我正在尝试了解MSSQL 的 TDE. 文档说它依赖于Windows DPAPI。DPAPI 使用用户的凭据生成主密钥。这对于密码从未存储在机器上的人类用户来说非常有效。
我不明白 DPAPI 在为服务帐户(MSA 或内置服务帐户)生成主密钥时如何工作,我理解密码存储在注册表中。
如果 TDE 依赖于主密钥,而主密钥又依赖于与数据存储在同一设备中的服务帐户密码,那么 TDE 如何保护数据?
DPAPI 如何保护服务帐户的主密钥?
我正在尝试了解MSSQL 的 TDE. 文档说它依赖于Windows DPAPI。DPAPI 使用用户的凭据生成主密钥。这对于密码从未存储在机器上的人类用户来说非常有效。
我不明白 DPAPI 在为服务帐户(MSA 或内置服务帐户)生成主密钥时如何工作,我理解密码存储在注册表中。
如果 TDE 依赖于主密钥,而主密钥又依赖于与数据存储在同一设备中的服务帐户密码,那么 TDE 如何保护数据?