"Systemkryptografie: Verwenden von FIPS-konformen Algorithmus für Verschlüsselung, hashing und Signatur" Auswirkungen auf die Einstellung die Sicherheit in Windows XP und späteren Versionen von Windows

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 811833 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Zusammenfassung

Der United States Federal FIPS Information Processing Standard () definiert, Sicherheit und Interoperabilitätsanforderungen für Computersysteme, die von der US-Regierung verwendet werden. Der FIPS-140-Standard definiert genehmigte kryptografische Algorithmen. Der Standard FIPS 140 legt auch Anforderungen für Schlüsselgenerierung und Schlüsselverwaltung. Das National Institute of Standards and Technology (NIST) verwendet das kryptografische Modul Validierung Programm (CMVP) um zu bestimmen, ob eine bestimmte Implementierung eines kryptografischen Algorithmus mit FIPS 140-Standard kompatibel ist. Eine Implementierung eines kryptografischen Algorithmus gilt FIPS 140-konforme nur, wenn es für die übermittelt wurde und NIST Validierung übergeben wurde. Ein Algorithmus, der noch nicht gesendet wurde werden nicht FIPS-konforme angesehen, auch wenn die Implementierung identische Daten als validierten Implementierung desselben Algorithmus erzeugt.

Weitere Informationen zu Microsoft-Produkten und Bibliotheken wie der Standard FIPS 140 entsprechen finden Sie auf der folgenden Microsoft-Website:
http://technet.Microsoft.com/en-us/library/cc750357.aspx
In einigen Szenarien kann eine Anwendung nicht genehmigter Algorithmen oder Prozesse verwenden, während die Anwendung im FIPS-kompatiblen Modus arbeitet. Die folgenden Szenarien kann z. B. die Verwendung von nicht genehmigten Algorithmen zugelassen werden:
  • Wenn einige interne Prozesse innerhalb des Computers bleiben
  • Wenn einige externen Daten darüber hinaus eine FIPS-konforme Implementierung verschlüsselt werden soll

Weitere Informationen

In Windows XP und späteren Versionen von Windows Wenn Sie die folgende Sicherheitseinstellung entweder in der lokalen Sicherheitsrichtlinie oder als Bestandteil der Gruppenrichtlinie aktivieren informieren Sie Anwendungen, die nur kryptografische Algorithmen verwenden sollten, die FIPS-140-konforme und in Übereinstimmung mit FIPS genehmigt Betriebsmodi:
Systemkryptografie: Verwenden von FIPS-konformen Algorithmus für Verschlüsselung, hashing und Signatur
Diese Richtlinie ist nur beratender für Anwendungen. Daher, wenn Sie die Richtlinie aktivieren, wird es nicht sicherstellen, dass alle Anwendungen entsprechen. Die folgenden Bereiche im Betriebssystem werden von dieser Einstellung betroffen:
  • Diese Einstellung bewirkt, dass das Schannel-Sicherheitspaket und alle Anwendungen, die auf das Schannel-Sicherheitspaket nur das Transport Layer Security (TLS) 1.0-Protokoll auszuhandeln. Wenn diese Einstellung auf einem Server aktiviert ist, auf dem IIS ausgeführt wird, können nur Webbrowser, die TLS 1.0 unterstützen. Wenn diese Einstellung auf einem Client aktiviert ist, können alle Schannel-Clients, wie Microsoft Internet Explorer nur auf Server zugreifen, die die TLS 1.0 unterstützen. Finden Sie eine Liste mit Verschlüsselungssuites unterstützt, wenn die Einstellung aktiviert ist Cipher Suites in Schannel-Thema.

    Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    811834 Nach dem Aktivieren von FIPS-konformen Kryptografie keine SSL-Sites aufgerufen werden.
  • Diese Einstellung wirkt sich auch auf die Terminaldienste in Windows Server 2003 und späteren Versionen von Windows. Die Auswirkungen hängen davon ab, ob TLS für die Serverauthentifizierung verwendet wird.

    Wenn TLS für die Serverauthentifizierung verwendet wird, wird diese Einstellung nur TLS 1.0 verwendet werden.

    Standardmäßig wird, wenn TLS nicht verwendet wird, und diese Einstellung nicht auf dem Client oder auf dem Server aktiviert ist, der Remote Desktop Protocol (RDP)-Kanal zwischen dem Server und dem Client mithilfe der RC4-Verschlüsselung mit einer Schlüssellänge von 128-Bit-verschlüsselt. Nachdem Sie diese Einstellung auf einem Windows Server 2003-Computer aktiviert haben, gilt Folgendes:
    • Der RDP-Kanal ist mit den 3DES-Algorithmus im Modus Cipher Block Chaining (CBC), mit einer Schlüssellänge von 168 Bit verschlüsselt.
    • SHA-1-Algorithmus wird verwendet, um Hashes zu erstellen.
    • Clients müssen das Clientprogramm RDP 5.2 oder höher für die Verbindung verwenden.
    Weitere Informationen zum Konfigurieren der Terminaldienste, klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
    814590 Aktivieren und Konfigurieren von Remotedesktop für Verwaltung in Windows Server 2003
  • Windows XP-Clients, die dem RDP 5.2-Client-Programm und späteren Versionen von RDP verwenden können mit Windows Server 2003, Windows Vista oder Windows Server 2008-Computer verbinden, wenn Sie diese Option aktivieren. Remotedesktopverbindungen mit Windows XP-Computer jedoch fehlschlagen, wenn Sie diese Option auf dem Client oder dem Server aktivieren.
  • Windows-Clients, auf denen die FIPS-Einstellung aktiviert wurde, nicht Windows 2000-Terminaldiensten herstellen.
  • Diese Einstellung wirkt sich auf den Verschlüsselungsalgorithmus, der von EFS (ENCRYPTING File System) für die neuen Dateien verwendet wird. Vorhandene Dateien sind nicht betroffen und weiterhin Zugriff auf mithilfe von Algorithmen, mit denen sie ursprünglich verschlüsselt wurden.

    Hinweise
    • Standardmäßig verwendet EFS in Windows XP RTM den DESX-Algorithmus. Wenn Sie diese Einstellung aktivieren, verwendet EFS 168-Bit-3DES-Verschlüsselung.
    • In der Standardeinstellung in Windows XP Service Pack 1 (SP1), in zukünftigen Servicepacks von Windows XP und in Windows Server 2003 verwendet EFS Advanced Encryption Standard (AES) Algorithmus mit einer Schlüssellänge von 256 Bit. EFS verwendet jedoch die Kernelmodus-AES-Implementierung. Diese Implementierung ist nicht FIPS-überprüften auf diesen Plattformen. Wenn Sie die FIPS-Einstellung auf diesen Plattformen aktivieren, verwendet das Betriebssystem den 3DES-Algorithmus mit einer Schlüssellänge von 168 Bit.
    • In Windows Vista und Windows Server 2008 verwendet EFS den AES-Algorithmus mit 256-Bit-Schlüssel. Wenn Sie diese Einstellung aktivieren, wird der AES-256 verwendet werden.
    • Lokale Richtlinie FIPS ist Notaffect Kennwort Keyencryption.
  • Microsoft.NET Framework-Anwendungen wie Microsoft ASP.NET lassen sich nur für die Verwendung von Algorithmusimplementierungen, die von NIST FIPS-140-konforme werden zertifiziert sind. Insbesondere sind nur kryptografischen Algorithmus-Klassen, die instanziiert werden können, die FIPS-konforme Algorithmen implementieren. Die Namen dieser Klassen enden in "CryptoServiceProvider" oder "Cng". Jeder Versuch, erstellen Sie eine Instanz der anderen Klassen kryptografischen Algorithmus, z. B. Klassen in "Managed" enden dazu führen, dass eine InvalidOperationException-Ausnahme auftritt. Darüber hinaus wird jeder Versuch, eine Instanz eines kryptografischen Algorithmus erstellen, der nicht FIPS-konform, z. B. MD5, ist auch eine InvalidOperationException-Ausnahme.
  • Wenn die FIPS-Einstellung aktiviert ist, schlägt Überprüfung von ClickOnce-Anwendungen, wenn der Client-Computer eine der folgenden Optionen hat:
    • Die.NET Framework 3.5 oder höher von der.NET Framework
    • .NET Framework 2.0 Service Pack 1 oder ein höheres Servicepack
    Hinweise
    • Mit Visual Studio 2005 können nicht ClickOnce-Anwendungen basierend auf oder von einem Computer erforderlich, FIPS veröffentlicht werden. Wenn der Computer das.NET Framework 2.0 SP2, die mit dem.NET Framework 3.5 SP1 enthalten ist verfügt, können Visual Studio 2005 Winforms/WPF-Anwendungen veröffentlichen.
    • Mit Visual Studio 2008 nicht ClickOnce-Anwendungen erstellt oder veröffentlicht, wenn Visual Studio 2008 SP1 oder eine höhere Version von Visual Studio installiert ist.
  • Standardmäßig verwendet in Windows Vista und Windows Server 2008 das Feature BitLocker Drive Encryption 128-Bit-AES-Verschlüsselung mit einer zusätzlichen Diffusor. Wenn diese Einstellung aktiviert ist, verwendet BitLocker 256-Bit-AES-Verschlüsselung ohne Diffusor. Wiederherstellen von Kennwörtern sind darüber hinaus nicht erstellt oder gesichert, um die Active Directory-Verzeichnisdienst. Sie können keine daher ein Wiederherstellungskennwort eingeben über die Tastatur eingeben von PINs verloren gehen oder von Änderungen am System wiederhergestellt. Anstatt ein Wiederherstellungskennwort eingeben, können Sie einen Wiederherstellungsschlüssel auf einem lokalen Laufwerk oder auf einer Netzwerkfreigabe sichern. Um Schlüssel für den Wiederherstellungsagenten verwenden, setzen Sie den Schlüssel auf einem USB-Gerät. Schließen Sie das Gerät an den Computer.
  • In Windows Vista SP1 und höheren Versionen von Windows Vista und Windows Server 2008 können nur Mitglieder der Gruppe der kryptografische Operatoren Crypto-Einstellungen in der Windows-Firewall die IPSec-Richtlinie bearbeiten.
Hinweise
  • Nach dem Aktivieren oder Deaktivieren der Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, hashing und Signatur Sicherheit festlegen, müssen Sie neu starten die Anwendung, z. B. Internet Explorer, damit die neue Einstellung wirksam wird.
  • Diese Sicherheitseinstellung wirkt sich auf den folgenden Registrierungswert in Windows Server 2008 und Windows Vista:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
    Dieser Registrierungswert spiegelt die aktuelle Einstellung der FIPS. Wenn diese Einstellung aktiviert ist, ist der Wert 1. Wenn diese Einstellung deaktiviert ist, ist der Wert 0.
  • Diese Sicherheitseinstellung wirkt sich auf den folgenden Registrierungswert in Windows Server 2003 und Windows XP:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
    Dieser Registrierungswert spiegelt die aktuelle Einstellung der FIPS. Wenn diese Einstellung aktiviert ist, ist der Wert 1. Wenn diese Einstellung deaktiviert ist, ist der Wert 0.

Eigenschaften

Artikel-ID: 811833 - Geändert am: Dienstag, 3. September 2013 - Version: 3.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Keywords: 
kbhowto kbinfo kbmt KB811833 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 811833
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com