Поделиться через


Безопасная работа (службы Integration Services)

На каждом этапе жизненного цикла пакета служб Integration Services можно повысить безопасность при управлении развернутыми пакетами в рабочей среде, приняв следующие меры.

  • Убедитесь, что открываемые и запускаемые пакеты предоставлены доверенными источниками.

    В отношении действий с пакетами это означает проверку допустимости подписи каждый раз при открытии и запуске пакета.

  • Убедитесь, что пакеты открывают и запускают только авторизованные пользователи.

    В отношении действий с пакетами это означает, что необходимо использовать средства безопасности служб Integration Services, SQL Server и файловой системы в следующих целях.

    • Управление доступом к хранящимся пакетам и дополнительным файлам, связанным с этими пакетами.

    • Управление доступом к службе Integration Services.

Проверка цифровых подписей для определения пакетов из доверенных источников

Пакеты могут подписываться цифровыми сертификатами. Такие цифровые сертификаты идентифицируют отдельное лицо или организационную единицу, создавшие пакеты или последними изменившие их. Администратор может настроить службы Integration Services таким образом, чтобы они требовали для пакета достоверную и доверенную подпись для проверки этой подписи при открытии пакета, а также для отклонения неподписанных пакетов или предупреждения об их наличии.

Администраторы могут настроить службы Integration Services для проверки подписи во всех или только в отдельных пакетах.

  • Проверка подписей во всех пакетах путем установки значения реестра. Можно принудительно задать политику, проверяющую подписи во всех пакетах, которые загружаются и запускаются на компьютере, установив необязательное значение реестра BlockedSignatureStates. Дополнительные сведения см. в разделе Как реализовать политику подписывания путем задания параметра реестра.

  • Проверка подписей при запуске отдельных пакетов из программы dtexec (dtexec.exe). Можно проверить подпись в отдельном пакете, указав параметр VerifySigned в командной строке программы dtexec. Дополнительные сведения см. в разделе Программа dtexec.

Дополнительные сведения о цифровых подписях см. в разделе Использование цифровых подписей с пакетами.

Управление доступом к пакетам и файлам, созданным или используемым пакетами

Пакеты могут храниться в базе данных msdb SQL Server или в файловой системе.

  • При хранении пакетов в SQL Server. Для управления доступом к хранящимся пакетам можно использовать средства безопасности в SQL Server и предопределенные роли базы данных служб Integration Services. Дополнительные сведения об этих ролях см. в разделе Использование ролей служб Integration Services.

  • При хранении пакетов в файловой системе. Для управления доступом к хранящимся пакетам можно использовать средства безопасности Microsoft Windows и списки управления доступом файловой системы.

При запуске пакеты иногда создают дополнительные файлы, например файлы конфигурации, файлы журналов и файлы контрольных точек. Эти файлы также могут содержать конфиденциальные данные. Дополнительные сведения об управлении доступом к таким дополнительным файлам см. с разделе Управление доступом к файлам, используемым пакетами.

Управление доступом к службе Integration Services

Все пользователи, соединившиеся со службой Integration Services в среде Management Studio, могут видеть следующее.

  • Список хранящихся пакетов и место их хранения.

  • Работающие пакеты, запущенные пользователем. Администратор может видеть все выполняющиеся пакеты.

Дополнительные сведения об управлении доступом к службе Integration Services в среде Management Studio см. с разделе Управление доступом к службе Integration Services.

Значок служб Integration Services (маленький) Будьте в курсе новых возможностей cлужб Integration Services

Чтобы загружать новейшую документацию, статьи, образцы и видеоматериалы от корпорации Майкрософт, а также лучшие решения от участников сообщества, посетите страницу служб Integration Services на сайтах MSDN или TechNet:

Чтобы получать автоматические уведомления об этих обновлениях, подпишитесь на RSS-каналы, предлагаемые на этой странице.