Gerenciar os dados criptografados no Microsoft Azure Pack
Aplica-se a: Windows Azure Pack
Windows Azure Pack for Windows Server usa algoritmos de criptografia, chaves de criptografia e senhas para proteger as comunicações entre os bancos de dados e os usuários no portal de gerenciamento. Esses dados são armazenados em dois ou três locais.
Para proteger a segurança dos seus dados, você precisa alterá-los ou circulá-los regularmente. Quando alterar dados em um local, você precisará alterá-los em todos os locais.
Fornecemos uma planilha que lista todos os algoritmos de criptografia, chaves e senhas e seu locais de armazenamento. Essa planilha também contém informações sobre como alterar cada ponto de dados. Você pode acessar a planilha no Windows pacote de documentação técnica do Azure Pack (https://go.microsoft.com/fwlink/?LinkId=329811) disponível no Centro de Download da Microsoft. Clique em Baixar, selecione o arquivo WAPv1_encryption.xsl e clique em Avançar para começar a baixar o arquivo.
Você também pode usar o Analisador de Práticas Recomendadas para Windows Pacote do Azure para verificar a segurança de seus dados. Para obter informações sobre o Analisador de Práticas Recomendadas, consulte Os componentes de verificação do Windows Azure Pack.
Use as seguintes informações para gerenciar seus dados criptografados:
Alterar uma senha de banco de dados
Circulando dados criptografados relacionados à chave do computador
Circulando algoritmos de criptografia e chaves
Alterando a senha da API de administração de uso
Alterando senhas relacionadas a provedores de recursos
Alterando a senha relacionada ao Service Reporting
Alterar uma senha de banco de dados
Há vários bancos de dados no Windows Azure Pack, cada um deles com uma senha de banco de dados. Use as seguintes etapas para circular as senhas de banco de dados:
Para circular uma senha de banco de dados
Obtenha uma nova senha. Execute o cmdlet a seguir:
$password = New-MgmtSvcPassword –Length 64Use os dados na planilha para localizar e circular a senha do banco de dados no primeiro local. Por exemplo, se estiver circulando a senha do banco de dados para a API (interface de programação de aplicativo) de administração, o primeiro local será o repositório de configuração Segredo (coluna C para o local 1).
Execute o seguinte cmdlet para alterar a senha:
Set-MgmtSvcDatabaseSetting <Service> <Secret> $password -Server <Server> -Passphrase <Passphrase> -Database “Microsoft.MgmtSvc.Config” -ForceEm seguida, localize o terceiro local para a senha do banco de dados e circule a senha do banco de dados. Usando o exemplo acima da senha do banco de dados de API de administração, trata-se do logon de segurança do SQL Server (coluna G para o local 3).
Execute o cmdlet a seguir:
Set-MgmtSvcDatabaseUser -Server <Server> -Database <Database> -Schema <Schema> -User <User> -UserPassword $passwordFinalmente, localize o segundo local para a senha do banco de dados e circule a senha. Como na senha do banco de dados da API de administração, trata-se da cadeia de conexão web.config (coluna E para o local 2).
Execute os seguintes cmdlets:
$setting = Get-MgmtSvcDatabaseSetting <Service> <Secret> -Server <Server> -Passphrase <Passphrase> $connectionString = Get-MgmtSvcSetting $namespace <ConnectionString> $builder = New-Object System.Data.SqlClient.SqlConnectionStringBuilder($connectionString.Value) $builder.Password = $setting.Value Set-MgmtSvcSetting <Service> <ConnectionString> $builder.ConnectionString
Circulando dados criptografados relacionados à chave do computador
As configurações de descriptografia e validação e as chaves para a API de administração, o portal de gerenciamento para administradores (AdminSite), o site de autenticação (AuthSite), o portal de gerenciamento para locatários (TenantSite) e o site de autenticação do Windows (WindowsAuthSite) são armazenadas usando a chave do computador. Use as etapas a seguir para circular esses dados.
Para circular os dados relacionados à chave do computador
Obtenha uma nova chave de computador. O exemplo a seguir obtém uma nova chave de computador para machineKey.decrytpion para o serviço da API de administração. Você pode usar estas etapas para alterar outros valores de chave do computador.
Execute os seguintes cmdlets para obter uma nova chave de computador:
$machineKey = New-MgmtSvcMachineKey $decryption = $machineKey.Attribute('decryption').ValueUse os dados na planilha para localizar o primeiro local para machineKey.decryption. Para o serviço de API Administração, este é o Repositório de Configurações Secretas.
Execute o seguinte cmdlet para alterar a configuração de machineKey.decryption:
Set-MgmtSvcDatabaseSetting <Service> "machineKey.decryption" $decryption -Server <Server> -Passphrase <Passphrase> -ForceLocalize o segundo local para o machineKey.decryption. Para o serviço de API Administração, esta é a seção web.config machineKey.
Execute os seguintes cmdlets para alterar a configuração de machineKey.decryption:
$decryption = Get-MgmtSvcDatabaseSetting <Service> “machineKey.decryption” –Server <Server> -Passphrase <Passphrase> Set-MgmtSvcSetting <Service> "machineKey.decryption" $decryption.Value
Circulando algoritmos de criptografia e chaves
Use as etapas a seguir para circular os algoritmos de criptografia e as chaves de criptografia.
Para girar os algoritmos de criptografia e as chaves de criptografia
Obtenha uma nova chave de computador. O exemplo a seguir obtém uma nova chave de computador para o algoritmo de criptografia de notificação e a chave para o site de administração. Você pode usar estas etapas para alterar outros algoritmos e chaves de criptografia.
Observação
As mesmas chaves são usadas para criptografia e descriptografia. Portanto, podem ser consideradas chaves de criptografia ou descriptografia, dependendo da operação executada. Por isso, usamos o valor de descriptografia abaixo, embora a chave que você está girando seja a chave de criptografia .
Execute os seguintes cmdlets para obter uma nova chave de computador:
$machineKey = New-MgmtSvcMachineKey $encryption = $machineKey.Attribute('decryption').Value $encryptionKey = $machineKey.Attribute('decryptionKey').ValueUse os dados da planilha para localizar o primeiro local para o algoritmo ou chave de criptografia. Para o algoritmo e a chave de criptografia de notificação para o site de administração, trata-se do repositório de configuração Segredo.
Execute os seguintes cmdlets para alterar o algoritmo e a chave de criptografia:
Set-MgmtSvcDatabaseSetting <Service> "NotificationEncryptionAlgorithm " $encryption -Server <Server> -Passphrase <Passphrase> -Force Set-MgmtSvcDatabaseSetting <Service> "EncryptionKey " $encryptionKey -Server <Server> -Passphrase <Passphrase> -ForceLocalize o segundo local para o algoritmo ou a chave de criptografia. Para o algoritmo e a chave de criptografia de notificação para o site de administração, trata-se de web.config da configuração do aplicativo.
Execute os seguintes cmdlets para alterar o algoritmo e a chave de criptografia:
$encryption = Get-MgmtSvcDatabaseSetting <Service> “NotificationEncryptionAlgorithm” –Server <Server> -Passphrase <Passphrase> Set-MgmtSvcSetting <Service> "NotificationEncryptionAlgorithm" $encryption.Value $encryptionKey = Get-MgmtSvcDatabaseSetting <Service> “EncryptionKey” –Server <Server> -Passphrase <Passphrase> Set-MgmtSvcSetting <Service> "EncryptionKey" $encryptionKey.Value
Alterando a senha da API de administração de uso
Ao contrário de senhas usadas por provedores de recursos (que são descritos na próxima seção), a senha para a API de administração de uso é armazenada no repositório de configuração Segredo e a seção de configuração do aplicativo web.config. Use as seguintes etapas para alterar a senha de API de administração de uso.
Para circular a senha da API de administração de uso
Obtenha uma nova senha. Execute o cmdlet a seguir:
$password = New-MgmtSvcPasswordAltere a senha no primeiro local, o repositório de configuração Segredo. Execute o cmdlet a seguir:
Set-MgmtSvcDatabaseSetting <Service> <Secret> $password -Server <Server> -Passphrase <Passphrase> -ForceAltere a senha no segundo local, a seção de configuração do aplicativo web.config. Execute os seguintes cmdlets:
$setting = Get-MgmtSvcDatabaseSetting <Service> <Secret> -Server <Server> -Passphrase <Passphrase> Set-MgmtSvcSetting <Service> <Secret> $setting.Value
Alterando senhas relacionadas a provedores de recursos
Use as seguintes informações para circular as senhas para os provedores de recursos de monitoramento, MySQL, SQL Server e uso.
Para circular senhas de provedores de recursos
Obtenha uma nova senha para o provedor de recursos. Execute o cmdlet a seguir:
$password = New-MgmtSvcPasswordAltere a senha no primeiro local. Execute o cmdlet a seguir:
Set-MgmtSvcDatabaseSetting <Service> “Password” $pw -Server <Server> -Passphrase <Passphrase> -ForceAltere a senha no terceiro local.
Observação
Para o serviço de monitoramento, a senha é chamada de “MonitoringRestBasicAuthKnownPassword”. Para os outros provedores de recursos, a senha é chamada de “Password.”
Execute o cmdlet a seguir:
Set-MgmtSvcSetting <Service> “Password” $pw -EncodeAltere a senha no segundo local.
Observação
Os seguintes cmdlets alteram a senha para todos os quatro pontos de extremidade, mas nem todos os provedores de recursos têm todos esses pontos de extremidade. Examine os resultados de $rp para identificar os pontos de extremidade para cada provedor de recursos e ajuste os valores de AuthenticationPassword adequadamente.
Execute os seguintes cmdlets:
$rp = Get-MgmtSvcResourceProviderConfiguration <Resource Provider Name> -DecryptPassword $rp.AdminEndpoint.AuthenticationPassword = $pw $rp.TenantEndpoint.AuthenticationPassword = $pw $rp.UsageEndpoint.AuthenticationPassword = $pw $rp.NotificationEndpoint.AuthenticationPassword = $pw Add-MgmtSvcResourceProviderConfiguration $rp -Force
Alterando a senha relacionada ao Service Reporting
Se você estiver usando o Service Reporting com Windows Azure Pack, deverá atualizar a senha no SQL VMs do Service Reporting quando alterar a senha do serviço de Uso.
Use as seguintes etapas para redefinir a senha.
Para alterar as senhas de VMs do SQL para o Service Reporting
Na VM em que você tiver instalado o banco de dados SQL que oferecer suporte ao Service Reporting, verifique se o trabalho do agente SQL do Service Reporting não está em execução. Use as etapas a seguir para exibir o status do trabalho:
Conexão à instância de <banco de dados prefix-DW-SQL>\CPSDW.
No Pesquisador de Objetos, expanda SQL Server Agent.
Clique em Trabalhos.
Na guia Exibir, clique em Pesquisador de Objetos Detalhes.
Verifique a coluna Status para ver se o trabalho do agente está em execução.
O Service Reporting inclui um script que pode ser executado para alterar a senha. Execute o seguinte cmdlet em um prompt de comando PowerShell para executar esse script.
\\<Service reporting host>\ServiceReporting\Maintenance\PostDeploymentConfig.ps1 -User UsageClient –Password $newPassword