Início / dba / Perguntas / 233674
Accepted
yegnasew
Asked: 2019-04-02 09:20:29 +0800 CST

Como descobrir se o backup do SQL Server está criptografado com TDE sem restaurar o backup

  • 772

Existe uma maneira de encontrar no arquivo de backup do SQL Server ou nas tabelas MSDB se o backup estiver criptografado com TDE sem tentar restaurar o arquivo de backup?

Obrigado

sql-server

3 respostas

  1. Eu votei na resposta de Brent , pois seu cenário definitivamente poderia confundir a água sobre se o backup continha dados TDE.

    No entanto, se você tiver a TDE habilitada por um tempo, parece que RESTORE FILELISTONLY (Transact-SQL) pode fornecer as informações que você procura. Há uma coluna no conjunto de resultados chamada TDEThumbprint"Mostra a impressão digital da chave de criptografia do banco de dados. A impressão digital do criptografador é um hash SHA-1 do certificado com o qual a chave é criptografada".

    Eu olhei para alguns dos meus backups que eram criptografados com TDE e não criptografados com TDE.

    Os backups dos meus bancos de dados TDE tinham a impressão digital do certificado nessa coluna e os backups que não tinham bancos de dados TDE tinham null.

    • 30
  2. Best Answer

    Imagine por um segundo que você tem um banco de dados de 1 terabyte. O backup demora um pouco e a criptografia demora um pouco. Então imagine que:

    • 9:00 AM - você começa a fazer um backup completo
    • 9:01 AM - em outra janela, você começa a habilitar o TDE no banco de dados
    • 9h05 - o backup é concluído
    • 9h10 - TDE concluído

    O que você espera que sua consulta retorne, já que assim que você terminar de restaurar o backup completo, ele continuará aplicando a TDE, criptografando o restante do seu banco de dados?

    Por outro lado, imagine que você comece com um banco de dados já criptografado e:

    • 9:00 AM - você remove o TDE (o que leva algum tempo)
    • 9h01 - você inicia um backup completo
    • 9h05 - as páginas de dados não são mais criptografadas
    • 9h06 - seu backup completo é concluído

    O que você espera que a consulta retorne? Esses são exemplos de cenários de por que a criptografia TDE não é um dos campos incluídos em msdb.dbo.backupset .

    • 10

  3. Estendendo a resposta de Scott, aqui está a consulta SQL que informará se um backup é criptografado ou não.

    Declare @backupFile varchar(max) = 'J:\backups\psa20191029.bak'

 DECLARE @fileListTable TABLE (
    [LogicalName]           NVARCHAR(128),
    [PhysicalName]          NVARCHAR(260),
    [Type]                  CHAR(1),
    [FileGroupName]         NVARCHAR(128),
    [Size]                  NUMERIC(20,0),
    [MaxSize]               NUMERIC(20,0),
    [FileID]                BIGINT,
    [CreateLSN]             NUMERIC(25,0),
    [DropLSN]               NUMERIC(25,0),
    [UniqueID]              UNIQUEIDENTIFIER,
    [ReadOnlyLSN]           NUMERIC(25,0),
    [ReadWriteLSN]          NUMERIC(25,0),
    [BackupSizeInBytes]     BIGINT,
    [SourceBlockSize]       INT,
    [FileGroupID]           INT,
    [LogGroupGUID]          UNIQUEIDENTIFIER,
    [DifferentialBaseLSN]   NUMERIC(25,0),
    [DifferentialBaseGUID]  UNIQUEIDENTIFIER,
    [IsReadOnly]            BIT,
    [IsPresent]             BIT,
    [TDEThumbprint]         VARBINARY(32) -- remove this column if using SQL 2005
)
INSERT INTO @fileListTable EXEC('RESTORE FILELISTONLY FROM DISK = '''+@backupFile+'''')


select distinct LogicalName + case when TDEThumbprint is null then ' is not encrypted'
                                    else ' is encrypted'
                                    end as AmIEncrypted
from @fileListTable
where type='D'
    • 2

relate perguntas