Veritabanında kurtarma verilerini şifreleme
Uygulama hedefi: Configuration Manager (güncel dalı)
Bir BitLocker yönetim ilkesi oluşturduğunuzda Configuration Manager kurtarma hizmetini bir yönetim noktasına dağıtır. BitLocker yönetim ilkesinin İstemci Yönetimi sayfasında, BitLocker Yönetim Hizmetleri'ni yapılandırdığınızda, istemci anahtar kurtarma bilgilerini site veritabanına yedekler. Bu bilgiler BitLocker kurtarma anahtarlarını, kurtarma paketlerini ve TPM parola karmalarını içerir. Kullanıcılar korumalı cihazlarının dışındayken, cihaza erişimi kurtarmalarına yardımcı olması için bu bilgileri kullanabilirsiniz.
Bu bilgilerin hassas doğası göz önünde bulundurulduğunda, onu korumanız gerekir. Configuration Manager, ağ üzerinden aktarımda olan verileri şifrelemek için istemci ile kurtarma hizmeti arasında bir HTTPS bağlantısı gerektirir. Daha fazla bilgi için bkz. Ağ üzerinden kurtarma verilerini şifreleme.
Bu verileri site veritabanında depolandığında da şifrelemeyi göz önünde bulundurun. bir SQL Server sertifikası yüklerseniz Configuration Manager VERILERINIZI SQL'de şifreler.
BitLocker yönetim şifreleme sertifikası oluşturmak istemiyorsanız, kurtarma verilerinin düz metin depolamasını kabul edin. BitLocker yönetim ilkesi oluşturduğunuzda Kurtarma bilgilerinin düz metinde depolanmasına izin ver seçeneğini etkinleştirin.
Not
Bir diğer güvenlik katmanı da site veritabanının tamamını şifrelemektir. Veritabanında şifrelemeyi etkinleştirirseniz, Configuration Manager'de işlevsel bir sorun yoktur.
Özellikle büyük ölçekli ortamlarda dikkatli bir şekilde şifreleyin. Şifrelediğiniz tablolara ve SQL sürümüne bağlı olarak %25'e kadar performans düşüşü fark edebilirsiniz. Şifrelenmiş verileri başarıyla kurtarabilmeniz için yedekleme ve kurtarma planlarınızı güncelleştirin.
Not
Configuration Manager, istemci etkin olmasa veya silinse bile hiçbir zaman cihazların kurtarma bilgilerini veritabanından kaldırmaz veya silmez. Bu davranış güvenlik nedenleriyledir. Bir cihazın çalındığı ancak daha sonra kurtarıldığı senaryolarda yardımcı olur. Büyük ortamlar için veritabanı boyutu üzerindeki etkisi şifrelenmiş birim başına yaklaşık 9 KB veridir.
şifreleme sertifikası SQL Server
Site veritabanındaki BitLocker kurtarma verilerini şifrelemek üzere Configuration Manager için bu SQL Server sertifikasını kullanın. SQL Server'da betik kullanarak otomatik olarak imzalanan bir sertifika oluşturabilirsiniz.
Alternatif olarak, aşağıdaki gereksinimleri karşılıyorsa bu sertifikayı oluşturmak ve dağıtmak için kendi işleminizi kullanabilirsiniz:
BitLocker yönetim şifreleme sertifikasının adı olmalıdır
BitLockerManagement_CERT.Bu sertifikayı bir veritabanı ana anahtarıyla şifreleyin.
Aşağıdaki SQL Server kullanıcıların sertifika üzerinde Denetim izinlerine sahip olması gerekir:
- RecoveryAndHardwareCore
- RecoveryAndHardwareRead
- RecoveryAndHardwareWrite
Hiyerarşinizdeki her site veritabanında aynı sertifikayı dağıtın.
Sertifikayı SQL Server en son sürümüyle oluşturun.
Önemli
- SQL Server 2016 veya sonraki sürümleriyle oluşturulan sertifikalar SQL Server 2014 veya önceki sürümlerle uyumludur.
- SQL Server 2014 veya önceki sürümleriyle oluşturulan sertifikalar SQL Server 2016 veya sonraki sürümlerle uyumlu değildir.
SQL Server yükseltmede şifreleme sertifikasını yönetme
Site veritabanınız SQL Server 2014 veya önceki bir sürümdeyse, SQL Server sürüm 2016 veya sonraki bir sürüme yükseltmeden önce, sertifikayı desteklenen bir sürüme döndürmek için aşağıdaki yordamı kullanın.
En son kullanılabilir sürümü çalıştıran SQL Server örneğinde, en az sürüm 2016:
Yükseltmeyi planladığınız şifrelenmiş site veritabanıyla SQL Server örneğinde:
Site veritabanı sunucusunda var olan sertifikayı SQL Server örneği başka bir ada taşıyın.
Mevcut sertifika için yeni sertifikayı içinde döndürün. Sağlanan SQL işlevini kullanma
[RecoveryAndHardwareCore].[RecryptKey]
Önemli
Sertifikayı döndürmeden önce SQL Server yükseltirseniz, geçici bir çözüm için Microsoft Desteği başvurun.
İş gereksinimleriniz bu sertifikayı düzenli olarak yenilemeniz gerektiğini belirtiyorsa da bu işlemi kullanabilirsiniz.
Örnek betikler
Bu SQL betikleri, Configuration Manager site veritabanında BitLocker yönetim şifreleme sertifikası oluşturma ve dağıtma örnekleridir.
Sertifika oluşturma
Bu örnek betik aşağıdaki eylemleri gerçekleştirir:
- Sertifika oluşturur
- İzinleri ayarlar
- Veritabanı ana anahtarı oluşturur
Bu betiği üretim ortamında kullanmadan önce aşağıdaki değerleri değiştirin:
- Site veritabanı adı (
CM_ABC) - Ana anahtarı oluşturma parolası (
MyMasterKeyPassword) - Sertifika süre sonu tarihi (
20391022)
USE CM_ABC
IF NOT EXISTS (SELECT name FROM sys.symmetric_keys WHERE name = '##MS_DatabaseMasterKey##')
BEGIN
CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'MyMasterKeyPassword'
END
IF NOT EXISTS (SELECT name from sys.certificates WHERE name = 'BitLockerManagement_CERT')
BEGIN
CREATE CERTIFICATE BitLockerManagement_CERT AUTHORIZATION RecoveryAndHardwareCore
WITH SUBJECT = 'BitLocker Management',
EXPIRY_DATE = '20391022'
GRANT CONTROL ON CERTIFICATE ::BitLockerManagement_CERT TO RecoveryAndHardwareRead
GRANT CONTROL ON CERTIFICATE ::BitLockerManagement_CERT TO RecoveryAndHardwareWrite
END
Not
Sertifika burada olduğu gibi veritabanı şifrelemesi için kullanıldığında sertifikanın sona erme tarihi SQL Server tarafından denetlenmiyor veya zorlanmaz.
İş gereksinimleriniz bu sertifikayı düzenli olarak yenilemenizi belirtiyorsa, SQL Server yükseltmede şifreleme sertifikasını yönetmek için aynı işlemi kullanın.
Sertifikayı yedekleme
Bu örnek betik bir sertifikayı yedekler. Sertifikayı bir dosyaya kaydettiğinizde, daha sonra hiyerarşideki diğer site veritabanlarına geri yükleyebilirsiniz .
Bu betiği üretim ortamında kullanmadan önce aşağıdaki değerleri değiştirin:
- Site veritabanı adı (
CM_ABC) - Dosya yolu ve adı (
C:\BitLockerManagement_CERT_KEY) - Anahtar parolasını dışarı aktarma (
MyExportKeyPassword)
USE CM_ABC
BACKUP CERTIFICATE BitLockerManagement_CERT TO FILE = 'C:\BitLockerManagement_CERT'
WITH PRIVATE KEY ( FILE = 'C:\BitLockerManagement_CERT_KEY',
ENCRYPTION BY PASSWORD = 'MyExportKeyPassword')
Önemli
Sertifikayı her zaman yedekleyin. Site veritabanını kurtarmanız gerekirse, kurtarma anahtarlarına yeniden erişim kazanmak için sertifikayı geri yüklemeniz gerekebilir.
Dışarı aktarılan sertifika dosyasını ve ilişkili parolayı güvenli bir konumda depolayın.
Sertifikayı geri yükleme
Bu örnek betik bir dosyadan sertifikayı geri yükler. Başka bir site veritabanında oluşturduğunuz bir sertifikayı dağıtmak için bu işlemi kullanın.
Bu betiği üretim ortamında kullanmadan önce aşağıdaki değerleri değiştirin:
- Site veritabanı adı (
CM_ABC) - Ana anahtar parolası (
MyMasterKeyPassword) - Dosya yolu ve adı (
C:\BitLockerManagement_CERT_KEY) - Anahtar parolasını dışarı aktarma (
MyExportKeyPassword)
USE CM_ABC
IF NOT EXISTS (SELECT name FROM sys.symmetric_keys WHERE name = '##MS_DatabaseMasterKey##')
BEGIN
CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'MyMasterKeyPassword'
END
IF NOT EXISTS (SELECT name from sys.certificates WHERE name = 'BitLockerManagement_CERT')
BEGIN
CREATE CERTIFICATE BitLockerManagement_CERT AUTHORIZATION RecoveryAndHardwareCore
FROM FILE = 'C:\BitLockerManagement_CERT'
WITH PRIVATE KEY ( FILE = 'C:\BitLockerManagement_CERT_KEY',
DECRYPTION BY PASSWORD = 'MyExportKeyPassword')
GRANT CONTROL ON CERTIFICATE ::BitLockerManagement_CERT TO RecoveryAndHardwareRead
GRANT CONTROL ON CERTIFICATE ::BitLockerManagement_CERT TO RecoveryAndHardwareWrite
END
Sertifikayı doğrulama
Sertifikayı SQL Server gerekli izinlerle başarıyla oluşturduğunu doğrulamak için bu SQL betiğini kullanın.
USE CM_ABC
declare @count int
select @count = count(distinct u.name) from sys.database_principals u
join sys.database_permissions p on p.grantee_principal_id = u.principal_id or p.grantor_principal_id = u.principal_id
join sys.certificates c on c.certificate_id = p.major_id
where u.name in('RecoveryAndHardwareCore', 'RecoveryAndHardwareRead', 'RecoveryAndHardwareWrite') and
c.name = 'BitLockerManagement_CERT' and p.permission_name like 'CONTROL'
if(@count >= 3) select 1
else select 0
Sertifika geçerliyse, betik değerini 1döndürür.
Ayrıca bkz.
Bu SQL komutları hakkında daha fazla bilgi için aşağıdaki makalelere bakın:
- SQL Server ve veritabanı şifreleme anahtarları
- Sertifika oluşturma
- Yedekleme sertifikası
- Ana anahtar oluşturma
- Ana anahtarı yedekleme
- Sertifika izinleri verme
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin