Šifrování dat obnovení v databázi

Platí pro: Configuration Manager (Current Branch)

Když vytvoříte zásadu správy nástroje BitLocker, Configuration Manager nasadí službu Recovery Service do bodu správy. Na stránce Správa klientů zásad správy nástroje BitLocker při konfiguraci služeb pro správu nástroje BitLocker klient zálohuje informace o obnovení klíče do databáze lokality. Tyto informace zahrnují obnovovací klíče nástroje BitLocker, obnovovací balíčky a hodnoty hash hesel TPM. Když jsou uživatelé uzamčení svého chráněného zařízení, můžete jim pomocí těchto informací pomoct obnovit přístup k zařízení.

Vzhledem k citlivé povaze těchto informací je potřeba je chránit. Configuration Manager vyžaduje připojení HTTPS mezi klientem a službou Recovery Service k šifrování dat přenášených přes síť. Další informace najdete v tématu Šifrování dat obnovení přes síť.

Zvažte také šifrování těchto dat, pokud jsou uložena v databázi lokality. Pokud nainstalujete certifikát SQL Server, Configuration Manager šifruje data v SQL.

Pokud nechcete vytvořit šifrovací certifikát bitlockeru pro správu, přihlaste se k ukládání dat obnovení ve formátu prostého textu. Při vytváření zásad správy nástroje BitLocker povolte možnost Povolit ukládání informací o obnovení ve formátu prostého textu.

Poznámka

Další vrstvou zabezpečení je šifrování celé databáze lokality. Pokud povolíte šifrování databáze, nebudou v Configuration Manager žádné funkční problémy.

Šifrovat s opatrností, zejména v rozsáhlých prostředích. V závislosti na zašifrovaných tabulkách a verzi SQL můžete zaznamenat až 25% snížení výkonu. Aktualizujte plány zálohování a obnovení, abyste mohli úspěšně obnovit šifrovaná data.

Poznámka

Configuration Manager nikdy neodebere ani neodstraní informace o obnovení zařízení z databáze, a to ani v případě, že je klient neaktivní nebo odstraněný. Toto chování je z bezpečnostních důvodů. Pomáhá ve scénářích, kdy je zařízení odcizeno, ale později obnoveno. U velkých prostředí má dopad na velikost databáze přibližně 9 kB dat na šifrovaný svazek.

SQL Server šifrovací certifikát

Tento certifikát SQL Server použijte pro Configuration Manager k šifrování dat obnovení nástroje BitLocker v databázi lokality. Certifikát podepsaný svým držitelem můžete vytvořit pomocí skriptu v SQL Server.

Případně můžete k vytvoření a nasazení tohoto certifikátu použít vlastní proces, pokud splňuje následující požadavky:

  • Název šifrovacího certifikátu bitlockeru pro správu musí být BitLockerManagement_CERT.

  • Zašifrujte tento certifikát pomocí hlavního klíče databáze.

  • Následující SQL Server uživatelé potřebují oprávnění k řízení certifikátu:

    • RecoveryAndHardwareCore
    • RecoveryAndHardwareRead
    • RecoveryAndHardwareWrite
  • Nasaďte stejný certifikát do každé databáze lokality ve vaší hierarchii.

  • Vytvořte certifikát s nejnovější verzí SQL Server.

    Důležité

    • Certifikáty vytvořené pomocí SQL Server 2016 nebo novější jsou kompatibilní s SQL Server 2014 nebo starší verzí.
    • Certifikáty vytvořené pomocí SQL Server 2014 nebo starší nejsou kompatibilní s SQL Server 2016 nebo novější verzí.

Správa šifrovacího certifikátu při upgradu SQL Server

Pokud je vaše databáze lokality SQL Server 2014 nebo starší, před upgradem SQL Server na verzi 2016 nebo novější použijte následující postup a otočte certifikát na podporovanou verzi.

  1. V instanci SQL Server s nejnovější dostupnou verzí, alespoň verzí 2016:

    1. Vytvoření nového certifikátu

    2. Zálohování nového certifikátu

  2. Na SQL Server instance se šifrovanou databází lokality, kterou plánujete upgradovat:

    1. Přesuňte existující certifikát na serveru databáze lokality SQL Server instanci na jiný název.

    2. Obnovte nový certifikát.

    3. Obměňte nový certifikát pro existující certifikát. Použití poskytnuté funkce SQL [RecoveryAndHardwareCore].[RecryptKey]

Důležité

Pokud upgradujete SQL Server před obměnou certifikátem, požádejte podpora Microsoftu o pomoc s řešením.

Tento proces můžete použít také v případě, že vaše obchodní požadavky určují, že potřebujete tento certifikát pravidelně obnovovat.

Ukázkové skripty

Tyto skripty SQL jsou příklady pro vytvoření a nasazení šifrovacího certifikátu bitlockeru pro správu v databázi Configuration Manager lokality.

Vytvoření certifikátu

Tento ukázkový skript provede následující akce:

  • Vytvoří certifikát.
  • Nastaví oprávnění.
  • Vytvoří hlavní klíč databáze.

Před použitím tohoto skriptu v produkčním prostředí změňte následující hodnoty:

  • Název databáze lokality (CM_ABC)
  • Heslo pro vytvoření hlavního klíče (MyMasterKeyPassword)
  • Datum vypršení platnosti certifikátu (20391022)
USE CM_ABC
IF NOT EXISTS (SELECT name FROM sys.symmetric_keys WHERE name = '##MS_DatabaseMasterKey##')
BEGIN
    CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'MyMasterKeyPassword'
END

IF NOT EXISTS (SELECT name from sys.certificates WHERE name = 'BitLockerManagement_CERT')
BEGIN
    CREATE CERTIFICATE BitLockerManagement_CERT AUTHORIZATION RecoveryAndHardwareCore
    WITH SUBJECT = 'BitLocker Management',
    EXPIRY_DATE = '20391022'

    GRANT CONTROL ON CERTIFICATE ::BitLockerManagement_CERT TO RecoveryAndHardwareRead
    GRANT CONTROL ON CERTIFICATE ::BitLockerManagement_CERT TO RecoveryAndHardwareWrite
END

Poznámka

Datum vypršení platnosti certifikátu není kontrolováno ani vynuceno SQL Server, když se certifikát používá k šifrování databáze, jak je tomu v tomto případě.

Pokud vaše firemní požadavky určují, že tento certifikát pravidelně prodlužujete, použijte stejný postup ke správě šifrovacího certifikátu při SQL Server upgradu.

Zálohování certifikátu

Tento ukázkový skript zálohuje certifikát. Když certifikát uložíte do souboru, můžete ho obnovit do jiných databází lokality v hierarchii.

Před použitím tohoto skriptu v produkčním prostředí změňte následující hodnoty:

  • Název databáze lokality (CM_ABC)
  • Cesta k souboru a název (C:\BitLockerManagement_CERT_KEY)
  • Export hesla klíče (MyExportKeyPassword)
USE CM_ABC
BACKUP CERTIFICATE BitLockerManagement_CERT TO FILE = 'C:\BitLockerManagement_CERT'
    WITH PRIVATE KEY ( FILE = 'C:\BitLockerManagement_CERT_KEY',
        ENCRYPTION BY PASSWORD = 'MyExportKeyPassword')

Důležité

Vždy zálohujte certifikát. V případě, že potřebujete obnovit databázi lokality, možná budete muset obnovit certifikát, abyste znovu získali přístup k obnovovacím klíčům.

Soubor exportovaného certifikátu a přidružené heslo uložte v zabezpečeném umístění.

Obnovení certifikátu

Tento ukázkový skript obnoví certifikát ze souboru. Tento proces použijte k nasazení certifikátu, který jste vytvořili v jiné databázi lokality.

Před použitím tohoto skriptu v produkčním prostředí změňte následující hodnoty:

  • Název databáze lokality (CM_ABC)
  • Heslo hlavního klíče (MyMasterKeyPassword)
  • Cesta k souboru a název (C:\BitLockerManagement_CERT_KEY)
  • Export hesla klíče (MyExportKeyPassword)
USE CM_ABC
IF NOT EXISTS (SELECT name FROM sys.symmetric_keys WHERE name = '##MS_DatabaseMasterKey##')
BEGIN
    CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'MyMasterKeyPassword'
END

IF NOT EXISTS (SELECT name from sys.certificates WHERE name = 'BitLockerManagement_CERT')
BEGIN

CREATE CERTIFICATE BitLockerManagement_CERT AUTHORIZATION RecoveryAndHardwareCore
FROM FILE  = 'C:\BitLockerManagement_CERT'
    WITH PRIVATE KEY ( FILE = 'C:\BitLockerManagement_CERT_KEY',
        DECRYPTION BY PASSWORD = 'MyExportKeyPassword')

GRANT CONTROL ON CERTIFICATE ::BitLockerManagement_CERT TO RecoveryAndHardwareRead
GRANT CONTROL ON CERTIFICATE ::BitLockerManagement_CERT TO RecoveryAndHardwareWrite
END

Ověření certifikátu

Pomocí tohoto skriptu SQL ověřte, že SQL Server úspěšně vytvořil certifikát s požadovanými oprávněními.

USE CM_ABC
declare @count int
select @count = count(distinct u.name) from sys.database_principals u
join sys.database_permissions p on p.grantee_principal_id = u.principal_id or p.grantor_principal_id = u.principal_id
join sys.certificates c on c.certificate_id = p.major_id
where u.name in('RecoveryAndHardwareCore', 'RecoveryAndHardwareRead', 'RecoveryAndHardwareWrite') and
c.name = 'BitLockerManagement_CERT' and p.permission_name like 'CONTROL'
if(@count >= 3) select 1
else select 0

Pokud je certifikát platný, skript vrátí hodnotu 1.

Viz také

Další informace o těchto příkazech SQL najdete v následujících článcích:

Další kroky

Nasazení klienta pro správu nástroje BitLocker