您可以使用選擇性登錄值來管理組織載入已簽署或未簽署套件的原則。 如果您使用此登錄值,則必須在每部執行 Integration Services 套件的電腦上建立此登錄值,以及在您想要強制執行原則的電腦上建立此登錄值。 設定登錄值之後,Integration Services 會在載入套件之前檢查或驗證簽章。
本主題中的這個程式描述如何將選用 BlockedSignatureStates 的 DWORD 值新增至 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\100\SSIS 登錄機碼。 中的數據 BlockedSignatureStates 值會判斷如果封裝具有不受信任的簽章、簽章無效或未簽署,是否應該封鎖封裝。 對於用來簽署封裝的簽章狀態,登錄 BlockedSignatureStates 值會使用下列定義:
有效的簽章是可以成功讀取的。
無效的簽章是指其解密檢查碼(由私鑰加密的包裹代碼的單向哈希)與在載入 Integration Services 套件過程中計算出的解密檢查碼不匹配的簽章。
信任的簽章是使用受信任的根證書授權機構所簽署的數位證書所建立的簽章。 此設定不需要在使用者信任的發行者清單中找到簽署者。
不可信的簽章指的是無法驗證為由受信任的根憑證授權單位簽發的簽章,或是目前無效的簽章。
下表列出 DWORD 數據及其相關原則的有效值。
| 價值觀 | 說明 |
|---|---|
| 0 | 沒有系統管理限制。 |
| 1 | 封鎖無效的簽章。 此設定不會封鎖未簽署的套件。 |
| 2 | 封鎖無效和不受信任的簽章。 此設定不會封鎖未簽署的套件,但會封鎖自我產生的簽章。 |
| 3 | 封鎖無效和不受信任的簽章和未簽署的套件 此設定也會封鎖自我產生的簽章。 |
備註
的建議設定 BlockedSignatureStates 為 3。 此設定可針對無效或不受信任的未簽署套件或簽章提供最大的保護。 不過,在所有情況下,建議的設定可能不適用。 如需簽署數字資產的詳細資訊,請參閱 MSDN Library 中的<
套件簽署原則的實施
在 [開始] 功能表上,按一下 [執行] 。
在 [執行] 對話框中,輸入
Regedit,然後按兩下 [ 確定]。找出登入機碼,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\100\SSIS。
以滑鼠右鍵點擊 MSDTS,選擇 新增,然後點擊 DWORD 值。
將新值的名稱更新為
BlockedSignatureStates。以滑鼠右鍵按下
BlockedSignatureStates並按下 [ 修改]。在 [ 編輯 DWORD 值 ] 對話框中,輸入值 0、1、2 或 3。
按一下 [確定]。
在 [檔案] 功能表上按一下 [結束] 。