暗号化されている/暗号化されたデータを持つSQL Server 2008 R2のすべての列をすばやく見つける方法はありますか?
暗号化されている/暗号化されたデータを持つSQL Server 2008 R2のすべての列をすばやく見つける方法はありますか?
開発サーバーのすべての暗号化された列のデータを(ビジネスルールに従って)無効にする必要があります。私は定期的に使用しているため、ほとんどの列を知っていますが、徹底し、すべての列が見つかったことを証明できるようにしたいと考えています。
私はWebを検索し、INFORMATION_SCHEMAを調べて、有用だと思われるDMVをチェックしましたsys.columnsおよびsys.objects- -しかし、これまでのところ運がありません。
SQL Serverキーで暗号化されたデータについて話していると仮定すると、これらの列を見つける方法があります。
Key_name()関数は、特定の値の暗号化に使用されるキーの名前を返し、「既知の」キーで暗号化されたものがない場合(サードパーティ、または単純な暗号化されていない)、NULLを返します。 。
そのknowlegdeを使用して、すべての列をテストして、キー名を返すvarbinary値を持つ行が少なくとも1つ含まれているかどうかを確認できます
key_name()の機能
--create a test database
CREATE DATABASE [Test_ENCR]
GO
--change context
USE [Test_ENCR]
GO
--because it's possible to encrypt different rows with different keys I'll create 2 keys for this demo
-- Create a symmetric key
CREATE SYMMETRIC KEY symmetricKey1
WITH ALGORITHM = AES_128
ENCRYPTION BY PASSWORD = 'password01!';
GO
-- Create a second key
CREATE SYMMETRIC KEY symmetricKey2
WITH ALGORITHM = AES_128
ENCRYPTION BY PASSWORD = 'password02!';
GO
--create a table that will have a column holding:
--1: encrypted row with key1
--2: encrypted row with key2
--3: a non encrypted just varbinary value
CREATE TABLE encryptedTable
(ID int IDENTITY PRIMARY KEY,
EncryptedCol varbinary(256) NOT NULL);
GO
-- open key1
OPEN SYMMETRIC KEY symmetricKey1
DECRYPTION BY PASSWORD = 'password01!';
GO
-- open key2
OPEN SYMMETRIC KEY symmetricKey2
DECRYPTION BY PASSWORD = 'password02!';
GO
--insert encrypted data with key1
INSERT INTO encryptedTable(encryptedCol)
VALUES ( ENCRYPTBYKEY (Key_GUID('symmetricKey1'), 'EncryptedText1'));
GO
--insert encrypted data with key2
INSERT INTO encryptedTable(encryptedCol)
VALUES ( ENCRYPTBYKEY (Key_GUID('symmetricKey2'), 'EncryptedText2'));
GO
--insert just varbinary data
INSERT INTO encryptedTable(encryptedCol)
VALUES (CONVERT(varbinary(256),'NotEncryptedTextJustVarBinary'))
--have a look, without the key, all varbinary for you.
SELECT * FROM encryptedTable
GO
結果:
--Return all key_names
SELECT DISTINCT key_name(encryptedcol),
EncryptedCol
FROM encryptedTable;
結果:
暗号化された列を見つけるための実装方法
--How do we dynamically find all the columns that have at least one row with a encrypted value?
-- first we will find all tables and column with a varbinary datatype
-- then we will test all those columns with a simple select
-- If the key_name() function returns a value, the column and table name are stored together with the keyname
--create a table to hold all varbinary columns and tables
CREATE TABLE #TablesWithVarbinCols ( ID int IDENTITY,
TableName nvarchar(128),
ColumnName nvarchar(128)
);
--create a table to hold the end result
CREATE TABLE #TablesWithEncryption (
TableName nvarchar(128),
ColumnName nvarchar(128),
KeyName varchar(128)
);
--find and store all table and column names of user tables containing a varbinary column
INSERT INTO #TablesWithVarbinCols (TableName,ColumnName)
SELECT o.[name] as TableName,
c.[name] as ColumnName
FROM sys.objects o
INNER JOIN sys.columns c
ON o.[object_id]=c.[object_id]
INNER JOIN sys.types t
ON c.system_type_id=t.system_type_id
WHERE o.[type]='U'
AND t.name=N'varbinary'
AND c.max_length > -1;
DECLARE @col nvarchar(256)
DECLARE @tab nvarchar(256)
DECLARE @c int = 1
DECLARE @MaxC int
DECLARE @SQL varchar(max)
SELECT @MaxC=MAX(ID)
FROM #TablesWithVarbinCols
--loop the previous result and create a simple select statement with a key_name() is not null where clause.
--If you have a result, store the details
WHILE @c <= @MaxC
BEGIN
SELECT @Tab=TableName,
@col=ColumnName
FROM #TablesWithVarbinCols
WHERE ID=@c
SET @SQL=' INSERT INTO #TablesWithEncryption (TableName, ColumnName, KeyName)
SELECT DISTINCT '''+@Tab +''',''' +@col +''', key_name('+@Col +') from '+ @tab +'
WHERE key_name('+@Col +') is not null;'
exec (@SQL)
DELETE
FROM #TablesWithVarbinCols
WHERE id=@c;
SET @c=@c+1
END
--select the result
SELECT * FROM #TablesWithEncryption;
結果:
--cleanup
DROP TABLE #TablesWithVarbinCols;
DROP TABLE #TablesWithEncryption;
セルレベルの暗号化の問題は、列自体は実際には暗号化されておらず、その列に含まれるデータであることです。列自体はvarbinary列にすぎず(それが必要なため)、完全に読みやすいデータを含めることができます。データを本当に暗号化するのは、ENCRYPTBY*関数とDECRYPTBY*関数を使用することです。
まず、varbinaryであるすべての列についてsys.columnsビューをクエリするだけです。
select
object_name(a.object_id) [objectname]
,a.name [columnname]
,a.column_id
from
sys.columns a
join sys.types b on (a.system_type_id = b.system_type_id)
where
b.name = N'varbinary';
それ以外の場合は、コードを確認して、暗号化/復号化機能が使用されている場所を特定する必要があります。
select
object_name(object_id) [objectname]
,definition
from
sys.sql_modules
where
definition like N'%ENCRYPT%'
OR definition like N'%DECRYPT%';
特定のDBで以下のクエリを実行します
select
t.name as [Table],
c.name as [Column],
c.encryption_type_desc
from
sys.all_columns c inner join
sys.tables t on c.object_id = t.object_id
where
c.encryption_type is not null
order by
t.name,
c.name
少し変更
すべてのvarbinary列を検索し、KEY_NAME関数で暗号化キーを確認することにより、keys\certificatesで暗号化されている列を見つけることができます。
ただし、このプロセスには多少の費用と時間がかかります。これらの列を定期的に見つける必要がある場合は、拡張プロパティで列に「タグを付ける」ことをお勧めします。 Edward Dortlandのソリューションに基づいて構築し、見つかった列に、encrypted、encryptkey、encryptcertなどの拡張プロパティを「タグ付け」できます。
--create a table to hold all varbinary columns and tables
CREATE TABLE #TablesWithVarbinCols ( ID int IDENTITY,
SchemaName nvarchar(128),
TableName nvarchar(128),
ColumnName nvarchar(128)
);
--find and store all table and column names of user tables containing a
varbinary column
INSERT INTO #TablesWithVarbinCols (SchemaName,TableName,ColumnName)
SELECT s.[name] as SchemaName,
o.[name] as TableName,
c.[name] as ColumnName
FROM sys.objects o
INNER JOIN sys.schemas s
ON s.[schema_id] = o.[schema_id]
INNER JOIN sys.columns c
ON o.[object_id]=c.[object_id]
INNER JOIN sys.types t
ON c.system_type_id=t.system_type_id
WHERE o.[type]='U'
AND t.name=N'varbinary'
AND c.max_length > -1;
DECLARE @sch nvarchar(128)
DECLARE @col nvarchar(256)
DECLARE @tab nvarchar(256)
DECLARE @key nvarchar(256)
DECLARE @cert nvarchar(256)
DECLARE @c int = 1
DECLARE @MaxC int
DECLARE @SQL nvarchar(max)
SELECT @MaxC=MAX(ID)
FROM #TablesWithVarbinCols
--loop the previous result and create a simple select statement with a
key_name() is not null where clause.
--If you have a result, store the details
WHILE @c <= @MaxC
BEGIN
SET @key = NULL;
SELECT @sch=SchemaName,
@Tab=TableName,
@col=ColumnName
FROM #TablesWithVarbinCols
WHERE ID=@c
SET @SQL='SELECT DISTINCT @key= key_name('+@Col +') from '+ @tab +'
WHERE key_name('+@Col +') is not null;'
exec sp_executesql @SQL, N'@key nvarchar(256) out', @key out
SELECT @cert = c.name
from sys.symmetric_keys sk
join sys.key_encryptions ke
on
sk.symmetric_key_id= ke.key_id
join sys.certificates c
on
ke.thumbprint=c.thumbprint
where sk.name = @key
IF (@key IS NOT NULL)
BEGIN
SET @SQL=
'EXEC sp_addextendedproperty @name = N''encrypted'', @value = N''1'', '+
'@level0type = N''Schema'', @level0name = '''+@Sch+''', '+
'@level1type = N''Table'', @level1name = '''+@tab+''','+
'@level2type = N''Column'', @level2name = '''+@col+'''
'
EXEC sp_executesql @SQL
SET @SQL=
'EXEC sp_addextendedproperty @name = N''encryptkey'', @value = '''+@key+''', '+
'@level0type = N''Schema'', @level0name = '''+@Sch+''', '+
'@level1type = N''Table'', @level1name = '''+@tab+''','+
'@level2type = N''Column'', @level2name = '''+@col+'''
'
EXEC sp_executesql @SQL
SET @SQL=
'EXEC sp_addextendedproperty @name = N''encryptcert'', @value = '''+@cert+''', '+
'@level0type = N''Schema'', @level0name = '''+@Sch+''', '+
'@level1type = N''Table'', @level1name = '''+@tab+''','+
'@level2type = N''Column'', @level2name = '''+@col+'''
'
EXEC sp_executesql @SQL
END
DELETE
FROM #TablesWithVarbinCols
WHERE id=@c;
SET @c=@c+1
END
drop table #TablesWithVarbinCols
次に、拡張プロパティを検索することで、暗号化された列を簡単に見つけることができます。
--Adjust WHERE clause depending on what tags you are looking for
SELECT
SCHEMA_NAME(tbl.schema_id) AS SchemaName,
tbl.name AS TableName,
clmns.name AS ColumnName,
p.name AS ExtendedPropertyName, --remove for programming
CAST(p.value AS sql_variant) AS ExtendedPropertyValue
FROM
sys.tables AS tbl
INNER JOIN sys.all_columns AS clmns ON clmns.object_id=tbl.object_id
INNER JOIN sys.extended_properties AS p ON p.major_id=tbl.object_id AND p.minor_id=clmns.column_id AND p.class=1
WHERE p.name in ('encrypted','encryptkey','encryptcert')