ALTER SERVICE MASTER KEY (Transact-SQL)
Altera a chave mestra de serviço de uma instância do SQL Server.
Sintaxe
ALTER SERVICE MASTER KEY
[ { <regenerate_option> | <recover_option> } ] [;]
<regenerate_option> ::=
[ FORCE ] REGENERATE
<recover_option> ::=
{ WITH OLD_ACCOUNT = 'account_name' , OLD_PASSWORD = 'password' }
|
{ WITH NEW_ACCOUNT = 'account_name' , NEW_PASSWORD = 'password' }
Argumentos
FORCE
Indica que a chave mestra de serviço deve ser regenerada, mesmo com o risco de perda de dados. Para obter mais informações, consulte Alterando a conta de serviço do SQL Server mais adiante neste tópico.REGENERE
Indica que a chave mestra de serviço deve ser gerada novamente.OLD_ACCOUNT ='account_name'
Especifica o nome da antiga conta de serviço do Windows.OLD_PASSWORD ='password'
Especifica o nome da antiga senha de serviço do Windows.NEW_ACCOUNT ='account_name'
Especifica o nome da nova conta de serviço do Windows.NEW_PASSWORD ='password'
Especifica o nome da nova senha de serviço do Windows.
Comentários
A chave mestra de serviço é gerada automaticamente na primeira vez que é necessária para criptografar a senha, as credenciais ou a chave mestra de banco de dados de um servidor vinculado. A chave mestra de serviço que usa a chave da máquina local ou a API de Proteção de Dados do Windows é criptografada. Essa API usa uma chave que é derivada a partir das credenciais do Windows da conta de serviço do SQL Server.
A chave mestra de serviço só pode ser descriptografada pela conta de serviço sob a qual foi criada ou por um principal que tenha acesso às credenciais do Windows dessa conta de serviço. Portanto, para alterar a conta de serviço sob o serviço do SQL Server é executado, é necessário habilitar a descriptografia da chave mestra de serviço através da nova conta.
Alterando a conta de serviço do SQL Server
Para alterar a conta de serviço do SQL Server Configuration Manager, use o SQL Server Configuration Manager. Para gerenciar uma alteração da conta de serviço, o SQL Server armazena uma cópia redundante da chave mestra de serviço protegida pela conta da máquina que tem as permissões necessárias concedidas ao grupo de serviço do SQL Server. Se o computador for recriado, o mesmo usuário de domínio que foi usado anteriormente pela conta de serviço poderá recuperar a chave mestra de serviço. Isto não funciona com contas locais ou com o Sistema Local, com o Serviço Local ou com contas de Serviço de Rede. Quando estiver movendo o SQL Server para outro computador, migre a chave mestra de serviço usando backup e restauração.
A frase REGENERATE gera a chave mestra de serviço novamente. Quando a chave mestra de serviço é gerada novamente, o SQL Server descriptografa todas as chaves que foram criptografadas com ela e, sem seguida, as criptografa com a nova chave mestra de serviço. Essa operação utiliza muitos recursos. É recomendável agendar essa operação em um período de baixa demanda, a menos que a chave esteja comprometida. Se qualquer uma das descriptografias falhar, a instrução inteira falhará.
A opção FORCE faz com que a o processo de gerar novamente a chave continue mesmo que não possa recuperar a chave mestra atual ou não possa descriptografar todas as chaves particulares criptografadas com ela. Use FORCE somente se a nova geração falhar e não for possível restaurar a chave mestra de serviço usando a instrução RESTORE SERVICE MASTER KEY.
Cuidado |
---|
A chave mestra de serviço é a raiz da hierarquia de criptografia do SQL Server. Ela protege todas as outras chaves e segredos diretamente ou indiretamente na árvore. Se uma chave dependente não puder ser descriptografada durante uma nova geração forçada, os dados que ela protege serão perdidos. |
As opções MACHINE KEY permitem adicionar ou descartar criptografia usando a chave de máquina.
Permissões
Exige a permissão CONTROL SERVER no servidor.
Exemplos
O exemplo a seguir gera a chave mestra de serviço novamente.
ALTER SERVICE MASTER KEY REGENERATE;
GO
Histórico de alterações
Conteúdo atualizado |
---|
Foi removido o texto errôneo ENCRYPTION BY MACHINE da seção Sintaxe. |
Consulte também