Šifrování dat obnovení v databázi
Platí pro: Configuration Manager (Current Branch)
Když vytvoříte zásadu správy nástroje BitLocker, Configuration Manager nasadí službu Recovery Service do bodu správy. Na stránce Správa klientů zásad správy nástroje BitLocker při konfiguraci služeb pro správu nástroje BitLocker klient zálohuje informace o obnovení klíče do databáze lokality. Tyto informace zahrnují obnovovací klíče nástroje BitLocker, obnovovací balíčky a hodnoty hash hesel TPM. Když jsou uživatelé uzamčení svého chráněného zařízení, můžete jim pomocí těchto informací pomoct obnovit přístup k zařízení.
Vzhledem k citlivé povaze těchto informací je potřeba je chránit. Configuration Manager vyžaduje připojení HTTPS mezi klientem a službou Recovery Service k šifrování dat přenášených přes síť. Další informace najdete v tématu Šifrování dat obnovení přes síť.
Zvažte také šifrování těchto dat, pokud jsou uložena v databázi lokality. Pokud nainstalujete certifikát SQL Server, Configuration Manager šifruje data v SQL.
Pokud nechcete vytvořit šifrovací certifikát bitlockeru pro správu, přihlaste se k ukládání dat obnovení ve formátu prostého textu. Při vytváření zásad správy nástroje BitLocker povolte možnost Povolit ukládání informací o obnovení ve formátu prostého textu.
Poznámka
Další vrstvou zabezpečení je šifrování celé databáze lokality. Pokud povolíte šifrování databáze, nebudou v Configuration Manager žádné funkční problémy.
Šifrovat s opatrností, zejména v rozsáhlých prostředích. V závislosti na zašifrovaných tabulkách a verzi SQL můžete zaznamenat až 25% snížení výkonu. Aktualizujte plány zálohování a obnovení, abyste mohli úspěšně obnovit šifrovaná data.
Poznámka
Configuration Manager nikdy neodebere ani neodstraní informace o obnovení zařízení z databáze, a to ani v případě, že je klient neaktivní nebo odstraněný. Toto chování je z bezpečnostních důvodů. Pomáhá ve scénářích, kdy je zařízení odcizeno, ale později obnoveno. U velkých prostředí má dopad na velikost databáze přibližně 9 kB dat na šifrovaný svazek.
SQL Server šifrovací certifikát
Tento certifikát SQL Server použijte pro Configuration Manager k šifrování dat obnovení nástroje BitLocker v databázi lokality. Certifikát podepsaný svým držitelem můžete vytvořit pomocí skriptu v SQL Server.
Případně můžete k vytvoření a nasazení tohoto certifikátu použít vlastní proces, pokud splňuje následující požadavky:
Název šifrovacího certifikátu bitlockeru pro správu musí být
BitLockerManagement_CERT.Zašifrujte tento certifikát pomocí hlavního klíče databáze.
Následující SQL Server uživatelé potřebují oprávnění k řízení certifikátu:
- RecoveryAndHardwareCore
- RecoveryAndHardwareRead
- RecoveryAndHardwareWrite
Nasaďte stejný certifikát do každé databáze lokality ve vaší hierarchii.
Vytvořte certifikát s nejnovější verzí SQL Server.
Důležité
- Certifikáty vytvořené pomocí SQL Server 2016 nebo novější jsou kompatibilní s SQL Server 2014 nebo starší verzí.
- Certifikáty vytvořené pomocí SQL Server 2014 nebo starší nejsou kompatibilní s SQL Server 2016 nebo novější verzí.
Správa šifrovacího certifikátu při upgradu SQL Server
Pokud je vaše databáze lokality SQL Server 2014 nebo starší, před upgradem SQL Server na verzi 2016 nebo novější použijte následující postup a otočte certifikát na podporovanou verzi.
V instanci SQL Server s nejnovější dostupnou verzí, alespoň verzí 2016:
Na SQL Server instance se šifrovanou databází lokality, kterou plánujete upgradovat:
Přesuňte existující certifikát na serveru databáze lokality SQL Server instanci na jiný název.
Obměňte nový certifikát pro existující certifikát. Použití poskytnuté funkce SQL
[RecoveryAndHardwareCore].[RecryptKey]
Důležité
Pokud upgradujete SQL Server před obměnou certifikátem, požádejte podpora Microsoftu o pomoc s řešením.
Tento proces můžete použít také v případě, že vaše obchodní požadavky určují, že potřebujete tento certifikát pravidelně obnovovat.
Ukázkové skripty
Tyto skripty SQL jsou příklady pro vytvoření a nasazení šifrovacího certifikátu bitlockeru pro správu v databázi Configuration Manager lokality.
Vytvoření certifikátu
Tento ukázkový skript provede následující akce:
- Vytvoří certifikát.
- Nastaví oprávnění.
- Vytvoří hlavní klíč databáze.
Před použitím tohoto skriptu v produkčním prostředí změňte následující hodnoty:
- Název databáze lokality (
CM_ABC) - Heslo pro vytvoření hlavního klíče (
MyMasterKeyPassword) - Datum vypršení platnosti certifikátu (
20391022)
USE CM_ABC
IF NOT EXISTS (SELECT name FROM sys.symmetric_keys WHERE name = '##MS_DatabaseMasterKey##')
BEGIN
CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'MyMasterKeyPassword'
END
IF NOT EXISTS (SELECT name from sys.certificates WHERE name = 'BitLockerManagement_CERT')
BEGIN
CREATE CERTIFICATE BitLockerManagement_CERT AUTHORIZATION RecoveryAndHardwareCore
WITH SUBJECT = 'BitLocker Management',
EXPIRY_DATE = '20391022'
GRANT CONTROL ON CERTIFICATE ::BitLockerManagement_CERT TO RecoveryAndHardwareRead
GRANT CONTROL ON CERTIFICATE ::BitLockerManagement_CERT TO RecoveryAndHardwareWrite
END
Poznámka
Datum vypršení platnosti certifikátu není kontrolováno ani vynuceno SQL Server, když se certifikát používá k šifrování databáze, jak je tomu v tomto případě.
Pokud vaše firemní požadavky určují, že tento certifikát pravidelně prodlužujete, použijte stejný postup ke správě šifrovacího certifikátu při SQL Server upgradu.
Zálohování certifikátu
Tento ukázkový skript zálohuje certifikát. Když certifikát uložíte do souboru, můžete ho obnovit do jiných databází lokality v hierarchii.
Před použitím tohoto skriptu v produkčním prostředí změňte následující hodnoty:
- Název databáze lokality (
CM_ABC) - Cesta k souboru a název (
C:\BitLockerManagement_CERT_KEY) - Export hesla klíče (
MyExportKeyPassword)
USE CM_ABC
BACKUP CERTIFICATE BitLockerManagement_CERT TO FILE = 'C:\BitLockerManagement_CERT'
WITH PRIVATE KEY ( FILE = 'C:\BitLockerManagement_CERT_KEY',
ENCRYPTION BY PASSWORD = 'MyExportKeyPassword')
Důležité
Vždy zálohujte certifikát. V případě, že potřebujete obnovit databázi lokality, možná budete muset obnovit certifikát, abyste znovu získali přístup k obnovovacím klíčům.
Soubor exportovaného certifikátu a přidružené heslo uložte v zabezpečeném umístění.
Obnovení certifikátu
Tento ukázkový skript obnoví certifikát ze souboru. Tento proces použijte k nasazení certifikátu, který jste vytvořili v jiné databázi lokality.
Před použitím tohoto skriptu v produkčním prostředí změňte následující hodnoty:
- Název databáze lokality (
CM_ABC) - Heslo hlavního klíče (
MyMasterKeyPassword) - Cesta k souboru a název (
C:\BitLockerManagement_CERT_KEY) - Export hesla klíče (
MyExportKeyPassword)
USE CM_ABC
IF NOT EXISTS (SELECT name FROM sys.symmetric_keys WHERE name = '##MS_DatabaseMasterKey##')
BEGIN
CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'MyMasterKeyPassword'
END
IF NOT EXISTS (SELECT name from sys.certificates WHERE name = 'BitLockerManagement_CERT')
BEGIN
CREATE CERTIFICATE BitLockerManagement_CERT AUTHORIZATION RecoveryAndHardwareCore
FROM FILE = 'C:\BitLockerManagement_CERT'
WITH PRIVATE KEY ( FILE = 'C:\BitLockerManagement_CERT_KEY',
DECRYPTION BY PASSWORD = 'MyExportKeyPassword')
GRANT CONTROL ON CERTIFICATE ::BitLockerManagement_CERT TO RecoveryAndHardwareRead
GRANT CONTROL ON CERTIFICATE ::BitLockerManagement_CERT TO RecoveryAndHardwareWrite
END
Ověření certifikátu
Pomocí tohoto skriptu SQL ověřte, že SQL Server úspěšně vytvořil certifikát s požadovanými oprávněními.
USE CM_ABC
declare @count int
select @count = count(distinct u.name) from sys.database_principals u
join sys.database_permissions p on p.grantee_principal_id = u.principal_id or p.grantor_principal_id = u.principal_id
join sys.certificates c on c.certificate_id = p.major_id
where u.name in('RecoveryAndHardwareCore', 'RecoveryAndHardwareRead', 'RecoveryAndHardwareWrite') and
c.name = 'BitLockerManagement_CERT' and p.permission_name like 'CONTROL'
if(@count >= 3) select 1
else select 0
Pokud je certifikát platný, skript vrátí hodnotu 1.
Viz také
Další informace o těchto příkazech SQL najdete v následujících článcích:
- SQL Server a šifrovací klíče databáze
- Vytvoření certifikátu
- Záložní certifikát
- Vytvoření hlavního klíče
- Hlavní klíč zálohování
- Udělení oprávnění k certifikátu