Transparente Datenverschlüsselung (TDE)Transparent Data Encryption (TDE)

DIESES THEMA GILT FÜR: jaSQL Server (ab 2008)jaAzure SQL-DatenbankjaAzure SQL Data Warehouse jaParallel Data Warehouse THIS TOPIC APPLIES TO: yesSQL Server (starting with 2008)yesAzure SQL DatabaseyesAzure SQL Data Warehouse yesParallel Data Warehouse

Informationen, die sich auf vorherige Versionen von SQL Server beziehen, finden Sie unter Transparente Datenverschlüsselung (TDE).For content related to previous versions of SQL Server, see Transparent Data Encryption (TDE).

Transparente Datenverschlüsselung (Transparent Data Encryption, TDE) verschlüsselt SQL ServerSQL Server-, Azure SQL-DatenbankAzure SQL Database- und Azure SQL Data WarehouseAzure SQL Data Warehouse -Datendateien, bekannt als „Verschlüsselung ruhender Daten“.Transparent Data Encryption (TDE) encrypts SQL ServerSQL Server, Azure SQL-DatenbankAzure SQL Database, and Azure SQL Data WarehouseAzure SQL Data Warehouse data files, known as encrypting data at rest. Sie können verschiedene Vorsichtsmaßnahmen treffen, um eine Datenbank abzusichern, beispielsweise ein sicheres System entwerfen, vertrauliche Datenbestände verschlüsseln oder eine Firewall für die Datenbankserver einrichten.You can take several precautions to help secure the database such as designing a secure system, encrypting confidential assets, and building a firewall around the database servers. Wenn jedoch physische Medien (etwa Laufwerke oder Sicherungsbänder) gestohlen werden, muss ein böswilliger Benutzer die Datenbank einfach nur wieder herstellen und kann dann die Daten durchsuchen.However, in a scenario where the physical media (such as drives or backup tapes) are stolen, a malicious party can just restore or attach the database and browse the data. Eine Lösung dieses Problems besteht darin, die sensiblen Daten in der Datenbank zu verschlüsseln, und den für die Verschlüsselung der Daten verwendeten Schlüssel mit einem Zertifikat zu schützen.One solution is to encrypt the sensitive data in the database and protect the keys that are used to encrypt the data with a certificate. Dadurch kann niemand die Daten verwenden, der nicht im Besitz der Schlüssel ist. Diese Art des Schutzes muss jedoch im Voraus geplant werden.This prevents anyone without the keys from using the data, but this kind of protection must be planned in advance.

Die TDE führt die E/A-Verschlüsselung und -Entschlüsselung der Daten und der Protokolldateien in Echtzeit durch.TDE performs real-time I/O encryption and decryption of the data and log files. Die Verschlüsselung verwendet einen Verschlüsselungsschlüssel für die Datenbank (Database Encryption Key, DEK), der in der Datenbankstartseite gespeichert wird, damit er während der Wiederherstellung verfügbar ist.The encryption uses a database encryption key (DEK), which is stored in the database boot record for availability during recovery. Der DEK ist ein symmetrischer Schlüssel, der durch ein in der Masterdatenbank des Servers gespeichertes Zertifikat gesichert wird, oder ein asymmetrischer Schlüssel, der von einem EKM-Modul geschützt wird.The DEK is a symmetric key secured by using a certificate stored in the master database of the server or an asymmetric key protected by an EKM module. TDE schützt die "ruhenden" Daten, also die Daten- und die Protokolldateien.TDE protects data "at rest", meaning the data and log files. Sie entspricht den in vielen Branchen etablierten Gesetzen, Bestimmungen und Richtlinien.It provides the ability to comply with many laws, regulations, and guidelines established in various industries. Dadurch können Softwareentwickler Daten mithilfe der AES- und 3DES-Verschlüsselungsalgorithmen verschlüsseln, ohne vorhandene Anwendungen ändern zu müssen.This enables software developers to encrypt data by using AES and 3DES encryption algorithms without changing existing applications.

Informationen zu TDEAbout TDE

Die Verschlüsselung der Datenbankdatei wird auf Seitenebene ausgeführt.Encryption of the database file is performed at the page level. In einer verschlüsselten Datenbank werden die Seiten verschlüsselt, bevor Sie auf den Datenträger geschrieben werden, und entschlüsselt, wenn sie in den Arbeitsspeicher gelesen werden.The pages in an encrypted database are encrypted before they are written to disk and decrypted when read into memory. TDE erhöht nicht die Größe einer verschlüsselten Datenbank.TDE does not increase the size of the encrypted database.

Informationen zu SQL-DatenbankSQL DatabaseInformation applicable to SQL-DatenbankSQL Database

Bei der Verwendung von TDE mit SQL-DatenbankSQL Database V12 wird das auf Serverebene in der „master“-Datenbank gespeicherte Zertifikat automatisch von SQL-DatenbankSQL Database erstellt.When using TDE with SQL-DatenbankSQL Database V12 the server-level certificate stored in the master database is automatically created for you by SQL-DatenbankSQL Database. Zum Verschieben einer TDE-Datenbank auf SQL-DatenbankSQL Database müssen Sie die Datenbank entschlüsseln, verschieben und auf der Ziel- SQL-DatenbankSQL Databaseerneut aktivieren.To move a TDE database on SQL-DatenbankSQL Database you must decrypt the database, move the database, and then re-enable TDE on the destination SQL-DatenbankSQL Database. Schrittweise Anweisungen für TDE auf SQL-DatenbankSQL Databasefinden Sie unter Transparent Data Encryption with Azure SQL Database.For step-by-step instructions for TDE on SQL-DatenbankSQL Database, see Transparent Data Encryption with Azure SQL Database.

Informationen zu SQL ServerSQL ServerInformation applicable to SQL ServerSQL Server

Nachdem sie gesichert wurde, kann die Datenbank mit dem richtigen Zertifikat wiederhergestellt werden.After it is secured, the database can be restored by using the correct certificate. Weitere Informationen zu Zertifikaten finden Sie unter SQL Server Certificates and Asymmetric Keys.For more information about certificates, see SQL Server Certificates and Asymmetric Keys.

Wenn Sie TDE aktivieren, sollten Sie das Zertifikat und den privaten Schlüssel, der dem Zertifikat zugeordnet ist, unmittelbar danach sichern.When enabling TDE, you should immediately back up the certificate and the private key associated with the certificate. Sollte das Zertifikat einmal nicht mehr verfügbar sein, oder sollten Sie die Datenbank auf einem anderen Server wiederherstellen oder anfügen müssen, müssen Sie über Sicherungen sowohl des Zertifikats als auch des privaten Schlüssels verfügen, da Sie andernfalls die Datenbank nicht öffnen können.If the certificate ever becomes unavailable or if you must restore or attach the database on another server, you must have backups of both the certificate and the private key or you will not be able to open the database. Das zum Verschlüsseln verwendete Zertifikat sollte beibehalten werden, selbst wenn TDE für die Datenbank nicht mehr aktiviert ist.The encrypting certificate should be retained even if TDE is no longer enabled on the database. Selbst wenn die Datenbank nicht verschlüsselt ist, können Teile des Transaktionsprotokolls nach wie vor geschützt sein. Für bestimmte Vorgänge wird das Zertifikat ggf. weiterhin benötigt, bis eine vollständige Sicherung der Datenbank ausgeführt wurde.Even though the database is not encrypted, parts of the transaction log may still remain protected, and the certificate may be needed for some operations until the full backup of the database is performed. Ein abgelaufenes Zertifikat kann immer noch verwendet werden, um Daten mit TDE zu verschlüsseln und zu entschlüsseln.A certificate that has exceeded its expiration date can still be used to encrypt and decrypt data with TDE.

VerschlüsselungshierarchieEncryption Hierarchy

Die folgende Abbildung zeigt die Architektur der TDE-Verschlüsselung.The following illustration shows the architecture of TDE encryption. Nur die Datenbankebenenelemente (der Datenbankverschlüsselungsschlüssel und die ALTER DATABASE-Teile können vom Benutzer bei der Verwendung von TDE in SQL-DatenbankSQL Databasekonfiguriert werden.Only the database level items (the database encryption key and ALTER DATABASE portions are user-configurable when using TDE on SQL-DatenbankSQL Database.

Zeigt die im Thema beschriebene Hierarchie an.Displays the hierarchy described in the topic.

Verwenden der transparenten DatenverschlüsselungUsing Transparent Data Encryption

Führen Sie folgende Schritte aus, um TDE zu verwenden:To use TDE, follow these steps.

||
|-|
|Gilt für: SQL ServerSQL Server.Applies to: SQL ServerSQL Server.|

  • Erstellen Sie einen HauptschlüsselCreate a master key

  • Erstellen oder beziehen Sie ein vom Hauptschlüssel geschütztes ZertifikatCreate or obtain a certificate protected by the master key

  • Erstellen Sie einen Verschlüsselungsschlüssel für die Datenbank, und schützen Sie ihn durch das ZertifikatCreate a database encryption key and protect it by the certificate

  • Legen Sie fest, dass für die Datenbank Verschlüsselung verwendet wirdSet the database to use encryption

    Im folgenden Beispiel wird die Verschlüsselung und Entschlüsselung der AdventureWorks2012 -Datenbank gezeigt, wobei ein auf dem Server MyServerCertinstalliertes Zertifikat verwendet wird.The following example illustrates encrypting and decrypting the AdventureWorks2012 database using a certificate installed on the server named MyServerCert.

USE master;  
GO  
CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<UseStrongPasswordHere>';  
go  
CREATE CERTIFICATE MyServerCert WITH SUBJECT = 'My DEK Certificate';  
go  
USE AdventureWorks2012;  
GO  
CREATE DATABASE ENCRYPTION KEY  
WITH ALGORITHM = AES_128  
ENCRYPTION BY SERVER CERTIFICATE MyServerCert;  
GO  
ALTER DATABASE AdventureWorks2012  
SET ENCRYPTION ON;  
GO  

Die Verschlüsselungs- und Entschlüsselungsvorgänge werden in von SQL ServerSQL Servergeplanten Hintergrundthreads ausgeführt.The encryption and decryption operations are scheduled on background threads by SQL ServerSQL Server. Sie können den Status dieser Vorgänge mithilfe der in der Liste weiter unten in diesem Thema genannten Katalogsichten und dynamischen Verwaltungssichten anzeigen.You can view the status of these operations using the catalog views and dynamic management views in the list that appears later in this topic.

Achtung

Sicherungsdateien von Datenbanken, für die TDE aktiviert wurde, werden ebenfalls mithilfe des Verschlüsselungsschlüssels für die Datenbank verschlüsselt.Backup files of databases that have TDE enabled are also encrypted by using the database encryption key. Darum muss bei der Wiederherstellung dieser Sicherungen das Zertifikat, das zum Verschlüsseln des Verschlüsselungsschlüssels für die Datenbank verwendet wurde, verfügbar sein.As a result, when you restore these backups, the certificate protecting the database encryption key must be available. Dies bedeutet, dass Sie zusätzlich zur Sicherung der Datenbank auch Sicherungskopien der Serverzertifikate aufbewahren müssen, um einem Datenverlust vorzubeugen.This means that in addition to backing up the database, you have to make sure that you maintain backups of the server certificates to prevent data loss. Ist das Zertifikat nicht mehr verfügbar, kann es zu einem Datenverlust kommen.Data loss will result if the certificate is no longer available. Weitere Informationen finden Sie unter SQL Server Certificates and Asymmetric Keys.For more information, see SQL Server Certificates and Asymmetric Keys.

Befehle und FunktionenCommands and Functions

Die für TDE verwendeten Zertifikate müssen mithilfe des Datenbank-Hauptschlüssels verschlüsselt sein, damit sie von den folgenden Anweisungen akzeptiert werden.The TDE certificates must be encrypted by the database master key to be accepted by the following statements. Eine Verschlüsselung nur durch ein Kennwort lehnen die Anweisungen ab.If they are encrypted by password only, the statements will reject them as encryptors.

Wichtig

Wenn die Zertifikate nach der Verwendung durch TDE mit einem Kennwortschutz versehen werden, kann auf die Datenbank nach einem Neustart nicht mehr zugegriffen werden.Altering the certificates to be password-protected after they are used by TDE will cause the database to become inaccessible after a restart.

Die folgende Tabelle bietet Links und Erläuterungen zu den Befehlen und Funktionen von TDE.The following table provides links and explanations of TDE commands and functions.

Befehl oder FunktionCommand or function ZweckPurpose
CREATE DATABASE ENCRYPTION KEY (Transact-SQL)CREATE DATABASE ENCRYPTION KEY (Transact-SQL) Erstellt einen Schlüssel, der verwendet wird, um eine Datenbank zu verschlüsseln.Creates a key that is used to encrypt a database.
ALTER DATABASE ENCRYPTION KEY (Transact-SQL)ALTER DATABASE ENCRYPTION KEY (Transact-SQL) Ändert den Schlüssel, der verwendet wird, um eine Datenbank zu verschlüsseln.Changes the key that is used to encrypt a database.
DROP DATABASE ENCRYPTION KEY (Transact-SQL)DROP DATABASE ENCRYPTION KEY (Transact-SQL) Entfernt den Schlüssel, der verwendet wurde, um eine Datenbank zu verschlüsseln.Removes the key that was used to encrypt a database.
ALTER DATABASE SET-Optionen (Transact-SQL)ALTER DATABASE SET Options (Transact-SQL) Erklärt die ALTER DATABASE -Option, mit der TDE aktiviert wird.Explains the ALTER DATABASE option that is used to enable TDE.

Katalogsichten und dynamische VerwaltungssichtenCatalog Views and Dynamic Management Views

In der folgenden Tabelle werden die Katalogsichten und die dynamischen Verwaltungssichten von TDE erläutert.The following table shows TDE catalog views and dynamic management views.

Katalogsicht oder dynamische VerwaltungssichtCatalog view or dynamic management view ZweckPurpose
sys.databases (Transact-SQL)sys.databases (Transact-SQL) Katalogsicht, die Datenbankinformationen anzeigt.Catalog view that displays database information.
sys.certificates (Transact-SQL)sys.certificates (Transact-SQL) Katalogsicht, die die Zertifikate in einer Datenbank anzeigt.Catalog view that shows the certificates in a database.
sys.dm_database_encryption_keys (Transact-SQL)sys.dm_database_encryption_keys (Transact-SQL) Dynamische Verwaltungssicht, die Informationen zu den in einer Datenbank verwendeten Verschlüsselungsschlüsseln und dem aktuellen Status der Verschlüsselung einer Datenbank bereitstellt.Dynamic management view that provides information about the encryption keys used in a database, and the state of encryption of a database.

BerechtigungenPermissions

Jede Funktion und jeder Befehl von TDE erfordert bestimmte Berechtigungen, die in den zuvor gezeigten Tabellen beschrieben wurden.Each TDE feature and command has individual permission requirements, described in the tables shown earlier.

Um die in Beziehung zu TDE stehenden Metadaten anzuzeigen, ist die VIEW DEFINITION-Berechtigung für das Zertifikat erforderlich.Viewing the metadata involved with TDE requires the VIEW DEFINITION permission on the certificate.

Weitere ÜberlegungenConsiderations

Während eine erneute Verschlüsselungsprüfung für einen Datenbankverschlüsselungsvorgang ausgeführt wird, sind Wartungsvorgänge für die Datenbank deaktiviert.While a re-encryption scan for a database encryption operation is in progress, maintenance operations to the database are disabled. Sie können den Einzelbenutzermodus für die Datenbank verwenden, um einen Wartungsvorgang durchzuführen.You can use the single user mode setting for the database to perform the maintenance operation. Weitere Informationen finden Sie unter So legen Sie den Einzelbenutzermodus für eine Datenbank fest.For more information, see Set a Database to Single-user Mode.

Der Verschlüsselungsstatus der Datenbank wird mit der dynamischen Verwaltungssicht sys.dm_database_encryption_keys angezeigt.You can find the state of the database encryption using the sys.dm_database_encryption_keys dynamic management view. Weitere Informationen finden Sie im Abschnitt „Katalogsichten und dynamische Verwaltungssichten“ weiter oben in diesem Thema.For more information, see the "Catalog Views and Dynamic Management Views"section earlier in this topic).

Bei TDE werden alle Dateien und Dateigruppen in der Datenbank verschlüsselt.In TDE, all files and filegroups in the database are encrypted. Wenn Dateigruppen in einer Datenbank als READ ONLY markiert sind, schlägt der Datenbankverschlüsselungsvorgang fehl.If any filegroups in a database are marked READ ONLY, the database encryption operation will fail.

Wenn eine Datenbank bei Datenbankspiegelung oder Protokollversand verwendet wird, werden beide Datenbanken verschlüsselt.If a database is being used in database mirroring or log shipping, both databases will be encrypted. Die Protokolltransaktionen werden für die Übertragung zwischen den Datenbanken verschlüsselt.The log transactions will be encrypted when sent between them.

Wichtig

Volltextindizes werden verschlüsselt, wenn für eine Datenbank die Verschlüsselung festgelegt ist.Full-text indexes will be encrypted when a database is set for encryption. Vor SQL Server 2008 erstellte Volltextindizes werden während des Upgrades auf SQL Server 2008 oder höher in die Datenbank importiert, und sie werden durch TDE verschlüsselt.Full-text indexes created prior to SQL Server 2008 will be imported into the database during upgrade to SQL Server 2008 or greater and they will be encrypted by TDE.

Tipp

Verwenden Sie SQL Server Audit oder SQL-Datenbanküberwachung, um die Veränderungen im TDE-Status einer Datenbank zu überwachen.To monitor changes in the TDE status of a database, use SQL Server Audit or SQL Database Auditing. Bei SQL Server wird TDE unter der Überwachungsaktionsgruppe DATABASE_CHANGE_GROUP nachverfolgt, die in SQL Server Audit-Aktionsgruppen und -Aktionen enthalten ist.For SQL Server, TDE is tracked under the audit action group DATABASE_CHANGE_GROUP which can be found in SQL Server Audit Action Groups and Actions.

EinschränkungenRestrictions

Die folgende Vorgänge sind während der ersten Datenbankverschlüsselung, einer Schlüsseländerung oder der Datenbankentschlüsselung nicht erlaubt:The following operations are not allowed during initial database encryption, key change, or database decryption:

  • Löschen einer Datei aus einer Dateigruppe in der DatenbankDropping a file from a filegroup in the database

  • Löschen der DatenbankDropping the database

  • Offlineschalten der DatenbankTaking the database offline

  • Trennen einer DatenbankDetaching a database

  • Versetzen einer Datenbank oder einer Dateigruppe in den READ ONLY-ZustandTransitioning a database or filegroup into a READ ONLY state

    Die folgenden Vorgänge sind während der Ausführung der Anweisungen CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY oder ALTER DATABASE...SET ENCRYPTION nicht erlaubt:The following operations are not allowed during the CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY, or ALTER DATABASE...SET ENCRYPTION statements.

  • Löschen einer Datei aus einer Dateigruppe in der Datenbank.Dropping a file from a filegroup in the database.

  • Löschen der Datenbank.Dropping the database.

  • Offlineschalten der Datenbank.Taking the database offline.

  • Trennen einer Datenbank.Detaching a database.

  • Versetzen einer Datenbank oder einer Dateigruppe in den READ ONLY-Zustand.Transitioning a database or filegroup into a READ ONLY state.

  • Verwenden eines ALTER DATABASE-Befehls.Using an ALTER DATABASE command.

  • Starten einer Datenbank- oder Datenbankdateisicherung.Starting a database or database file backup.

  • Starten einer Datenbank- oder Datenbankdateiwiederherstellung.Starting a database or database file restore.

  • Erstellen einer Momentaufnahme.Creating a snapshot.

    Die folgenden Vorgänge oder Bedingungen verhindern die Anweisungen CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY oder ALTER DATABASE...SET ENCRYPTION.The following operations or conditions will prevent the CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY, or ALTER DATABASE...SET ENCRYPTION statements.

  • Die Datenbank ist schreibgeschützt oder hat schreibgeschützte Dateigruppen.The database is read-only or has any read-only file groups.

  • Ein ALTER DATABASE-Befehl wird ausgeführt.An ALTER DATABASE command is executing.

  • Eine Datensicherung wird ausgeführt.Any data backup is running.

  • Die Datenbank ist offline geschaltet oder wird wiederhergestellt.The database is in an offline or restore condition.

  • Eine Momentaufnahme wird ausgeführt.A snapshot is in progress.

  • DatenbankwartungstasksDatabase maintenance tasks.

    Beim Erstellen von Datenbankdateien ist die sofortige Dateiinitialisierung nicht verfügbar, wenn TDE aktiviert ist.When creating database files, instant file initialization is not available when TDE is enabled.

    Um den Verschlüsselungsschlüssel für die Datenbank mit einem asymmetrischen Schlüssel zu verschlüsseln, muss sich der asymmetrische Schlüssel auf einem erweiterbaren Schlüsselverwaltungsanbieter befinden.In order to encrypt the database encryption key with an asymmetric key, the asymmetric key must reside on an extensible key management provider.

Transparente Datenverschlüsselung und TransaktionsprotokolleTransparent Data Encryption and Transaction Logs

Die Aktivierung einer Datenbank für die Verwendung von TDE führt dazu, dass der verbleibende Teil des virtuellen Transaktionsprotokolls auf 0 festgelegt wird. Dadurch wird ein neues virtuelles Transaktionsprotokoll erzwungen.Enabling a database to use TDE has the effect of "zeroing out" the remaining part of the virtual transaction log to force the next virtual transaction log. Dies gewährleistet, dass in den Transaktionsprotokollen kein Klartext verbleibt, nachdem die Datenbank für die Verschlüsselung eingerichtet wurde.This guarantees that no clear text is left in the transaction logs after the database is set for encryption. Sie können den Status der Protokolldateiverschlüsselung erkennen, wenn Sie die encryption_state-Spalte in der sys.dm_database_encryption_keys-Sicht anzeigen, wie in diesem Beispiel:You can find the status of the log file encryption by viewing the encryption_state column in the sys.dm_database_encryption_keys view, as in this example:

USE AdventureWorks2012;  
GO  
/* The value 3 represents an encrypted state   
   on the database and transaction logs. */  
SELECT *  
FROM sys.dm_database_encryption_keys  
WHERE encryption_state = 3;  
GO  

Weitere Informationen zur SQL ServerSQL Server-Protokolldateiarchitektur finden Sie unter Das Transaktionsprotokoll (SQL Server).For more information about the SQL ServerSQL Server log file architecture, see The Transaction Log (SQL Server).

Alle vor einer Änderung des Datenbank-Verschlüsselungsschlüssels in das Transaktionsprotokoll geschriebenen Daten werden mithilfe des vorherigen Verschlüsselungsschlüssels für die Datenbank verschlüsselt.All data written to the transaction log before a change in the database encryption key will be encrypted by using the previous database encryption key.

Nachdem ein Verschlüsselungsschlüssel für die Datenbank zweimal geändert wurde, muss eine Protokollsicherung ausgeführt werden, bevor der Verschlüsselungsschlüssel für die Datenbank wieder geändert werden kann.After a database encryption key has been modified twice, a log backup must be performed before the database encryption key can be modified again.

Transparente Datenverschlüsselung und die tempdb-SystemdatenbankTransparent Data Encryption and the tempdb System Database

Die tempdb-Systemdatenbank wird verschlüsselt, wenn eine beliebige andere Datenbank in der SQL ServerSQL Server -Instanz mithilfe von TDE verschlüsselt ist.The tempdb system database will be encrypted if any other database on the instance of SQL ServerSQL Server is encrypted by using TDE. Dies könnte sich auf die Leistung unverschlüsselter Datenbanken der gleichen Instanz von SQL ServerSQL Serverauswirken.This might have a performance effect for unencrypted databases on the same instance of SQL ServerSQL Server. Weitere Informationen über die tempdb-Systemdatenbank finden Sie unter tempdb-Datenbank.For more information about the tempdb system database, see tempdb Database.

Transparente Datenverschlüsselung und ReplikationTransparent Data Encryption and Replication

Daten aus einer TDE-aktivierten Datenbank werden bei der Replikation nicht automatisch in einer verschlüsselten Form repliziert.Replication does not automatically replicate data from a TDE-enabled database in an encrypted form. Sie müssen TDE separat aktivieren, wenn Sie die Verteilungs- und Abonnentendatenbanken schützen möchten.You must separately enable TDE if you want to protect the distribution and subscriber databases. Bei der Snapshotreplikation sowie bei der ursprünglichen Verteilung von Daten für die Transaktions- und Mergereplikation können Daten in unverschlüsselten Zwischendateien gespeichert werden – dies sind z. B. die BCP-Dateien.Snapshot replication, as well as the initial distribution of data for transactional and merge replication, can store data in unencrypted intermediate files; for example, the bcp files. Während der Transaktions- oder Mergereplikation kann die Verschlüsselung aktiviert werden, um den Kommunikationskanal zu schützen.During transactional or merge replication, encryption can be enabled to protect the communication channel. Weitere Informationen finden Sie unter Aktivieren von verschlüsselten Verbindungen zum Datenbankmodul (SQL Server-Konfigurations-Manager).For more information, see Enable Encrypted Connections to the Database Engine (SQL Server Configuration Manager).

Transparente Datenverschlüsselung und FILESTREAM-DatenTransparent Data Encryption and FILESTREAM DATA

FILESTREAM-Daten werden nicht verschlüsselt, auch dann nicht, wenn TDE aktiviert ist.FILESTREAM data is not encrypted even when TDE is enabled.

Transparente Datenverschlüsselung und PufferpoolerweiterungTransparent Data Encryption and Buffer Pool Extension

Dateien, die mit der Pufferpoolerweiterung (BPE, Buffer Pool Extension) zusammenhängen, werden bei der Verschlüsselung der Datenbank mit TDE nicht verschlüsselt.Files related to buffer pool extension (BPE) are not encrypted when database is encrypted using TDE. Für mit BPE zusammenhängende Dateien müssen Sie Verschlüsselungstools auf Dateisystemebene, wie Bitlocker oder EFS, verwenden.You must use file system level encryption tools like Bitlocker or EFS for BPE related files.

Transparente Datenverschlüsselung und In-Memory OLTPTransparent Data Encryption and In-Memory OLTP

TDE kann auf einer Datenbank aktiviert werden, die über In-Memory OLTP-Objekte verfügt.TDE can be enabled on a database that has In-Memory OLTP objects. In SQL Server 2016SQL Server 2016 und Azure SQL-DatenbankAzure SQL Database werden In-Memory OLTP-Protokolldatensätze und Daten verschlüsselt, wenn TDE aktiviert ist.In SQL Server 2016SQL Server 2016 and Azure SQL-DatenbankAzure SQL Database In-Memory OLTP log records and data are encrypted if TDE is enabled. In SQL Server 2014SQL Server 2014 werden In-Memory OLTP-Protokolldatensätze verschlüsselt, wenn TDE aktiviert ist, aber Dateien in der MEMORY_OPTIMIZED_DATA-Dateigruppe werden nicht verschlüsselt.In SQL Server 2014SQL Server 2014 In-Memory OLTP log records are encrypted if TDE is enabled, but files in the MEMORY_OPTIMIZED_DATA filegroup are not encrypted.

Verschieben einer TDE-geschützten Datenbank auf einen anderen SQL-ServerMove a TDE Protected Database to Another SQL Server
Aktivieren von TDE in SQL Server mithilfe von EKMEnable TDE on SQL Server Using EKM
Erweiterbare Schlüsselverwaltung mit Azure Key Vault (SQL Server)Extensible Key Management Using Azure Key Vault (SQL Server)

Transparente Datenverschlüsselung in Azure SQL-DatenbankTransparent Data Encryption with Azure SQL Database
Erste Schritte mit transparenter Datenverschlüsselung (TDE) in SQL Data WarehouseGet started with Transparent Data Encryption (TDE) on SQL Data Warehouse
SQL Server-VerschlüsselungSQL Server Encryption
Verschlüsselungsschlüssel für SQL Server und Datenbank (Datenbankmodul)SQL Server and Database Encryption Keys (Database Engine)

Siehe auchSee Also

Sicherheitscenter für SQL Server-Datenbankmodul und Azure SQL-Datenbank Security Center for SQL Server Database Engine and Azure SQL Database
FILESTREAM (SQL Server)FILESTREAM (SQL Server)