Compartilhar via


ALTER SERVICE MASTER KEY (Transact-SQL)

Aplica-se a: SQL Server Instância Gerenciada de SQL do Azure

Altera a chave mestra de serviço de uma instância do SQL Server.

Convenções de sintaxe de Transact-SQL

Sintaxe

ALTER SERVICE MASTER KEY   
    [ { <regenerate_option> | <recover_option> } ] [;]  
  
<regenerate_option> ::=  
    [ FORCE ] REGENERATE  
  
<recover_option> ::=  
    { WITH OLD_ACCOUNT = 'account_name' , OLD_PASSWORD = 'password' }  
    |      
    { WITH NEW_ACCOUNT = 'account_name' , NEW_PASSWORD = 'password' }  

Argumentos

FORCE
Indica que a chave mestra de serviço deve ser regenerada, mesmo com o risco de perda de dados. Para obter mais informações, veja Alterando a conta de serviço do SQL Server mais adiante neste tópico.

REGENERE
Indica que a chave mestra de serviço deve ser gerada novamente.

OLD_ACCOUNT ='account_name'
Especifica o nome da antiga conta de serviço do Windows.

Aviso

Essa opção está obsoleta. Não use. Use o SQL Server Configuration Manager.

OLD_PASSWORD ='password'
Especifica o nome da antiga senha de serviço do Windows.

Aviso

Essa opção está obsoleta. Não use. Use o SQL Server Configuration Manager.

NEW_ACCOUNT ='account_name'
Especifica o nome da nova conta de serviço do Windows.

Aviso

Essa opção está obsoleta. Não use. Use o SQL Server Configuration Manager.

NEW_PASSWORD ='password'
Especifica o nome da nova senha de serviço do Windows.

Aviso

Essa opção está obsoleta. Não use. Use o SQL Server Configuration Manager.

Comentários

A chave mestra de serviço é gerada automaticamente na primeira vez que é necessária para criptografar a senha, as credenciais ou a chave mestra de banco de dados de um servidor vinculado. A chave mestra de serviço que usa a chave da máquina local ou a API de Proteção de Dados do Windows é criptografada. Essa API usa uma chave que é derivada das credenciais do Windows da conta de serviço do SQL Server.

SQL Server 2012 (11.x) usa o algoritmo de criptografia AES para proteger a SMK (chave mestra de serviço) e a DMK (chave mestra de banco de dados). O AES é um algoritmo de criptografia mais novo que o 3DES usado em versões anteriores. Depois de atualizar uma instância do Mecanismo de Banco de Dados para SQL Server 2012 (11.x) , o SMK e o DMK devem ser regenerados para atualizar as chave mestras para AES. Para obter mais informações sobre como regenerar a DMK, veja ALTER MASTER KEY (Transact-SQL).

Alterando a conta de serviço do SQL Server

Para alterar a conta de serviço do SQL Server Configuration Manager, use o SQL Server Configuration Manager. Para gerenciar uma alteração da conta de serviço, o SQL Server armazena uma cópia redundante da chave mestra de serviço protegida pela conta do computador que tem as permissões necessárias concedidas ao grupo de serviços do SQL Server. Se o computador for recriado, o mesmo usuário de domínio que foi usado anteriormente pela conta de serviço poderá recuperar a chave mestra de serviço. Isso não funciona com contas locais nem com o Sistema Local, o Serviço Local ou as contas de Serviço de Rede. Quando estiver movendo o SQL Server para outro computador, migre a chave mestra de serviço usando backup e restauração.

A frase REGENERATE gera a chave mestra de serviço novamente. Quando a chave mestra de serviço é gerada novamente, o SQL Server descriptografa todas as chaves que foram criptografadas com ela e, em seguida, as criptografa com a nova chave mestra de serviço. Essa operação utiliza muitos recursos. É recomendável agendar essa operação em um período de baixa demanda, a menos que a chave esteja comprometida. Se qualquer uma das descriptografias falhar, a instrução inteira falhará.

A opção FORCE faz com que a o processo de gerar novamente a chave continue mesmo que não possa recuperar a chave mestra atual ou não possa descriptografar todas as chaves particulares criptografadas com ela. Use FORCE somente se a nova geração falhar e não for possível restaurar a chave mestra de serviço usando a instrução RESTORE SERVICE MASTER KEY.

Cuidado

A chave mestra de serviço é a raiz da hierarquia de criptografia do SQL Server . Ela protege todas as outras chaves e segredos diretamente ou indiretamente na árvore. Se uma chave dependente não puder ser descriptografada durante uma nova geração forçada, os dados que ela protege serão perdidos.

Se você mover a SQL para outro computador, deverá usar a mesma conta de serviço para descriptografar o SMK – o SQL Server corrigirá a criptografia da conta de computador automaticamente.

Permissões

Exige a permissão CONTROL SERVER no servidor.

Exemplos

O exemplo a seguir gera a chave mestra de serviço novamente.

ALTER SERVICE MASTER KEY REGENERATE;  
GO  

Consulte Também

RESTORE SERVICE MASTER KEY (Transact-SQL)
BACKUP SERVICE MASTER KEY (Transact-SQL)
Hierarquia de criptografia