Início / dba / Perguntas / 305966
Accepted
PseudoToad
Asked: 2022-01-12 16:06:42 +0800 CST

Monitorando a criptografia do SQL Server com eventos estendidos

  • 772

Existe uma maneira de monitorar conexões criptografadas por meio de eventos estendidos? Eu monitorei para handshakes TLS 1.0, 1.1 e 1.2 no passado usando sqlsni.TRACE, mas não consigo encontrar algo na mesma linha para conexões criptografadas. A menos que "encrypt=yes" não seja adicionado à string de conexão, apenas o handshake será criptografado e nada mais.

Eu posso usar sys.dm_exec_connections para capturar isso, mas não é em tempo real e eu teria que executá-lo com muita frequência (a cada minuto ou menos) para encontrar o que estou procurando.

encryption sql-server-2016

1 respostas

  1. Best Answer

    Sim, isso pode ser feito usando o evento de rastreamento abaixo,

    " Você pode encontrar mais detalhes do protocolo TLS negociado real e da cifra deste rastreamento de Evento Estendido, mas isso requer o SQL Server 2016 SP1 ou posterior:"

    CREATE EVENT SESSION [tls] ON SERVER 
ADD EVENT sqlsni.trace(
    WHERE ([sqlserver].[equal_i_sql_ansi_string]([function_name],'Ssl::Handshake') 
AND [sqlserver].[like_i_sql_unicode_string]([text],N'%TLS%')))
ADD TARGET package0.event_file(SET filename=N'tls_trace')
WITH (MAX_MEMORY=4096 KB,EVENT_RETENTION_MODE=ALLOW_SINGLE_EVENT_LOSS,
MAX_DISPATCH_LATENCY=30 SECONDS,MAX_EVENT_SIZE=0 KB,MEMORY_PARTITION_MODE=NONE,
TRACK_CAUSALITY=OFF,STARTUP_STATE=OFF);

    " A resposta original está aqui por Dan Guzman

    Observe também que, se isso precisar ser feito em 2019, altere o evento parasqlsni.sni_trace

    e o código será como

    CREATE EVENT SESSION [tls_new] ON SERVER 
ADD EVENT sqlsni.sni_trace(
    WHERE ([sqlserver].[equal_i_sql_ansi_string]([function_name],'Ssl::Handshake') 
AND [sqlserver].[like_i_sql_unicode_string]([text],N'%TLS%')))
ADD TARGET package0.event_file(SET filename=N'tls_trace')
WITH (MAX_MEMORY=4096 KB,EVENT_RETENTION_MODE=ALLOW_SINGLE_EVENT_LOSS,
MAX_DISPATCH_LATENCY=30 SECONDS,MAX_EVENT_SIZE=0 KB,MEMORY_PARTITION_MODE=NONE,
TRACK_CAUSALITY=OFF,STARTUP_STATE=OFF)

    EDIT Após o comentário do OP, o requisito é descobrir que a conexão está criptografada ou não e não TLS.

    Não conheço uma opção no evento estendido para isso, mas para conseguir isso, você pode aproveitar os gatilhos de logon no servidor SQL.

    Abaixo está uma tentativa de capturar o sys.dm_exec_connectionsapós cada login.

    DROP TABLE IF EXISTS test.dbo.tmp_conn
SELECT * INTO test.dbo.tmp_conn FROM sys.dm_exec_connections dec
WHERE 1=0
GO
CREATE TRIGGER connection_encrypt
ON ALL SERVER WITH EXECUTE AS N'sa'  
FOR LOGON  
AS  
BEGIN  
INSERT INTO test.dbo.tmp_conn
SELECT * FROM sys.dm_exec_connections dec
WHERE dec.session_id=@@spid
END;

    Altere o código conforme sua necessidade para a auditoria.

    • 5

relate perguntas