Windows Azure Paketi'nde şifrelenmiş verileri yönetme

  • Makale

 

Şunlar için geçerlidir: azure paketi Windows

Windows Sunucusu için Azure Paketi Windows yönetim portalındaki veritabanları ve kullanıcılar arasındaki iletişimin güvenliğini sağlamak için şifreleme algoritmaları, şifreleme anahtarları ve parolalar kullanır. Bu veriler iki veya üç konumda depolanır.

Verilerinizin güvenliğini korumak için verileri düzenli olarak değiştirmeniz veya döndürmeniz gerekir. Verileri tek bir konumda değiştirdiğinizde, tüm konumlarda değiştirmeniz gerekir.

Tüm şifreleme algoritmalarını, anahtarlarını ve parolalarını ve bunların depolanmış konumlarını listeleyen bir elektronik tablo sağlıyoruz. Bu elektronik tablo ayrıca her veri noktasının nasıl değiştirİleceğini de içerir. Elektronik tabloya Microsoft İndirme Merkezi'nden ulaşabileceğiniz Windows Azure Paketi teknik belge paketinden (https://go.microsoft.com/fwlink/?LinkId=329811) erişebilirsiniz. İndir'e tıklayın, WAPv1_encryption.xsl dosyasını seçin ve ardından İleri'ye tıklayarak dosyayı indirmeye başlayın.

Verilerinizin güvenliğini doğrulamak için Windows Azure Paketi için En İyi Yöntem Çözümleyicisi'ni de kullanabilirsiniz. En İyi Yöntem Çözümleyicisi hakkında bilgi için bkz. Windows Azure Paketi bileşenlerini tarama.

Şifrelenmiş verilerinizi yönetmek için aşağıdaki bilgileri kullanın:

  • Veritabanı parolasını değiştirme

  • Makine anahtarıyla ilgili şifrelenmiş verileri döndürme

  • Şifreleme algoritmalarını ve anahtarlarını döndürme

  • Kullanım Yönetici API parolasını değiştirme

  • Kaynak sağlayıcılarıyla ilgili parolaları değiştirme

  • Service Reporting ile ilgili parolayı değiştirme

Veritabanı parolasını değiştirme

Windows Azure Pack'te her birinin veritabanı parolası olan birkaç veritabanı vardır. Veritabanı parolalarını döndürmek için aşağıdaki adımları kullanın:

Veritabanı parolasını döndürmek için

  1. Yeni bir parola alın. Aşağıdaki cmdlet'i çalıştırın:

    $password = New-MgmtSvcPassword –Length 64

  2. Elektronik tablodaki verileri kullanarak ilk konumdaki veritabanı parolasını bulun ve döndürün. Örneğin, Yönetici API'si için veritabanı parolasını döndüriyorsanız, ilk konum Gizli dizi yapılandırma deposudur (Konum 1 için C sütununa bakın).

    Parolayı değiştirmek için aşağıdaki cmdlet'i çalıştırın:

    Set-MgmtSvcDatabaseSetting <Service>  <Secret>  $password -Server <Server> -Passphrase <Passphrase> -Database “Microsoft.MgmtSvc.Config” -Force

  3. Ardından veritabanı parolasının üçüncü konumunu bulun ve veritabanı parolasını döndürün. Yukarıdaki örneği kullanarak, Yönetici API veritabanı parolası için bu SQL Server güvenlik oturum açma bilgisidir (Konum 3 için G sütununu denetleyin).

    Aşağıdaki cmdlet'i çalıştırın:

    Set-MgmtSvcDatabaseUser -Server <Server> -Database <Database> -Schema <Schema> -User <User> -UserPassword $password

  4. Son olarak, veritabanı parolası için ikinci konumu bulun ve parolayı döndürün. Yönetici API veritabanı parolası için bu da web.config bağlantı dizesidir (Konum 2 için E sütununu denetleyin).

    Aşağıdaki cmdlet'leri çalıştırın:

    $setting = Get-MgmtSvcDatabaseSetting <Service> <Secret> -Server <Server> -Passphrase <Passphrase>
$connectionString = Get-MgmtSvcSetting $namespace <ConnectionString>
$builder = New-Object System.Data.SqlClient.SqlConnectionStringBuilder($connectionString.Value)
$builder.Password = $setting.Value
Set-MgmtSvcSetting <Service> <ConnectionString> $builder.ConnectionString

Yönetici API'sinin şifre çözme ve doğrulama ayarları ve anahtarları, yöneticiler için yönetim portalı (AdminSite), kimlik doğrulama sitesi (AuthSite), kiracılar için yönetim portalı (TenantSite) ve Windows kimlik doğrulama sitesi (WindowsAuthSite) makine anahtarı kullanılarak depolanır. Bu verileri döndürmek için aşağıdaki adımları kullanın.

  1. Yeni bir makine anahtarı alın. Aşağıdaki örnek, Yönetici API hizmeti için machineKey.decrytpion için yeni bir makine anahtarı alır. Makine anahtarının diğer değerlerini değiştirmek için bu adımları kullanabilirsiniz.

    Yeni bir makine anahtarı almak için aşağıdaki cmdlet'leri çalıştırın:

    $machineKey = New-MgmtSvcMachineKey
$decryption = $machineKey.Attribute('decryption').Value

  2. machineKey.decryption dosyasının ilk konumunu bulmak için elektronik tablodaki verileri kullanın. Yönetici API hizmeti için bu, Gizli Dizi Yapılandırma Deposu'dur.

    machineKey.decryption ayarını değiştirmek için aşağıdaki cmdlet'i çalıştırın:

    Set-MgmtSvcDatabaseSetting <Service> "machineKey.decryption" $decryption -Server <Server> -Passphrase <Passphrase> -Force

  3. machineKey.decryption için ikinci konumu bulun. Yönetici API hizmeti için bu web.config machineKey bölümüdür.

    machineKey.decryption ayarını değiştirmek için aşağıdaki cmdlet'leri çalıştırın:

    $decryption = Get-MgmtSvcDatabaseSetting <Service> “machineKey.decryption” –Server <Server> -Passphrase <Passphrase>
Set-MgmtSvcSetting <Service> "machineKey.decryption" $decryption.Value

Şifreleme algoritmalarını ve anahtarlarını döndürme

Şifreleme algoritmalarını ve şifreleme anahtarlarını döndürmek için aşağıdaki adımları kullanın.

Şifreleme algoritmalarını ve şifreleme anahtarlarını döndürmek için

  1. Yeni bir makine anahtarı alın. Aşağıdaki örnek, Bildirim şifreleme algoritması için yeni bir makine anahtarı ve Yönetici sitesi için anahtar alır. Diğer şifreleme algoritmalarını ve anahtarlarını değiştirmek için bu adımları kullanabilirsiniz.

    Not

    Aynı anahtarlar hem şifreleme hem de şifre çözme için kullanılır. Bu nedenle, gerçekleştirilen işleme bağlı olarak hem şifreleme hem de şifre çözme anahtarları olarak kabul edilebilirler. Bu nedenle, döndürdüğünüz anahtar şifreleme anahtarı olmasına rağmen aşağıdaki şifre çözme değerini kullanırız.

    Yeni bir makine anahtarı almak için aşağıdaki cmdlet'leri çalıştırın:

    $machineKey = New-MgmtSvcMachineKey
$encryption = $machineKey.Attribute('decryption').Value
$encryptionKey = $machineKey.Attribute('decryptionKey').Value

  2. Şifreleme algoritması veya anahtarı için ilk konumu bulmak için elektronik tablodaki verileri kullanın. Yönetici sitesinin Bildirim şifreleme algoritması ve anahtarı için bu, Gizli Dizi Yapılandırma Deposu'dur.

    Şifreleme algoritmasını ve anahtarını değiştirmek için aşağıdaki cmdlet'leri çalıştırın:

    Set-MgmtSvcDatabaseSetting <Service> "NotificationEncryptionAlgorithm " $encryption -Server <Server> -Passphrase <Passphrase> -Force
Set-MgmtSvcDatabaseSetting <Service> "EncryptionKey " $encryptionKey -Server <Server> -Passphrase <Passphrase> -Force

  3. Şifreleme algoritması veya anahtarı için ikinci konumu bulun. Yönetici sitesinin Bildirim şifreleme algoritması ve anahtarı için bu, web.config uygulama ayarları bölümüdür.

    Şifreleme algoritmasını ve anahtarını değiştirmek için aşağıdaki cmdlet'leri çalıştırın:

    $encryption = Get-MgmtSvcDatabaseSetting <Service> “NotificationEncryptionAlgorithm” –Server <Server> -Passphrase <Passphrase>
Set-MgmtSvcSetting <Service> "NotificationEncryptionAlgorithm" $encryption.Value
$encryptionKey = Get-MgmtSvcDatabaseSetting <Service> “EncryptionKey” –Server <Server> -Passphrase <Passphrase>
Set-MgmtSvcSetting <Service> "EncryptionKey" $encryptionKey.Value

Kullanım Yönetici API parolasını değiştirme

Kaynak sağlayıcıları tarafından kullanılan parolalardan farklı olarak (sonraki bölümde açıklanmıştır), Kullanım Yönetici API'sinin parolası Gizli Dizi Yapılandırması deposunda ve web.config uygulama ayarları bölümünde depolanır. Kullanım Yönetici API parolasını değiştirmek için aşağıdaki adımları kullanın.

Kullanım Yönetici API parolasını döndürmek için

  1. Yeni bir parola alın. Aşağıdaki cmdlet'i çalıştırın:

    $password = New-MgmtSvcPassword

  2. Parolayı ilk konum olan Gizli Dizi Yapılandırması deposunda değiştirin. Aşağıdaki cmdlet'i çalıştırın:

    Set-MgmtSvcDatabaseSetting <Service>  <Secret>  $password -Server <Server> -Passphrase <Passphrase> -Force

  3. İkinci konum olan web.config uygulama ayarları bölümünde parolayı değiştirin. Aşağıdaki cmdlet'leri çalıştırın:

    $setting = Get-MgmtSvcDatabaseSetting <Service> <Secret> -Server <Server> -Passphrase <Passphrase>
Set-MgmtSvcSetting <Service> <Secret> $setting.Value

İzleme, MySQL, SQL Server ve Kullanım kaynak sağlayıcılarının parolalarını döndürmek için aşağıdaki bilgileri kullanın.

Kaynak sağlayıcısı parolalarını döndürmek için

  1. Kaynak sağlayıcısı için yeni bir parola alın. Aşağıdaki cmdlet'i çalıştırın:

    $password = New-MgmtSvcPassword

  2. İlk konumdaki parolayı değiştirin. Aşağıdaki cmdlet'i çalıştırın:

    Set-MgmtSvcDatabaseSetting <Service> “Password” $pw -Server <Server> -Passphrase <Passphrase> -Force

  3. Üçüncü konumdaki parolayı değiştirin.

    Not

    İzleme hizmeti için parola "MonitoringRestBasicAuthKnownPassword" olarak adlandırılır. Diğer kaynak sağlayıcıları için parola "Parola" olarak adlandırılır.

    Aşağıdaki cmdlet'i çalıştırın:

    Set-MgmtSvcSetting <Service>  “Password” $pw -Encode

  4. İkinci konumdaki parolayı değiştirin.

    Not

    Aşağıdaki cmdlet'ler dört uç noktanın da parolasını değiştirir, ancak tüm kaynak sağlayıcıları bu uç noktaların tümüne sahip değildir. Her kaynak sağlayıcısının uç noktalarını belirlemek için $rp sonuçlarına bakın ve AuthenticationPassword değerlerini uygun şekilde ayarlayın.

    Aşağıdaki cmdlet'leri çalıştırın:

    $rp = Get-MgmtSvcResourceProviderConfiguration <Resource Provider Name> -DecryptPassword
$rp.AdminEndpoint.AuthenticationPassword = $pw
$rp.TenantEndpoint.AuthenticationPassword = $pw
$rp.UsageEndpoint.AuthenticationPassword = $pw
$rp.NotificationEndpoint.AuthenticationPassword = $pw
Add-MgmtSvcResourceProviderConfiguration $rp -Force

Service Reporting'i Windows Azure Paketi ile kullanıyorsanız, Kullanım hizmetinin parolasını değiştirdiğinizde Service Reporting için SQL VM'lerde parolayı güncelleştirmeniz gerekir.

Parolayı sıfırlamak için aşağıdaki adımları kullanın.

Service Reporting için SQL VM parolalarını değiştirmek için

  1. Service Reporting'i destekleyen SQL veritabanını yüklediğiniz VM'de, Service Reporting SQL aracı işinin çalışmadığından güvenceye alın. İşin durumunu görüntülemek için aşağıdaki adımları kullanın:

    1. prefix-DW-SQL>\CPSDW veritabanı örneğine <Bağlan.

    2. Nesne Gezgini SQL Server Agent genişletin.

    3. İşler'e tıklayın.

    4. Görünüm sekmesinde Nesne Gezgini Ayrıntıları'na tıklayın.

      Aracı işinin çalışıp çalışmadığını görmek için Durum sütununu denetleyin.

  2. Service Reporting, parolayı değiştirmek için çalıştırabileceğiniz bir betik içerir. Bu betiği çalıştırmak için bir PowerShell komut isteminden aşağıdaki cmdlet'i çalıştırın.

    \\<Service reporting host>\ServiceReporting\Maintenance\PostDeploymentConfig.ps1 -User UsageClient –Password $newPassword