Versleutelde gegevens beheren in Windows Azure Pack
Van toepassing op: Windows Azure Pack
Windows Azure Pack voor Windows Server maakt gebruik van versleutelingsalgoritmen, versleutelingssleutels en wachtwoorden om communicatie tussen de databases en gebruikers in de beheerportal te beveiligen. Deze gegevens worden op twee of drie locaties opgeslagen.
Om de beveiliging van uw gegevens te beschermen, moet u de gegevens regelmatig wijzigen of roteren. Wanneer u gegevens op één locatie wijzigt, moet u deze op alle locaties wijzigen.
We bieden een spreadsheet met alle versleutelingsalgoritmen, sleutels en wachtwoorden en hun opgeslagen locaties. Dit werkblad bevat ook informatie over het wijzigen van elk gegevenspunt. U hebt toegang tot het spreadsheet in het Windows technische documentatiepakket van Azure Pack (https://go.microsoft.com/fwlink/?LinkId=329811) dat beschikbaar is via het Microsoft Downloadcentrum. Klik op Downloaden, selecteer het bestand WAPv1_encryption.xsl en klik vervolgens op Volgende om het bestand te downloaden.
U kunt de Best Practice Analyzer ook gebruiken voor Windows Azure Pack om de beveiliging van uw gegevens te controleren. Zie Scanonderdelen van Windows Azure Pack voor meer informatie over Best Practice Analyzer.
Gebruik de volgende informatie om uw versleutelde gegevens te beheren:
Een databasewachtwoord wijzigen
Versleutelde gegevens roteren met betrekking tot de machinesleutel
Versleutelingsalgoritmen en sleutels draaien
Het api-wachtwoord voor gebruik Beheer wijzigen
Wachtwoorden wijzigen die betrekking hebben op resourceproviders
Het wachtwoord wijzigen dat betrekking heeft op Service Reporting
Een databasewachtwoord wijzigen
Er zijn verschillende databases in Windows Azure Pack, die elk een databasewachtwoord hebben. Gebruik de volgende stappen om de databasewachtwoorden te roteren:
Een databasewachtwoord draaien
Een nieuw wachtwoord verkrijgen. Voer de volgende cmdlet uit:
$password = New-MgmtSvcPassword –Length 64Gebruik de gegevens in het werkblad om het databasewachtwoord op de eerste locatie te zoeken en te roteren. Als u bijvoorbeeld het databasewachtwoord voor de Beheer-API roteert, is de eerste locatie het geheime configuratiearchief (controleer kolom C voor locatie 1).
Voer de volgende cmdlet uit om het wachtwoord te wijzigen:
Set-MgmtSvcDatabaseSetting <Service> <Secret> $password -Server <Server> -Passphrase <Passphrase> -Database “Microsoft.MgmtSvc.Config” -ForceZoek vervolgens de derde locatie voor het databasewachtwoord en draai het databasewachtwoord. In het bovenstaande voorbeeld is dit voor het Beheer API-databasewachtwoord de SQL Server beveiligingsaanmelding (controleer kolom G voor Locatie 3).
Voer de volgende cmdlet uit:
Set-MgmtSvcDatabaseUser -Server <Server> -Database <Database> -Schema <Schema> -User <User> -UserPassword $passwordZoek ten slotte de tweede locatie voor het databasewachtwoord en draai het wachtwoord. Opnieuw voor het Beheer API-databasewachtwoord is dit de web.config connection string (controleer kolom E voor Locatie 2).
Voer de volgende cmdlets uit:
$setting = Get-MgmtSvcDatabaseSetting <Service> <Secret> -Server <Server> -Passphrase <Passphrase> $connectionString = Get-MgmtSvcSetting $namespace <ConnectionString> $builder = New-Object System.Data.SqlClient.SqlConnectionStringBuilder($connectionString.Value) $builder.Password = $setting.Value Set-MgmtSvcSetting <Service> <ConnectionString> $builder.ConnectionString
Versleutelde gegevens roteren met betrekking tot de machinesleutel
Instellingen en validatie-instellingen en -sleutels voor de Beheer API, beheerportal voor beheerders (AdminSite), verificatiesite (AuthSite), beheerportal voor tenants (TenantSite) en Windows verificatiesite (WindowsAuthSite) worden opgeslagen met behulp van de computersleutel. Gebruik de volgende stappen om deze gegevens te roteren.
Gegevens met betrekking tot de machinesleutel draaien
Haal een nieuwe computersleutel op. In het volgende voorbeeld wordt een nieuwe machinesleutel opgehaald voor machineKey.decrytpion voor de Beheer API-service. U kunt deze stappen gebruiken om andere waarden van de computersleutel te wijzigen.
Voer de volgende cmdlets uit om een nieuwe computersleutel te verkrijgen:
$machineKey = New-MgmtSvcMachineKey $decryption = $machineKey.Attribute('decryption').ValueGebruik de gegevens in het werkblad om de eerste locatie voor machineKey.decryption te vinden. Voor de Beheer API-service is dit het geheime configuratiearchief.
Voer de volgende cmdlet uit om de instelling machineKey.decryption te wijzigen:
Set-MgmtSvcDatabaseSetting <Service> "machineKey.decryption" $decryption -Server <Server> -Passphrase <Passphrase> -ForceZoek de tweede locatie voor de machineKey.decryption. Voor de Beheer API-service is dit de sectie web.config machineKey.
Voer de volgende cmdlets uit om de instelling machineKey.decryption te wijzigen:
$decryption = Get-MgmtSvcDatabaseSetting <Service> “machineKey.decryption” –Server <Server> -Passphrase <Passphrase> Set-MgmtSvcSetting <Service> "machineKey.decryption" $decryption.Value
Versleutelingsalgoritmen en sleutels draaien
Gebruik de volgende stappen om versleutelingsalgoritmen en versleutelingssleutels te roteren.
Versleutelingsalgoritmen en versleutelingssleutels roteren
Haal een nieuwe computersleutel op. In het volgende voorbeeld wordt een nieuwe computersleutel voor het algoritme voor meldingsversleuteling en -sleutel voor de Beheer-site ophaalt. U kunt deze stappen gebruiken om andere versleutelingsalgoritmen en sleutels te wijzigen.
Notitie
Dezelfde sleutels worden gebruikt voor zowel het versleutelen als ontsleutelen. Ze kunnen dus worden beschouwd als zowel versleutelings- als ontsleutelingssleutels, afhankelijk van de uitgevoerde bewerking. Daarom gebruiken we de onderstaande ontsleutelingswaarde , hoewel de sleutel die u roteert de versleutelingssleutel is.
Voer de volgende cmdlets uit om een nieuwe computersleutel te verkrijgen:
$machineKey = New-MgmtSvcMachineKey $encryption = $machineKey.Attribute('decryption').Value $encryptionKey = $machineKey.Attribute('decryptionKey').ValueGebruik de gegevens in het werkblad om de eerste locatie voor het versleutelingsalgoritmen of de eerste sleutel te vinden. Voor het algoritme voor meldingsversleuteling en -sleutel voor de Beheer-site is dit het geheime configuratiearchief.
Voer de volgende cmdlets uit om het versleutelingsalgoritmen en de sleutel te wijzigen:
Set-MgmtSvcDatabaseSetting <Service> "NotificationEncryptionAlgorithm " $encryption -Server <Server> -Passphrase <Passphrase> -Force Set-MgmtSvcDatabaseSetting <Service> "EncryptionKey " $encryptionKey -Server <Server> -Passphrase <Passphrase> -ForceZoek de tweede locatie voor het versleutelingsalgoritmen of -sleutel. Voor het algoritme en de sleutel voor meldingsversleuteling voor de Beheer-site is dit de sectie web.config app-instellingen.
Voer de volgende cmdlets uit om het versleutelingsalgoritmen en de sleutel te wijzigen:
$encryption = Get-MgmtSvcDatabaseSetting <Service> “NotificationEncryptionAlgorithm” –Server <Server> -Passphrase <Passphrase> Set-MgmtSvcSetting <Service> "NotificationEncryptionAlgorithm" $encryption.Value $encryptionKey = Get-MgmtSvcDatabaseSetting <Service> “EncryptionKey” –Server <Server> -Passphrase <Passphrase> Set-MgmtSvcSetting <Service> "EncryptionKey" $encryptionKey.Value
Het api-wachtwoord voor gebruik Beheer wijzigen
In tegenstelling tot de wachtwoorden die worden gebruikt door resourceproviders (die worden beschreven in de volgende sectie), wordt het wachtwoord voor het gebruik Beheer-API opgeslagen in het archief geheime configuratie en de sectie web.config app-instellingen. Gebruik de volgende stappen om het API-wachtwoord voor gebruik Beheer te wijzigen.
Het api-wachtwoord voor gebruik Beheer draaien
Een nieuw wachtwoord verkrijgen. Voer de volgende cmdlet uit:
$password = New-MgmtSvcPasswordWijzig het wachtwoord op de eerste locatie, het geheime configuratiearchief. Voer de volgende cmdlet uit:
Set-MgmtSvcDatabaseSetting <Service> <Secret> $password -Server <Server> -Passphrase <Passphrase> -ForceWijzig het wachtwoord op de tweede locatie, de sectie web.config app-instellingen. Voer de volgende cmdlets uit:
$setting = Get-MgmtSvcDatabaseSetting <Service> <Secret> -Server <Server> -Passphrase <Passphrase> Set-MgmtSvcSetting <Service> <Secret> $setting.Value
Wachtwoorden wijzigen die betrekking hebben op resourceproviders
Gebruik de volgende informatie om de wachtwoorden voor de resourceproviders Bewaking, MySQL, SQL Server en Gebruik te roteren.
Wachtwoorden van resourceproviders roteren
Haal een nieuw wachtwoord op voor de resourceprovider. Voer de volgende cmdlet uit:
$password = New-MgmtSvcPasswordWijzig het wachtwoord op de eerste locatie. Voer de volgende cmdlet uit:
Set-MgmtSvcDatabaseSetting <Service> “Password” $pw -Server <Server> -Passphrase <Passphrase> -ForceWijzig het wachtwoord op de derde locatie.
Notitie
Voor de Bewakingsservice wordt het wachtwoord 'MonitoringRestBasicAuthKnownPassword' genoemd. Voor de andere resourceproviders wordt het wachtwoord 'Wachtwoord' genoemd.
Voer de volgende cmdlet uit:
Set-MgmtSvcSetting <Service> “Password” $pw -EncodeWijzig het wachtwoord op de tweede locatie.
Notitie
De volgende cmdlets wijzigen het wachtwoord voor alle vier eindpunten, maar niet alle resourceproviders hebben al deze eindpunten. Bekijk de resultaten van $rp om de eindpunten voor elke resourceprovider te identificeren en pas vervolgens de authenticationPassword-waarden op de juiste manier aan.
Voer de volgende cmdlets uit:
$rp = Get-MgmtSvcResourceProviderConfiguration <Resource Provider Name> -DecryptPassword $rp.AdminEndpoint.AuthenticationPassword = $pw $rp.TenantEndpoint.AuthenticationPassword = $pw $rp.UsageEndpoint.AuthenticationPassword = $pw $rp.NotificationEndpoint.AuthenticationPassword = $pw Add-MgmtSvcResourceProviderConfiguration $rp -Force
Het wachtwoord wijzigen dat betrekking heeft op Service Reporting
Als u Servicerapportage gebruikt met Windows Azure Pack, moet u het wachtwoord bijwerken in de SQL VM's voor servicerapportage wanneer u het wachtwoord voor de gebruiksservice wijzigt.
Gebruik de volgende stappen om het wachtwoord opnieuw in te stellen.
De SQL VM-wachtwoorden voor Service Reporting wijzigen
Zorg ervoor dat de servicerapportagetaak SQL agenttaak niet wordt uitgevoerd op de VM waarop u de SQL-database hebt geïnstalleerd die servicerapportage ondersteunt. Gebruik de volgende stappen om de status van de taak weer te geven:
Verbinding maken naar het database-exemplaar van het <voorvoegsel> DW-SQL\CPSDW.
Vouw in de Objectverkenner SQL Server Agent uit.
Klik op Taken.
Klik op het tabblad Beeld op Objectverkenner Details.
Controleer de kolom Status om te zien of de agenttaak wordt uitgevoerd.
Servicerapportage bevat een script dat u kunt uitvoeren om het wachtwoord te wijzigen. Voer de volgende cmdlet uit vanaf een PowerShell-opdrachtprompt om dit script uit te voeren.
\\<Service reporting host>\ServiceReporting\Maintenance\PostDeploymentConfig.ps1 -User UsageClient –Password $newPassword