Vorgehensweise: Implementieren einer Signaturrichtlinie mithilfe eines Registrierungswerts
Aktualisiert: 12. Dezember 2006
Sie können einen Registrierungswert zum Verwalten einer Organisationsrichtlinie verwenden, um signierte und nicht signierte Pakete zu laden.
Diese Prozedur beschreibt, wie Sie den BlockedSignatureStates-DWORD-Wert zum HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTS-Registrierungsschlüssel hinzufügen können. Der Datenwert in BlockedSignatureStates bestimmt, ob ein Paket blockiert werden soll, wenn es eine nicht vertrauenswürdige Signatur, eine ungültige Signatur oder keine Signatur aufweist. Hinsichtlich des Status der zum Signieren von Paketen verwendeten Signaturen werden für den Registrierungswert BlockedSignatureStates folgende Definitionen verwendet:
- Eine gültige Signatur ist eine Signatur, die erfolgreich gelesen werden kann.
- Eine ungültige Signatur ist eine Signatur, bei der die entschlüsselte Prüfsumme (der mit einem privaten Schlüssel verschlüsselte unidirektionale Hash des Paketcodes) nicht der entschlüsselten Prüfsumme entspricht, die während des Ladevorgangs von Integration Services-Paketen berechnet wird.
- Eine vertrauenswürdige Signatur ist eine Signatur, die mithilfe eines von einer vertrauenswürdigen Stammzertifizierungsstelle signierten digitalen Zertifikats erstellt wird. Für diese Einstellung ist es nicht erforderlich, dass der Unterzeichner in der Liste vertrauenswürdiger Herausgeber des Benutzers vorhanden ist.
- Eine nicht vertrauenswürdige Signatur ist eine Signatur, bei der nicht überprüft werden kann, ob sie von einer vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurde, oder eine Signatur, die nicht aktuell ist.
In der folgenden Tabelle werden die gültigen Werte der DWORD-Daten und ihre verbundenen Richtlinien aufgelistet.
| Wert | Beschreibung |
|---|---|
0 |
Keine administrative Einschränkung. |
1 |
Blockieren von ungültigen Signaturen. Bei dieser Einstellung werden nicht signierte Pakete nicht blockiert. |
2 |
Blockieren von ungültigen und nicht vertrauenswürdigen Signaturen. Bei dieser Einstellung werden zwar nicht signierte Pakete nicht blockiert, selbst generierte Signaturen werden jedoch blockiert. |
3 |
Blockieren von ungültigen und nicht vertrauenswürdigen Signaturen und nicht signierten Paketen. Bei dieser Einstellung werden auch selbst generierte Signaturen blockiert. |
Wenn der Registrierungswert BlockedSignatureStates vom Typ DWORD und der Registrierungswert nicht 0, 1, 2 oder 3 ist, wird der Registrierungswert von Integration Services so behandelt, als wäre er 3. Wenn BlockedSignatureStates nicht auf DWORD festgelegt ist, wird der Registrierungswert von Integration Services so behandelt, als wäre er vom Typ DWORD und hätte den Wert 0.
.gif "ms403378.note(de-de,SQL.90).gif") Hinweis: |
|---|
| Die empfohlene Einstellung für BlockedSignatureStates lautet 3. Diese Einstellung bietet den besten Schutz vor nicht signierten Paketen oder Signaturen, die entweder ungültig oder nicht vertrauenswürdig sind. Die empfohlene Einstellung eignet sich jedoch möglicherweise nicht in allen Fällen. Weitere Informationen zum Signieren von Digital Assets finden Sie im Thema "Introduction to Code Signing" (in Englisch) in der MSDN Library. |
So implementieren Sie eine Signaturrichtlinie für ein Paket
Klicken Sie im Menü Start auf Ausführen.
Geben Sie Regedit im Dialogfeld Ausführen ein, und klicken Sie dann auf OK.
Suchen Sie den Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTS.
Klicken Sie mit der rechten Maustaste auf MSDTS, zeigen Sie auf Neu, und klicken Sie dann auf DWORD-Wert.
Aktualisieren Sie den Namen des neuen Werts auf BlockedSignatureStates.
Klicken Sie mit der rechten Maustaste auf BlockedSignatureStates, und klicken Sie dann auf Ändern.
Geben Sie im Dialogfeld DWORD-Wert bearbeiten den Wert 0, 1, 2, oder 3 ein.
Klicken Sie auf OK.
Klicken Sie im Menü Datei auf Beenden.
Siehe auch
Aufgaben
Signieren von Paketen mit Zertifikaten
Konzepte
Sicherheitsüberlegungen zu Integration Services
Vorgehensweisen zur Sicherheit (SSIS)