Discussion :

[janlouk]

Bonjour à tous,

Lors de la session d'André Melancia au MSCloudSummit sur la sécurité, il a parlé d'activer l'option "Force Encryption" via le Configuration Manager/SQL Server Network Configuration/clic droit sur Protocols for ...

J'ai vu l'intérêt de le faire, mais :
1) y a t'il un risque ?
2) Faut-il l'activer par defaut partout?
3) Y a t'il un risque de performances ou de "compatibilité" avec des applications qui accèdent à l'instance?
4) Y a t'il une query pour savoir si c'est activé ou faut-il aller voir manuellement à chaque fois?
5) Est-ce que cela dépend des versions d'SQL Server.

Merci pour vos précisions.

Jean-Luc

EDIT à 11h34: Pour le point 4, j'ai trouvé

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
SELECT encrypt_option 
FROM sys.dm_exec_connections 
WHERE session_id = @@SPID

[SQLpro]

Il faut que les applications disposent d'un certificat... mais tout dépend du niveau. A lire :
https://blogs.msdn.microsoft.com/sql...to-sql-server/

A +

[janlouk]

Ok, merci Frédéric. Ce n'est donc pas sans conséquence et à activer sans y "réfléchir". Merci

[elsuket]

Bonjour,

Effectivement il y a pas mal d'éléments à discuter avec un Administrateur Système en charge de la sécurité.
Comme le disait SQLPro, il faut que les parties de la communication aient un certificat. Donc là il faut décider de la façon dont on les gère : soit à l'aide du magasin Windows, soit s'il y a une autorité locale de délivrance.
Ensuite, suivant les versions de SQL Server, si l'on souhaite utiliser tel ou tel protocole de cryptage, comme par exemple TLS 1.2, il y a quelques subtilités par rapport à l'OS et à la version de .NET au regard de l'algorithme de cryptage.

Ainsi les versions qui commencent à dater ne supportent pas le SHA_256 ou SHA_512, mais SQL Server 2016 le supporte nativement ...
Par ailleurs SQL Server ne supporte pas encore les clés CNG, ce qui peut aussi poser problème.

Ainsi donc, comme les clients commencent à demander de plus en plus le cryptage des données, que ce soit des fichiers de l'application, des sauvegardes (de base de données ou autres éléments de l'application), des fichiers de la base de données, cela devrait être bientôt supporté

@++