Partilhar via


ALTER SERVICE MASTER KEY (Transact-SQL)

Altera a chave mestra de serviço de uma instância do SQL Server.

Ícone de vínculo de tópicoConvenções de sintaxe Transact-SQL

Sintaxe

ALTER SERVICE MASTER KEY 
    [ { <regenerate_option> | <recover_option> } ] [;]

<regenerate_option> ::=
    [ FORCE ] REGENERATE

<recover_option> ::=
    { WITH OLD_ACCOUNT = 'account_name' , OLD_PASSWORD = 'password' }
    |    
    { WITH NEW_ACCOUNT = 'account_name' , NEW_PASSWORD = 'password' }

Argumentos

  • FORCE
    Indica que a chave mestra de serviço deve ser regenerada, mesmo com o risco de perda de dados. Para obter mais informações, consulte Alterando a conta de serviço do SQL Server mais adiante neste tópico.

  • REGENERE
    Indica que a chave mestra de serviço deve ser gerada novamente.

  • OLD_ACCOUNT ='account_name'
    Especifica o nome da antiga conta de serviço do Windows.

  • OLD_PASSWORD ='password'
    Especifica o nome da antiga senha de serviço do Windows.

  • NEW_ACCOUNT ='account_name'
    Especifica o nome da nova conta de serviço do Windows.

  • NEW_PASSWORD ='password'
    Especifica o nome da nova senha de serviço do Windows.

Comentários

A chave mestra de serviço é gerada automaticamente na primeira vez que é necessária para criptografar a senha, as credenciais ou a chave mestra de banco de dados de um servidor vinculado. A chave mestra de serviço que usa a chave da máquina local ou a API de Proteção de Dados do Windows é criptografada. Essa API usa uma chave que é derivada a partir das credenciais do Windows da conta de serviço do SQL Server.

A chave mestra de serviço só pode ser descriptografada pela conta de serviço sob a qual foi criada ou por um principal que tenha acesso às credenciais do Windows dessa conta de serviço. Portanto, para alterar a conta de serviço sob o serviço do SQL Server é executado, é necessário habilitar a descriptografia da chave mestra de serviço através da nova conta.

Alterando a conta de serviço do SQL Server

Para alterar a conta de serviço do SQL Server Configuration Manager, use o SQL Server Configuration Manager. Para gerenciar uma alteração da conta de serviço, o SQL Server armazena uma cópia redundante da chave mestra de serviço protegida pela conta da máquina que tem as permissões necessárias concedidas ao grupo de serviço do SQL Server. Se o computador for recriado, o mesmo usuário de domínio que foi usado anteriormente pela conta de serviço poderá recuperar a chave mestra de serviço. Isto não funciona com contas locais ou com o Sistema Local, com o Serviço Local ou com contas de Serviço de Rede. Quando estiver movendo o SQL Server para outro computador, migre a chave mestra de serviço usando backup e restauração.

A frase REGENERATE gera a chave mestra de serviço novamente. Quando a chave mestra de serviço é gerada novamente, o SQL Server descriptografa todas as chaves que foram criptografadas com ela e, sem seguida, as criptografa com a nova chave mestra de serviço. Essa operação utiliza muitos recursos. É recomendável agendar essa operação em um período de baixa demanda, a menos que a chave esteja comprometida. Se qualquer uma das descriptografias falhar, a instrução inteira falhará.

A opção FORCE faz com que a o processo de gerar novamente a chave continue mesmo que não possa recuperar a chave mestra atual ou não possa descriptografar todas as chaves particulares criptografadas com ela. Use FORCE somente se a nova geração falhar e não for possível restaurar a chave mestra de serviço usando a instrução RESTORE SERVICE MASTER KEY.

Observação sobre cuidadosCuidado

A chave mestra de serviço é a raiz da hierarquia de criptografia do SQL Server. Ela protege todas as outras chaves e segredos diretamente ou indiretamente na árvore. Se uma chave dependente não puder ser descriptografada durante uma nova geração forçada, os dados que ela protege serão perdidos.

As opções MACHINE KEY permitem adicionar ou descartar criptografia usando a chave de máquina.

Permissões

Exige a permissão CONTROL SERVER no servidor.

Exemplos

O exemplo a seguir gera a chave mestra de serviço novamente.

ALTER SERVICE MASTER KEY REGENERATE;
GO

Histórico de alterações

Conteúdo atualizado

Foi removido o texto errôneo ENCRYPTION BY MACHINE da seção Sintaxe.