如何:使用登錄值實作簽署原則
更新: 2006 年 12 月 12 日
您可使用登錄值管理載入已簽署或未簽署之封裝的組織原則。
此程序描述如何將 BlockedSignatureStates DWORD 值新增到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTS 登錄機碼。BlockedSignatureStates 中的資料值會決定在封裝具有不受信任的簽章、具有無效的簽章或未簽署時,是否應該封鎖它。關於用來簽署封裝的簽章狀態,BlockedSignatureStates 登錄值會使用下列定義:
- 「有效簽章」是指可以成功讀取的簽章。
- 「無效簽章」是指簽章的解密總和檢查碼 (由私密金鑰加密之封裝程式碼的單向雜湊) 與載入 Integration Services 封裝程序中導出的解密總和檢查碼不符。
- 「信任簽章」是指使用由信任根憑證授權單位簽署的數位憑證所建立的簽章。使用此設定時,簽署者不必出現在使用者的「受信任的發行者」清單中。
- 不受信任的簽章是指無法確認為信任根憑證授權單位所發出的簽章,或不是目前的簽章。
下表列出 DWORD 資料的有效值及其相關聯的原則。
| 值 | 描述 |
|---|---|
0 |
沒有管理限制。 |
1 |
封鎖無效的簽章。 此設定不會封鎖未簽署的封裝。 |
2 |
封鎖無效及不受信任的簽章。 此設定不會封鎖未簽署的封裝,但是會封鎖自我產生的簽章。 |
3 |
封鎖無效和不受信任的簽章以及未簽署的封裝。 此設定也會封鎖自我產生的簽章。 |
如果 BlockedSignatureStates 登錄值的類型是 DWORD,而且登錄值不是 0、1、2 或 3,則 Integration Services 會將登錄值視為 3。如果 BlockedSignatureStates 不是設定為 DWORD,則 Integration Services 會將登錄值視為具有 0 值的 DWORD。
.gif "ms403378.note(zh-tw,SQL.90).gif") 附註: |
|---|
| BlockedSignatureStates 的建議設定為 3。此設定會提供最大程度的保護,以防範無效或不受信任的未簽署封裝或簽章。但是,建議設定未必適合所有情況。如需有關如何簽署數位資產的詳細資訊,請參閱 MSDN Library 中的<程式碼簽章簡介>(英文) 主題。 |
實作封裝的簽署原則
在 [開始] 功能表上,按一下 [執行]。
在 [執行] 對話方塊中,輸入 Regedit,然後按一下 [確定]。
找出登錄機碼 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTS。
以滑鼠右鍵按一下 [MSDTS],指向 [新增],然後按一下 [DWORD 值]。
將新值的名稱更新為 BlockedSignatureStates。
以滑鼠右鍵按一下 [BlockedSignatureStates],然後按一下 [修改]。
在 [編輯 DWORD 值] 對話方塊中,輸入值 0、1、2 或 3。
按一下 [確定]。
在 [檔案] 功能表上按一下 [結束]。
請參閱
工作
概念
Integration Services 的安全性考量
安全性的如何主題 (SSIS)