Windows Azure Paketi'nde şifrelenmiş verileri yönetme
Şunlar için geçerlidir: azure paketi Windows
Windows Sunucusu için Azure Paketi Windows yönetim portalındaki veritabanları ve kullanıcılar arasındaki iletişimin güvenliğini sağlamak için şifreleme algoritmaları, şifreleme anahtarları ve parolalar kullanır. Bu veriler iki veya üç konumda depolanır.
Verilerinizin güvenliğini korumak için verileri düzenli olarak değiştirmeniz veya döndürmeniz gerekir. Verileri tek bir konumda değiştirdiğinizde, tüm konumlarda değiştirmeniz gerekir.
Tüm şifreleme algoritmalarını, anahtarlarını ve parolalarını ve bunların depolanmış konumlarını listeleyen bir elektronik tablo sağlıyoruz. Bu elektronik tablo ayrıca her veri noktasının nasıl değiştirİleceğini de içerir. Elektronik tabloya Microsoft İndirme Merkezi'nden ulaşabileceğiniz Windows Azure Paketi teknik belge paketinden (https://go.microsoft.com/fwlink/?LinkId=329811) erişebilirsiniz. İndir'e tıklayın, WAPv1_encryption.xsl dosyasını seçin ve ardından İleri'ye tıklayarak dosyayı indirmeye başlayın.
Verilerinizin güvenliğini doğrulamak için Windows Azure Paketi için En İyi Yöntem Çözümleyicisi'ni de kullanabilirsiniz. En İyi Yöntem Çözümleyicisi hakkında bilgi için bkz. Windows Azure Paketi bileşenlerini tarama.
Şifrelenmiş verilerinizi yönetmek için aşağıdaki bilgileri kullanın:
Veritabanı parolasını değiştirme
Makine anahtarıyla ilgili şifrelenmiş verileri döndürme
Şifreleme algoritmalarını ve anahtarlarını döndürme
Kullanım Yönetici API parolasını değiştirme
Kaynak sağlayıcılarıyla ilgili parolaları değiştirme
Service Reporting ile ilgili parolayı değiştirme
Veritabanı parolasını değiştirme
Windows Azure Pack'te her birinin veritabanı parolası olan birkaç veritabanı vardır. Veritabanı parolalarını döndürmek için aşağıdaki adımları kullanın:
Veritabanı parolasını döndürmek için
Yeni bir parola alın. Aşağıdaki cmdlet'i çalıştırın:
$password = New-MgmtSvcPassword –Length 64
Elektronik tablodaki verileri kullanarak ilk konumdaki veritabanı parolasını bulun ve döndürün. Örneğin, Yönetici API'si için veritabanı parolasını döndüriyorsanız, ilk konum Gizli dizi yapılandırma deposudur (Konum 1 için C sütununa bakın).
Parolayı değiştirmek için aşağıdaki cmdlet'i çalıştırın:
Set-MgmtSvcDatabaseSetting <Service> <Secret> $password -Server <Server> -Passphrase <Passphrase> -Database “Microsoft.MgmtSvc.Config” -Force
Ardından veritabanı parolasının üçüncü konumunu bulun ve veritabanı parolasını döndürün. Yukarıdaki örneği kullanarak, Yönetici API veritabanı parolası için bu SQL Server güvenlik oturum açma bilgisidir (Konum 3 için G sütununu denetleyin).
Aşağıdaki cmdlet'i çalıştırın:
Set-MgmtSvcDatabaseUser -Server <Server> -Database <Database> -Schema <Schema> -User <User> -UserPassword $password
Son olarak, veritabanı parolası için ikinci konumu bulun ve parolayı döndürün. Yönetici API veritabanı parolası için bu da web.config bağlantı dizesidir (Konum 2 için E sütununu denetleyin).
Aşağıdaki cmdlet'leri çalıştırın:
$setting = Get-MgmtSvcDatabaseSetting <Service> <Secret> -Server <Server> -Passphrase <Passphrase> $connectionString = Get-MgmtSvcSetting $namespace <ConnectionString> $builder = New-Object System.Data.SqlClient.SqlConnectionStringBuilder($connectionString.Value) $builder.Password = $setting.Value Set-MgmtSvcSetting <Service> <ConnectionString> $builder.ConnectionString
Makine anahtarıyla ilgili şifrelenmiş verileri döndürme
Yönetici API'sinin şifre çözme ve doğrulama ayarları ve anahtarları, yöneticiler için yönetim portalı (AdminSite), kimlik doğrulama sitesi (AuthSite), kiracılar için yönetim portalı (TenantSite) ve Windows kimlik doğrulama sitesi (WindowsAuthSite) makine anahtarı kullanılarak depolanır. Bu verileri döndürmek için aşağıdaki adımları kullanın.
Makine anahtarıyla ilgili verileri döndürmek için
Yeni bir makine anahtarı alın. Aşağıdaki örnek, Yönetici API hizmeti için machineKey.decrytpion için yeni bir makine anahtarı alır. Makine anahtarının diğer değerlerini değiştirmek için bu adımları kullanabilirsiniz.
Yeni bir makine anahtarı almak için aşağıdaki cmdlet'leri çalıştırın:
$machineKey = New-MgmtSvcMachineKey $decryption = $machineKey.Attribute('decryption').Value
machineKey.decryption dosyasının ilk konumunu bulmak için elektronik tablodaki verileri kullanın. Yönetici API hizmeti için bu, Gizli Dizi Yapılandırma Deposu'dur.
machineKey.decryption ayarını değiştirmek için aşağıdaki cmdlet'i çalıştırın:
Set-MgmtSvcDatabaseSetting <Service> "machineKey.decryption" $decryption -Server <Server> -Passphrase <Passphrase> -Force
machineKey.decryption için ikinci konumu bulun. Yönetici API hizmeti için bu web.config machineKey bölümüdür.
machineKey.decryption ayarını değiştirmek için aşağıdaki cmdlet'leri çalıştırın:
$decryption = Get-MgmtSvcDatabaseSetting <Service> “machineKey.decryption” –Server <Server> -Passphrase <Passphrase> Set-MgmtSvcSetting <Service> "machineKey.decryption" $decryption.Value
Şifreleme algoritmalarını ve anahtarlarını döndürme
Şifreleme algoritmalarını ve şifreleme anahtarlarını döndürmek için aşağıdaki adımları kullanın.
Şifreleme algoritmalarını ve şifreleme anahtarlarını döndürmek için
Yeni bir makine anahtarı alın. Aşağıdaki örnek, Bildirim şifreleme algoritması için yeni bir makine anahtarı ve Yönetici sitesi için anahtar alır. Diğer şifreleme algoritmalarını ve anahtarlarını değiştirmek için bu adımları kullanabilirsiniz.
Not
Aynı anahtarlar hem şifreleme hem de şifre çözme için kullanılır. Bu nedenle, gerçekleştirilen işleme bağlı olarak hem şifreleme hem de şifre çözme anahtarları olarak kabul edilebilirler. Bu nedenle, döndürdüğünüz anahtar şifreleme anahtarı olmasına rağmen aşağıdaki şifre çözme değerini kullanırız.
Yeni bir makine anahtarı almak için aşağıdaki cmdlet'leri çalıştırın:
$machineKey = New-MgmtSvcMachineKey $encryption = $machineKey.Attribute('decryption').Value $encryptionKey = $machineKey.Attribute('decryptionKey').Value
Şifreleme algoritması veya anahtarı için ilk konumu bulmak için elektronik tablodaki verileri kullanın. Yönetici sitesinin Bildirim şifreleme algoritması ve anahtarı için bu, Gizli Dizi Yapılandırma Deposu'dur.
Şifreleme algoritmasını ve anahtarını değiştirmek için aşağıdaki cmdlet'leri çalıştırın:
Set-MgmtSvcDatabaseSetting <Service> "NotificationEncryptionAlgorithm " $encryption -Server <Server> -Passphrase <Passphrase> -Force Set-MgmtSvcDatabaseSetting <Service> "EncryptionKey " $encryptionKey -Server <Server> -Passphrase <Passphrase> -Force
Şifreleme algoritması veya anahtarı için ikinci konumu bulun. Yönetici sitesinin Bildirim şifreleme algoritması ve anahtarı için bu, web.config uygulama ayarları bölümüdür.
Şifreleme algoritmasını ve anahtarını değiştirmek için aşağıdaki cmdlet'leri çalıştırın:
$encryption = Get-MgmtSvcDatabaseSetting <Service> “NotificationEncryptionAlgorithm” –Server <Server> -Passphrase <Passphrase> Set-MgmtSvcSetting <Service> "NotificationEncryptionAlgorithm" $encryption.Value $encryptionKey = Get-MgmtSvcDatabaseSetting <Service> “EncryptionKey” –Server <Server> -Passphrase <Passphrase> Set-MgmtSvcSetting <Service> "EncryptionKey" $encryptionKey.Value
Kullanım Yönetici API parolasını değiştirme
Kaynak sağlayıcıları tarafından kullanılan parolalardan farklı olarak (sonraki bölümde açıklanmıştır), Kullanım Yönetici API'sinin parolası Gizli Dizi Yapılandırması deposunda ve web.config uygulama ayarları bölümünde depolanır. Kullanım Yönetici API parolasını değiştirmek için aşağıdaki adımları kullanın.
Kullanım Yönetici API parolasını döndürmek için
Yeni bir parola alın. Aşağıdaki cmdlet'i çalıştırın:
$password = New-MgmtSvcPassword
Parolayı ilk konum olan Gizli Dizi Yapılandırması deposunda değiştirin. Aşağıdaki cmdlet'i çalıştırın:
Set-MgmtSvcDatabaseSetting <Service> <Secret> $password -Server <Server> -Passphrase <Passphrase> -Force
İkinci konum olan web.config uygulama ayarları bölümünde parolayı değiştirin. Aşağıdaki cmdlet'leri çalıştırın:
$setting = Get-MgmtSvcDatabaseSetting <Service> <Secret> -Server <Server> -Passphrase <Passphrase> Set-MgmtSvcSetting <Service> <Secret> $setting.Value
Kaynak sağlayıcılarıyla ilgili parolaları değiştirme
İzleme, MySQL, SQL Server ve Kullanım kaynak sağlayıcılarının parolalarını döndürmek için aşağıdaki bilgileri kullanın.
Kaynak sağlayıcısı parolalarını döndürmek için
Kaynak sağlayıcısı için yeni bir parola alın. Aşağıdaki cmdlet'i çalıştırın:
$password = New-MgmtSvcPassword
İlk konumdaki parolayı değiştirin. Aşağıdaki cmdlet'i çalıştırın:
Set-MgmtSvcDatabaseSetting <Service> “Password” $pw -Server <Server> -Passphrase <Passphrase> -Force
Üçüncü konumdaki parolayı değiştirin.
Not
İzleme hizmeti için parola "MonitoringRestBasicAuthKnownPassword" olarak adlandırılır. Diğer kaynak sağlayıcıları için parola "Parola" olarak adlandırılır.
Aşağıdaki cmdlet'i çalıştırın:
Set-MgmtSvcSetting <Service> “Password” $pw -Encode
İkinci konumdaki parolayı değiştirin.
Not
Aşağıdaki cmdlet'ler dört uç noktanın da parolasını değiştirir, ancak tüm kaynak sağlayıcıları bu uç noktaların tümüne sahip değildir. Her kaynak sağlayıcısının uç noktalarını belirlemek için $rp sonuçlarına bakın ve AuthenticationPassword değerlerini uygun şekilde ayarlayın.
Aşağıdaki cmdlet'leri çalıştırın:
$rp = Get-MgmtSvcResourceProviderConfiguration <Resource Provider Name> -DecryptPassword $rp.AdminEndpoint.AuthenticationPassword = $pw $rp.TenantEndpoint.AuthenticationPassword = $pw $rp.UsageEndpoint.AuthenticationPassword = $pw $rp.NotificationEndpoint.AuthenticationPassword = $pw Add-MgmtSvcResourceProviderConfiguration $rp -Force
Service Reporting ile ilgili parolayı değiştirme
Service Reporting'i Windows Azure Paketi ile kullanıyorsanız, Kullanım hizmetinin parolasını değiştirdiğinizde Service Reporting için SQL VM'lerde parolayı güncelleştirmeniz gerekir.
Parolayı sıfırlamak için aşağıdaki adımları kullanın.
Service Reporting için SQL VM parolalarını değiştirmek için
Service Reporting'i destekleyen SQL veritabanını yüklediğiniz VM'de, Service Reporting SQL aracı işinin çalışmadığından güvenceye alın. İşin durumunu görüntülemek için aşağıdaki adımları kullanın:
prefix-DW-SQL>\CPSDW veritabanı örneğine <Bağlan.
Nesne Gezgini SQL Server Agent genişletin.
İşler'e tıklayın.
Görünüm sekmesinde Nesne Gezgini Ayrıntıları'na tıklayın.
Aracı işinin çalışıp çalışmadığını görmek için Durum sütununu denetleyin.
Service Reporting, parolayı değiştirmek için çalıştırabileceğiniz bir betik içerir. Bu betiği çalıştırmak için bir PowerShell komut isteminden aşağıdaki cmdlet'i çalıştırın.
\\<Service reporting host>\ServiceReporting\Maintenance\PostDeploymentConfig.ps1 -User UsageClient –Password $newPassword