать методику предотвращения взлома TDE. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
29.08.2018, 11:01
|
|||
|---|---|---|---|
TDE: от чего таблетка? |
|||
|
#18+
Alexander Us Суть её в том, что достаточно сделать папку C:\Windows\System32\Microsoft\Protect\S-1-5-18 доступной для чтения только сисадимнам. Недостаток в том, что на физ. машине можно будет запускать только sql server, но не другие приложения, использующие штфрование. суть в том, что надо ограничить доступ к этой папке;выдать только тем эккаунтам, которым нужно использовать шифрование с случае выделенного сервера - учетке сиквела, ну и админам ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
29.08.2018, 12:21
|
|||
|---|---|---|---|
|
|||
TDE: от чего таблетка? |
|||
|
#18+
komrad, Спасибо. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
29.08.2018, 17:17
|
|||
|---|---|---|---|
|
|||
TDE: от чего таблетка? |
|||
|
#18+
komrad, Может я чего-то не понял в статье, но ведь это же не спасает от возможности зайти админом, стать владельцем папки и спокойно ее прочитать. То есть, в случае с маски-шоу приглашенный эксперт сможет ломануть шифрование конфискованного сервера. Или я неправ? Если дальше рассуждать, надо дальше защищать хранилище ключа с помощь какого-нибудь BitLocker. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
29.08.2018, 17:22
|
|||
|---|---|---|---|
TDE: от чего таблетка? |
|||
|
#18+
0wlkomrad, Может я чего-то не понял в статье, но ведь это же не спасает от возможности зайти админом, стать владельцем папки и спокойно ее прочитать. То есть, в случае с маски-шоу приглашенный эксперт сможет ломануть шифрование конфискованного сервера. Или я неправ? Если дальше рассуждать, надо дальше защищать хранилище ключа с помощь какого-нибудь BitLocker. в случае маски-шоу, надо разносить физические носители с файлами баз и сам сервер в пространстве имея комплект "сервер+диски" можно получить доступ к данным не имея дисков, такого доступа получить, очевидно, нельзя ... не считая способов термального криптоанализа ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
29.08.2018, 17:44
|
|||
|---|---|---|---|
TDE: от чего таблетка? |
|||
|
#18+
komradне имея дисков, такого доступа получить, очевидно, нельзя ... не считая способов термального криптоанализа Почему обязательно термального? Разве админ готов присесть на несколько лет за участие в организованной преступной группировке - его зарплата оправдывает это? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
start [/forum/topic.php?fid=46&tablet=1&tid=1689169]: |
0ms |
get settings: |
8ms |
get forum list: |
15ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
45ms |
get topic data: |
9ms |
get forum data: |
2ms |
get page messages: |
62ms |
get tp. blocked users: |
1ms |
| others: | 236ms |
| total: | 384ms |
| 0 / 0 |
