Реализация политики подписывания путем задания параметра реестра
Для управления организационной политикой при загрузке подписанных и неподписанных пакетов можно использовать необязательный параметр реестра. При использовании данного параметра реестра его необходимо создать на каждом компьютере, где будут выполняться пакеты Службы Integration Services и где требуется принудительное выполнение этой политики. После задания такого параметра реестра службы Службы Integration Services будут проверять наличие и верность подписи перед загрузкой пакетов.
Процедура, описанная в этом разделе, позволяет добавить необязательный параметр BlockedSignatureStates типа DWORD в раздел реестра «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\100\SSIS». Значение данных в BlockedSignatureStates определяет, должен ли пакет быть заблокирован, если у него ненадежная подпись, недопустимая подпись или он вообще не подписан. Что касается состояния подписей, используемых для пакетов, то в значении реестра BlockedSignatureStates используются следующие определения:
Действительная подпись — это подпись, которая может быть успешно прочитана.
Недействительная подпись — это подпись, для которой расшифрованная контрольная сумма (односторонний хэш-код пакета, зашифрованного закрытым ключом), не соответствует расшифрованной контрольной сумме, вычисленной в процессе загрузки пакетов служб Службы Integration Services.
Надежная подпись — это подпись, которая создается с использованием цифрового сертификата, подписанного доверенным центром сертификации. При этом не требуется присутствия подписывающей стороны в списке доверенных издателей пользователя.
Ненадежная подпись — это подпись, которая не может быть подтверждена доверенным центром сертификации, или подпись, которая не является текущей.
Следующая таблица перечисляет допустимые значения параметра типа DWORD и связанные с ними политики.
Значение |
Описание |
|---|---|
0 |
Нет административного ограничения. |
1 |
Заблокировать недопустимые подписи. Этот параметр не блокирует неподписанные пакеты. |
2 |
Заблокировать недопустимые и ненадежные подписи. Этот параметр не блокирует неподписанные пакеты, но блокирует самостоятельно сформированные подписи. |
3 |
Заблокировать недопустимые и ненадежные подписи и неподписанные пакеты. Это параметр также блокирует самостоятельно сформированные подписи. |
.gif "Примечание") Примечание |
|---|
Рекомендованное значение для BlockedSignatureStates — 3. Это обеспечивает наибольшую защиту от неподписанных пакетов или подписей, которые являются либо недействительными, либо ненадежными. Однако рекомендованное значение не может подходить для всех случаев. Дополнительные сведения о подписывании электронных ресурсов см. в разделе Введение в подписывание кода библиотеки MSDN. |
Реализация политики подписи пакетов
В меню Пуск выберите команду Выполнить.
В диалоговом окне «Запуск программы» наберите Regedit и нажмите кнопку ОК.
Найдите раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\100\SSIS.
Щелкните правой кнопкой мыши раздел MSDTS, укажите пункт Создать, а затем щелкните Параметр DWORD.
Измените имя нового параметра на BlockedSignatureStates.
Щелкните правой кнопкой мыши параметр BlockedSignatureStates и выберите Изменить.
В диалоговом окне Изменение параметра DWORD введите значение 0, 1, 2 или 3.
Нажмите кнопку ОК.
В меню Файл выберите пункт Выход.
См. также
Задания
Определение источника пакетов с помощью цифровых подписей