"Kryptografie systému: použití FIPS vyhovující algoritmů pro šifrování, algoritmus hash a podepisování" vliv na nastavení zabezpečení v systému Windows XP a novějších verzích s...

Překlady článku Překlady článku
ID článku: 811833 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Souhrn

USA zpracování Standard FIPS (Federal Information) definuje zabezpečení a požadavky interoperability na počítačových systémech, které používají americké federální vládou. Standard FIPS 140 definuje schválené kryptografických algoritmů. Standard FIPS 140 také stanoví požadavky pro generování klíčů a pro správu klíčů. Národní institut pro standardy a technologie (NIST) používá k určení, zda je konkrétní implementaci algoritmu šifrování kompatibilní se standardem FIPS 140 kryptografický modul ověřování programu (CMVP). Implementace kryptografický algoritmus je považován za FIPS 140kompatibilní pouze, pokud byl odeslán k a prošel NIST ověření. Algoritmus, který nebyl odeslán nelze považovat za kompatibilní se standardem FIPS, i v případě provedení vytvoří stejná data jako ověřený provádění stejný algoritmus.

Další informace o jak produkty společnosti Microsoft a knihovny v souladu se standardem FIPS 140 naleznete na následujícím webu společnosti Microsoft:
http://technet.microsoft.com/en-us/library/cc750357.aspx
V některých případech může aplikace používat neschválené algoritmy nebo procesy, zatímco aplikace pracuje v režimu kompatibilní se standardem FIPS. Použití neschválené algoritmy mohou vykazovat například v následujících situacích:
  • Když zůstat některé interní procesy v počítači
  • Pokud je některá externí data také šifrování kompatibilní se standardem FIPS implementací

Další informace

V systému Windows XP a novějších verzích systému Windows Pokud povolíte nastavení zabezpečení v místních zásadách zabezpečení nebo jako součást Zásady skupiny informujete aplikace, které by měli používat pouze kryptografické algoritmy, které jsou kompatibilní se standardem FIPS 140 a v souladu se standardem FIPS schválené režimy provozu:
Kryptografie systému: použití FIPS vyhovující algoritmů pro šifrování, výpočtu hodnoty hash a k podepisování
Tato zásada je pouze poradní aplikací. Proto pokud povolíte zásadu, je nezaručí, že budou všechny aplikace v souladu. Toto nastavení se týká následujících oblastí v operačním systému:
  • Toto nastavení způsobí, že balíček zabezpečení Schannel a všechny aplikace, které staví na balíček zabezpečení Schannel sjednat pouze protokol Transport Layer Security (TLS) 1.0. Pokud je toto nastavení povoleno na serveru se spuštěnou službou IIS, můžete připojit pouze webové prohlížeče, které podporují protokol TLS 1.0. Pokud je toto nastavení povoleno v klientském počítači, všechny klienty Schannel, například Microsoft Internet Explorer může připojit pouze k serverům, které podporují protokol TLS 1.0. Seznam šifrovací sada podporovaná, pokud je povoleno nastavení naleznete v tématu Schannel šifrovací sada.

    Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
    811834Nelze přecházet na weby SSL po povolení kryptografie kompatibilní se standardem FIPS
  • Toto nastavení ovlivňuje také Terminálové služby v systému Windows Server 2003 a novějších verzích systému Windows. Účinek závisí na tom, zda TLS používá k ověření serveru.

    Pokud TLS používá k ověření serveru, toto nastavení způsobí, že mají být použity pouze TLS 1.0.

    Podle výchozího nastavení TLS nepoužívá a v klientském počítači nebo na serveru není povoleno toto nastavení kanálu protokolu RDP (Remote Desktop) mezi serverem a klientem zašifrován pomocí algoritmu RC4 s délkou klíče 128 bitů. Po povolení tohoto nastavení v počítači se systémem Windows Server 2003, platí následující:
    • Kanál protokolu RDP je šifrován pomocí algoritmu 3DES v režimu Cipher Block Chaining (CBC) s délkou klíče 168bitový.
    • Algoritmus SHA-1 se používá k vytvoření hodnoty message Digest.
    • Klienti musí používat program klienta protokolu RDP 5.2 nebo novější pro připojení.
    Další informace o konfiguraci Terminálové služby klepněte na následující číslo článku databáze Microsoft Knowledge Base:
    814590Jak povolit a konfigurovat vzdálenou plochu pro správu v systému Windows Server 2003
  • Windows XP klienty, kteří používají program klienta protokolu RDP 5.2 a novějších verzích protokolu RDP může připojit k počítačům systému Windows Server 2003, Windows Vista nebo Windows Server 2008, pokud povolíte tuto možnost. Připojení ke vzdálené ploše do počítače se systémem Windows XP však nezdaří, pokud povolíte tuto možnost na klienta nebo serveru.
  • Windows klienty, kteří mají povoleno nastavení FIPS nelze připojit k Terminálové službě systému Windows 2000.
  • Toto nastavení ovlivňuje šifrovací algoritmus, který používá systém souborů EFS pro nové soubory. Existující soubory nejsou ovlivněny a nadále přistupovat pomocí algoritmů, které byly původně zašifrovány.

    Poznámky
    • Ve výchozím nastavení používá systém souborů EFS v systému Windows XP RTM algoritmus DESX. Pokud povolíte toto nastavení, systém souborů EFS používá šifrování 3DES 168bitový.
    • Standardně v systému Windows XP Service Pack 1 (SP1), v pozdějších aktualizacích service Pack pro systém Windows XP a Windows Server 2003, systém souborů EFS používá algoritmus standard AES (Advanced Encryption Standard) (AES) s délkou klíče 256 bitů. Však systém souborů EFS používá AES provádění režimu jádra. Tato implementace není FIPS-ověřeno na těchto platformách. Pokud povolíte nastavení FIPS na těchto platformách, operační systém používá algoritmus 3DES s délkou klíče 168bitový.
    • V systému Windows Vista a Windows Server 2008 systém souborů EFS používá algoritmus AES 256 bit klíče. Pokud toto nastavení povolíte, bude použit AES-256.
    • FIPS místních zásad nemá vliv na klíče šifrování hesel.
  • Aplikace Microsoft rozhraní.NET Framework, jako je například Microsoft ASP.NET umožňují pouze pomocí algoritmu implementace, které jsou certifikovány podle NIST být kompatibilní se standardem FIPS 140. Třídy pouze šifrovací algoritmus, které může být vytvořena konkrétně jsou ty, které implementují algoritmy kompatibilní se standardem FIPS. Názvy těchto tříd končí "CryptoServiceProvider" nebo "Cng". Jakýkoli pokus o vytvoření instance třídy šifrovací algoritmus, jako třídy s názvy končící "Správce", způsobit výjimku InvalidOperationException dochází. Jakýkoli pokus o vytvoření instance šifrovací algoritmus, který není FIPS kompatibilní, například MD5, navíc způsobí výjimku InvalidOperationException.
  • Pokud je povoleno nastavení FIPS, ověření ClickOnce aplikace nezdaří, pokud v klientském počítači jsou nainstalovány následující:
    • Verze rozhraní.NET Framework 3.5 nebo novější verzi rozhraní.NET Framework
    • Rozhraní.NET Framework 2.0 Service Pack 1 nebo novější aktualizace service pack
    Poznámky
    • S aplikací Visual Studio 2005 nelze postavený na aplikace ClickOnce nebo publikovat z počítače nutné FIPS. Pokud v počítači je rozhraní.NET Framework 2.0 SP2, který je součástí rozhraní.NET Framework 3.5 SP1, můžete publikovat Visual Studio 2005 však Winforms/WPF aplikací.
    • S Visual Studio 2008 nelze vytvořené aplikací ClickOnce nebo publikován, pouze pokud je nainstalována aktualizace Visual Studio 2008 SP1 nebo novější verzi aplikace Visual Studio.
  • V systému Windows Vista a Windows Server 2008, funkce šifrování jednotky nástrojem BitLocker ve výchozím nastavení používá 128bitové šifrování AES spolu s další difuzoru. Pokud je toto nastavení povoleno, používá nástroj BitLocker 256-bit AES šifrování bez difuzoru. Obnovení hesla navíc nejsou vytvářeny či do adresářové služby Active Directory. Proto nelze obnovit z ztraceny kolíky nebo změny systému zadáním hesla pro obnovení na klávesnici. Nepoužívejte heslo pro obnovení může zálohovat klíče pro obnovení na místním disku nebo ve sdílené síťové složce. Použití obnovovacího klíče, vložte klíč na zařízení USB. Připojte zařízení k počítači.
  • Ve Windows Vista SP1 a novějších verzích systému Windows Vista a Windows Server 2008 lze upravovat pouze členové skupiny Cryptographic Operators nastavení kryptografie v zásadě protokolu IPsec brány Windows Firewall.
Poznámky
  • Po povolení nebo zakázání Kryptografie systému: vyhovující pomocí standardu FIPS k šifrování, výpočtu hodnoty hash a k podepisování zabezpečení nastavení, je nutné restartovat aplikaci, například aplikaci Internet Explorer, nové nastavení se projeví.
  • Toto nastavení zabezpečení ovlivňuje následující hodnotu registru v systému Windows Server 2008 a Windows Vista:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
    Tato hodnota registru odráží aktuální nastavení FIPS. Pokud je toto nastavení povoleno, hodnota je 1. Pokud je toto nastavení zakázáno, je hodnota 0.
  • Toto nastavení zabezpečení ovlivňuje následující hodnotu registru v systému Windows Server 2003 a Windows XP:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
    Tato hodnota registru odráží aktuální nastavení FIPS. Pokud je toto nastavení povoleno, hodnota je 1. Pokud je toto nastavení zakázáno, je hodnota 0.

Vlastnosti

ID článku: 811833 - Poslední aktualizace: 7. června 2013 - Revize: 8.0
Informace v tomto článku jsou určeny pro produkt:
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Klíčová slova: 
kbhowto kbinfo kbmt KB811833 KbMtcs
Strojově přeložený článek
DŮLEŽITÉ: Tento článek je přeložen pomocí softwaru na strojový překlad Microsoft. Nepřesný či chybný překlad lze opravit prostřednictvím technologie Community Translation Framework (CTF). Microsoft nabízí strojově přeložené, komunitou dodatečně upravované články, a články přeložené lidmi s cílem zajistit přístup ke všem článkům v naší znalostní bázi ve více jazycích. Strojově přeložené a dodatečně upravované články mohou obsahovat chyby ve slovníku, syntaxi a gramatice. Společnost Microsoft není odpovědná za jakékoliv nepřesnosti, chyby nebo škody způsobené nesprávným překladem obsahu nebo jeho použitím našimi zákazníky. Více o CTF naleznete na http://support.microsoft.com/gp/machine-translation-corrections/cs.
Projděte si také anglickou verzi článku: 811833

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com