СОДЕРЖАНИЕ

1.	ПОЗДРАВЛЕНИЕ
2.	СОВЕТЫ
2.1.	Использование SQL Server совместно с Encrypting File System (EFS)
3.	ССЫЛКИ НА СТАТЬИ
3.1.	Новые технические статьи Microsoft
3.2.	Англоязычные статьи
4.	ПОЛЕЗНОСТИ
4.1.	Пользовательские вычисления в кубах Analysis Services
5.	ФОРУМ SQL.RU
5.1.	Самые популярные темы недели

ПОЗДРАВЛЕНИЕ

Дорогие наши подписчики! Проект SQL.RU поздравляет Вас со всеми Новогодними и Рождественскими праздниками и желает вам успехов и процветания в новом году.
В 2002 году основной темой рассылки была репликация. В этом году я хочу уделить основное внимание вопросам безопасности. Надеюсь, эта информация окажется интересной для вас.
Присылайте свои статьи по этой и по другим тематикам MS SQL Server, и я с удовольствием опубликую их и постараюсь довести их содержание до максимально большого круга ваших коллег.
Кроме того, проект SQL.RU совместно с группой компаний ТАЛГАР начал проведение ежемесячных семинаров, и я приглашаю вас не только принять в них участие, но и поделиться своим опытом и своими находками. Если это вас заинтересовало, смело обращайтесь ко мне, и я постараюсь помочь в подготовке.

С уважением,
Александр Гладченко

[Содержание]

СОВЕТЫ

Использование SQL Server совместно с Encrypting File System (EFS)
По материалам статьи Brian Kelley Implementing Encrypting File System (EFS) with SQL Server

Введение

В своей статье посвящённой защите SQL Server, Chris Kempster кратко представил новую опцию, появившуюся в Windows 2000, это Encrypting File System (EFS). EFS предоставляет полностью прозрачный механизм шифрования файлов, что позволяет использовать его для прикладных программ типа SQL Server. EFS может быть использован DBA для защиты критически важных файлов баз данных SQL Server. В конце концов, если нападающий сможет копировать незашифрованные файлы баз данных SQL Server, он сможет без особых проблем прикрепить эти файлы к собственному SQL Server. Задействовав EFS Вы сможете зашифровать все ваши файлы баз данных так, что только SQL Server будет иметь к ним доступ.

Фактически, копирование файлов баз данных с одного сервера на другой и затем, прикрепление их на новом SQL Server используя sp_attach_db является одним из методов перемещения баз данных наряду с резервированием - восстановлением, Copy Database Wizard или посредством сгенерированных SQL скриптом bcp файлов. Копирование и повторное прикрепление может быть выполнено очень легко, и самой большой опасностью здесь является то, что тот, кто использует этот механизм, может заполучить файлы баз данных и автоматически получит доступ к хранимым в них данным. EFS предоставляет относительно отказоустойчивое решение этой проблемы за счёт следующего:

· Файлы можно зашифровать.
· Необходимо иметь ключ, чтобы расшифровать файлы после копирования.
· По умолчанию, только учетная запись пользователя, который зашифровал файлы или имеет сертификат на их восстановление, может расшифровывать эти файлы.

В этой статье автор представляет краткий обзор того, как работает EFS, что необходимо предпринять, что бы использовать её в вашей системе, и как разрешать проблемы возникающие с EFS и SQL Server. Автор не будет вдаваться в подробности работы EFS, так как это уже сделано в других статьях. Если Вас интересует информация такого рода, Вы можете изучить статьи Mark Russinovich: Inside Microsoft Windows 2000

О внутренней организации EFS можно узнать из статей журнала Windows и .NET Magazine:

· Inside Encrypting File System, Part 1
· Inside Encrypting File System, Part 2

[Содержание]

Подготовка

Перед внедрением EFS в Вашу систему, необходимо предпринять некоторые предварительные меры. Необходимо будет защитить процесс восстановления данных, настроить EFS на работу под учётной записью сервиса MSSQLServer и обеспечить приемлемый уровень отвлекаемых на защиту данных ресурсов.

[Содержание]

Восстановление зашифрованных данных

Процесс восстановления данных из зашифрованного файла может оказаться не лёгким, если пользователь, который зашифровал файл, был удалён или его профиль был повреждён, а также возможен целый ряд причин, по которым, имея зашифрованный файл, Вы не сможете его расшифровывать, как это делается в штатном режиме. Проблемы, которые не позволят восстановить данные из резервной копии, должны быть учтены и разрешены DBA на этапе проектирования схемы резервирования и восстановления критически важных для функционирования базы данных файлов.
Планирование процесса восстановления не является сложной задачей:

· Экспортируйте ключи, которыми обычно шифруется файл.
· Храните ключи в защищённом месте на сменных носителях (например, на дискете).
· Используйте заданный по умолчанию recovery agent, или заведите для этого собственного, специального агента.
· Экспортируйте файл, используя резервное копирование Windows 2000.
· Передайте копию агенту восстановления (в случае необходимости).
· Установите ключ для агента восстановления.
· Используйте шифрование файла.

Это действительно простой процесс, но он также иллюстрирует потребность предусмотреть все возможные нюансы при восстановлении данных. Хорошей практикой является предварительная проверка восстановления на тестовых файлах, чтобы удостовериться в полной работоспособности всего этого процесса. Методология восстановления данных это отдельная большая тема, ознакомиться с которой можно в следующих статьях:

Windows 2000 Server Resource Kit: Distributed Systems Guide
Administrative Procedures

Для восстановления данных ознакомьтесь с разделом Distributed Systems Guide в справочнике по системе, в котором описано всё, что Вы должны об этом знать.

[Содержание]

Учётная запись сервиса MSSQLServer

Если Вы хотите, чтобы SQL Server мог читать зашифрованные файлы и шифровал их, используйте для настройки EFS учетную запись, под которой стартует сервис SQL Server. Причина проста: приватный ключ, с помощью которого расшифровывается ключ кодирования файла, используемый для расшифровки самого файла, хранится в персональном хранилище профиля пользователя. В указанных выше статьях о EFS объясняется, как работает такое кодирование. Обязательно выполните это требование, чтобы гарантировать, что приватная информация, используемая для шифрации файла, хранится в собственном кэше пользователя. После этого, те пользователи, которые не имеют соответствующего ключа для кодирования/декодирования файла, не смогут получить доступ к файлу. Конечно, есть и исключения, основанные на использовании запросов через API и на некоторых других методах, но они являются более сложными, чем использование учетной записи сервиса. Если Ваш SQL Server запускается под учётной записью LocalSystem (LocalSystem имеет привилегии администратора), Вы должны создать локального пользователя сервера или домена, и запускать SQL Server под этой учётной записью. Войдите в систему под такой учетной записью (тут Вы не можете использовать LocalSystem) и Вы будете готовы защитить с помощью EFS файлы базы данных.

[Содержание]

Эффективность

Использование EFS приведёт к отвлечению на её поддержку ресурсов сервера. Автор не наблюдал значительного снижения эффективности, хотя Ваши результаты могут отличаться. Оценка, которая представлена в PowerPoint presentation from Microsoft Australia (Slide 19) показывает, что снижение эффективности обычно не превышает 5 %. В любом случае, стоит тщательно взвесить, насколько ваша система уязвима к копированию файлов базы данных и стоит ли для устранения такой уязвимости жертвовать таким снижением эффективности вашей системы.

[Содержание]

Пошаговое руководство

Процедура шифрации файлов базы данных довольно проста. Windows Explorer сделает большинство работы за Вас. Также есть команда cipher.exe, которая используется для шифрации и дешифрации посредством командной строки. Автор вначале опишет процедуры настройки через GUI, а затем поговорит и о cipher.exe.

Прежде чем продолжать, автор обращает Ваше внимание на рекомендацию Microsoft шифровать не отдельные файлы, а каталоги. Причина в том, что все новые файлы баз данных в зашифрованном каталоге также будут зашифрованы.

[Содержание]

Использование GUI

Первым шагом должно быть перемещение в проводнике к папке, которая включает подлежащую шифрации папку. Например, если Вы хотите зашифровать папку:

C:\Program Files\Microsoft SQL Server\MSSQL\Data

перейдите в папку:

C:\Program Files\Microsoft SQL Server\MSSQL\ 

1. Вы должны видеть в текущем окне проводника папку Data. Щелкните правой кнопкой мыши по этой папке (или файлу) и выберите пункт Properties.
2. Появится диалоговое окно Properties, и в нём нужно нажать кнопку Advanced.
3. В диалоговом окне Advanced Attributes пометьте чекбокс - Encrypt contents to secure Data, что приведёт к включению кодирования, и нажмите OK, чтобы принять изменения для окна Advanced Attributes.
4. Щёлкните по OK ещё раз, чтобы выйти из диалогового окна Properties.
4.1. Если Вы шифруете папку, должно быть запрошено подтверждение этой операции. Отметьте чекбокс Apply changes to this folder, subfolders and files и щёлкните OK. Начнется процесс кодирования, который может занять продолжительное время.
4.2. Если Вы шифруете файл, выберите в окне подтверждения опцию Always encrypt only the file.

Если Вы планируете в будущем расшифровать файлы (например, Вы собираетесь перемещать файлы на новый сервер), Вы можете повторить те же шаги, только не отмечать чекбокс Encrypt contents to secure data. После этого, у Вас будет запрошено соответствующее подтверждение операции.

ПРОДОЛЖЕНИЕ СЛЕДУЕТ

[Содержание]

ССЫЛКИ НА СТАТЬИ

Новые технические статьи Microsoft

PRB: Error 14274 Occurs When You Update a SQL Agent Job After Renaming Windows Server
PRB: DTS Wizard May not Detect Excel Column Type for Mixed Data
INF: Moving SQL Server 7.0 Databases to a New Server with BACKUP and RESTORE
INF: How to Configure SQL Mail
INF: General Guidelines to Use to Configure the MAXDOP Option
HOW TO: Read and Write a File to and from a BLOB Column by Using Chunking in ADO.NET and Visual C++ .NET
HOW TO: Configure Memory for More Than 2 GB in SQL Server
FIX: The xp_readmail Extended Stored Procedure Overwrites Attachment That Already Exists
FIX: The xp_readmail and xp_findnextmsg Extended Stored Procedures Do Not Read Mail in Time Received Order
FIX: Temporary Stored Procedures in SA Owned Databases May Bypass Permission Checks When You Run Stored Procedures
FIX: Full Text Query May Return 0 Rows When Valid Results are Present
BUG: Unable to View SQL Server 2000 From the Licensing Manager "Product View" Tab

[Содержание]

Англоязычные статьи

Using and Building Query Analyzer Templates
Gregory A. Larsen
The Query Analyzer (QA) in SQL Server 2000 is greatly enhanced over the QA in SQL Server 7.0. One of the enhancements, QA templates, can increase your productivity in developing code.
How to Search for Date and Time Values Using Microsoft SQL Server 2000
Bryan Syverson
Suppose you’re writing a query to find all the invoices that were written on January 6, 2003. You know from the control totals that 122 invoices were written that day.
Managing DTS packages - Editing, Scheduling, and Viewing Package Logs
Haidong Ji
Many SQL servers, especially data warehouse servers, have tons of DTS packages. Therefore, managing DTS packages is a task that a lot of DBAs have to do. In the second of a series articles, I'll talk about some of the DTS management issues I faced and how I resolved them. The issues I will address in this article are: DTS package ownership and editing, scheduling DTS packages, viewing package logs, and stopping a running package in DTS designer. Again, I hope this information will be helpful to you.
Introduction to Data Mining with SQL Server
Eric Charran
Data Mining Defined In order to fully comprehend, much less implement enhanced Decision Support Systems in an organization, it is necessary to understand the basic precepts behind the requirements, methodologies and business drive to obtain information. Information about an organization gathered from various sources and coalesced into a format in which business decision makers and analysts can gain insight into business practices, as well as obtain information to help plot the next course of action for a business, is what data mining makes possible.
Beware of Mixing Collations - Part 2
Gregory A. Larsen
With SQL Server 2000 you are able to create databases or columns with a different collating setting than the server. This is especially useful when you are trying to restore from a SQL Server 7.0 database backup, where you are not sure of the collating sequence for the SQL Server 7.0 machine. If after your restore you desire to change the collation sequence, then SQL Server 2000 will allow this. Depending on which collation settings you want to change will determine the method, and how much effort it will take to pull off the collation change. This article will explain a couple of methods I have used to successfully change collation settings.

[Содержание]

ПОЛЕЗНОСТИ

Пользовательские вычисления в кубах Analysis Services

Опубликована презентация с семинара "Возможности использования Microsoft SQL Server 2000 в распределенной среде. Репликация. Удаленный доступ.", посвященныого вопросам использования Microsoft SQL Server 2000 в распределенной среде. Семинар был организован группой компаний ТАЛГАР совместно с проектом SQL.RU для ведущих специалистов, разработчиков и администраторов MS SQL Server.

Пользовательские вычисления в кубах Analysis Services. ZIP, 1 Mб.

Алексей Шуленин. Microsoft.

[Содержание]

ФОРУМ SQL.RU

Самые популярные темы недели

Кто на чем пишет клиентов под SQL Server?
Какое у вас мнение о связке Access XP (.adp) + SQL Server 2000
Семинар: Организация репликации MS SQL Server 2000 через интернет
Как отображать изменения клиента на другом клиенте
Блокировка данных в селекте
Возможно ли из процедуры запустить какой-либо .exe файл?
Репликация... Можно ли обойти ограничения?
Один SELECT - разные результаты под SQL7 и SQL2000...
как хранить дату
Создание огромной базы
Ошибка в SQL "Invalid cursor state" [new]
HEEEEELP!!!!!!! Не могу зайти на сервер! Очень срочно!
Новый год и первый вопрос в Новом Году
У меня есть 3 комра ?
С НАСТУПАЮЩИМ 2003!
Из SQL в DBF
Linked Server
Суммирование двух полей
Новогодние поздравления сообществу sql.ru
Enterprise Manager 2000 не видит 97 сервера и наоборот ...
Собственно кто как удаление организовывает?
sp_getapplock
ATTENTION: Опрос популярности СУБД [new]
Узнать пароль SA [new]
Можно ли зарегистрировать SQL 2000 в ЕМ SQL 7.0? [new]
xp_cmdshell в job'е

[Содержание]