レジストリ値を設定して署名ポリシーを実装する方法
オプションのレジストリ値を使用して、署名付きパッケージまたは署名がないパッケージを読み込む際の組織のポリシーを管理できます。このレジストリ キーを使用する場合、Integration Services が実行されるコンピューターおよびポリシーを適用するコンピューターごとにこのレジストリ値を作成する必要があります。レジストリ値が設定されると、パッケージを読み込む前に、Integration Services によって署名が確認されます。
このトピックの手順では、オプションの BlockedSignatureStates DWORD 値をレジストリ キー HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\100\SSIS に追加する方法について説明します。BlockedSignatureStates のデータ値は、署名が信頼できない場合、署名が無効な場合、または署名がない場合に、そのパッケージをブロックするかどうかを決定します。パッケージの署名に使用される署名のステータスについて、BlockedSignatureStates レジストリ値では以下の定義が適用されます。
有効な署名とは、正常に読み取ることができる署名のことです。
無効な署名とは、暗号化解除済みのチェックサム (秘密キーによって暗号化されたパッケージ コードの一方向のハッシュ) が、Integration Services パッケージを読み込むプロセスの一部として計算された暗号化解除済みのチェックサムと一致しない署名のことです。
信頼できる署名とは、信頼されているルート証明機関により署名されたデジタル証明書を使用して作成される署名のことです。この設定で、署名者は、ユーザーの信頼できる発行元のリストに含まれている必要はありません。
信頼できない署名とは、信頼されているルート証明機関によって発行されたことを確認できない署名、または最新ではない署名のことです。
次の表に、DWORD データの有効な値、およびそれらに関連付けられたポリシーを示します。
値 |
説明 |
---|---|
0 |
管理制限はありません。 |
1 |
署名が無効なパッケージをブロックします。 この設定では、署名がないパッケージはブロックしません。 |
2 |
署名が無効または信頼できないパッケージをブロックします。 この設定では、署名がないパッケージをブロックしませんが、自己生成された署名をブロックします。 |
3 |
署名が無効であるか署名が信頼できないパッケージ、および署名がないパッケージをブロックします。 この設定では、自己生成された署名もブロックします。 |
注 |
---|
BlockedSignatureStates の推奨設定値は 3 です。この設定では、署名されていないパッケージまたは無効な署名や信頼できない署名に対する最大の保護が提供されます。ただし、推奨される設定がすべての状況に適しているとは限りません。デジタル アセットの署名の詳細については、MSDN ライブラリの「コード署名の概要」を参照してください。 |
パッケージに対する署名ポリシーを実装するには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[ファイル名を指定して実行] ダイアログ ボックスで、「Regedit」と入力し、[OK] をクリックします。
レジストリ キー HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\100\SSIS を探します。
[MSDTS] を右クリックし、[新規] をポイントして、[DWORD 値] をクリックします。
新しい値の名前を「BlockedSignatureStates」に更新します。
[BlockedSignatureStates] を右クリックして、[変更] をクリックします。
[DWORD 値の編集] ダイアログ ボックスで、「0」、「1」、「2」、または「3」のいずれかの値を入力します。
[OK] をクリックします。
[ファイル] メニューの [終了] をクリックします。