Реализация политики подписывания путем задания параметра реестра
Для управления организационной политикой при загрузке подписанных и неподписанных пакетов можно использовать необязательный параметр реестра. При использовании данного параметра реестра его необходимо создать на каждом компьютере, где будут выполняться пакеты Службы Integration Services и где требуется принудительное выполнение этой политики. После задания такого параметра реестра службы Службы Integration Services будут проверять наличие и верность подписи перед загрузкой пакетов.
Процедура, описанная в этом разделе, позволяет добавить необязательный параметр BlockedSignatureStates типа DWORD в раздел реестра «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\100\SSIS». Значение данных в BlockedSignatureStates определяет, должен ли пакет быть заблокирован, если у него ненадежная подпись, недопустимая подпись или он вообще не подписан. Что касается состояния подписей, используемых для пакетов, то в значении реестра BlockedSignatureStates используются следующие определения:
Действительная подпись — это подпись, которая может быть успешно прочитана.
Недействительная подпись — это подпись, для которой расшифрованная контрольная сумма (односторонний хэш-код пакета, зашифрованного закрытым ключом), не соответствует расшифрованной контрольной сумме, вычисленной в процессе загрузки пакетов служб Службы Integration Services .
Надежная подпись — это подпись, которая создается с использованием цифрового сертификата, подписанного доверенным центром сертификации. При этом не требуется присутствия подписывающей стороны в списке доверенных издателей пользователя.
Ненадежная подпись — это подпись, которая не может быть подтверждена доверенным центром сертификации, или подпись, которая не является текущей.
Следующая таблица перечисляет допустимые значения параметра типа DWORD и связанные с ними политики.
| Значение | Описание |
|---|---|
| 0 | Нет административного ограничения. |
| 1 | Заблокировать недопустимые подписи. Этот параметр не блокирует неподписанные пакеты. |
| 2 | Заблокировать недопустимые и ненадежные подписи. Этот параметр не блокирует неподписанные пакеты, но блокирует самостоятельно сформированные подписи. |
| 3 | Заблокировать недопустимые и ненадежные подписи и неподписанные пакеты. Это параметр также блокирует самостоятельно сформированные подписи. |
Примечание
Рекомендованное значение для BlockedSignatureStates — 3. Это обеспечивает наибольшую защиту от неподписанных пакетов или подписей, которые являются либо недействительными, либо ненадежными. Однако рекомендованное значение не может подходить для всех случаев. Дополнительные сведения о подписывании электронных ресурсов см. в разделеВведение в подписывание кодабиблиотеки MSDN.
Реализация политики подписи пакетов
В меню Пуск выберите команду Выполнить.
В диалоговом окне Выполнить введите
Regeditи нажмите кнопку ОК.Найдите раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\100\SSIS.
Щелкните правой кнопкой мыши раздел MSDTS, укажите пункт Создать, а затем щелкните Параметр DWORD.
Обновите имя нового значения до
BlockedSignatureStates.Щелкните правой кнопкой мыши
BlockedSignatureStatesи выберите команду Изменить.В диалоговом окне Изменение параметра DWORD введите значение 0, 1, 2 или 3.
Нажмите кнопку ОК.
В меню Файл выберите пункт Выход.
См. также
Общие сведения о безопасности (службы Integration Services)
Определение источника пакетов с помощью цифровых подписей