"Criptografía de sistema: usar FIPS algoritmos compatibles para el cifrado, firma y operaciones hash" efectos de configuración de seguridad en Windows XP y en versiones posteriores de Windows

Seleccione idioma Seleccione idioma
Id. de artículo: 811833 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Resumen

Los Estados Unidos Federal Information Processing Standard (FIPS) define los requisitos de interoperabilidad para los sistemas informáticos que son utilizados por el gobierno federal de Estados Unidos y de seguridad. El estándar FIPS 140 define los algoritmos criptográficos aprobados. El estándar FIPS 140 también establece requisitos para la generación de claves y para la administración de claves. El Instituto nacional de estándares y tecnología (NIST) utiliza el programa de validación de módulo criptográfico (CMVP) para determinar si una implementación concreta de un algoritmo criptográfico es compatible con el estándar FIPS 140. Una implementación de un algoritmo criptográfico se considera el FIPS 140-compatible sólo si se ha enviado a y ha pasado la validación del NIST. Un algoritmo que no se ha enviado no puede considerarse compatible con FIPS incluso si la implementación no produce datos idénticos como una implementación validada del mismo algoritmo.

Para obtener más información acerca de cómo cumplan el estándar FIPS 140 bibliotecas y productos de Microsoft, visite el siguiente sitio Web de Microsoft:
http://technet.Microsoft.com/en-us/library/cc750357.aspx
En algunos casos, una aplicación puede utilizar algoritmos no aprobados o procesos mientras la aplicación funciona en un modo compatible con FIPS. Por ejemplo, podrá admitirse el uso de algoritmos no aprobados en las situaciones siguientes:
  • Cuando algunos de los procesos internos permanecen en el equipo
  • Cuando están además estar cifrada con una implementación compatible con FIPS algunos datos externos

Más información

En Windows XP y en versiones posteriores de Windows, si habilita a la siguiente configuración de seguridad en la directiva de seguridad Local o como parte de la directiva de grupo, informar las aplicaciones que sólo deben utilizar algoritmos de cifrado que son compatible con FIPS 140 y en cumplimiento de FIPS autorizados modos de funcionamiento:
Criptografía de sistema: usar FIPS algoritmos compatibles para el cifrado, firma y operaciones hash
Esta directiva sólo es asesoramiento a las aplicaciones. Por lo tanto, si se habilita la directiva, eso no asegura que se cumplen todas las aplicaciones. El siguiente de las zonas en el sistema operativo se verán afectado por esta configuración:
  • Esta configuración hace que el paquete de seguridad Schannel y todas las aplicaciones que se basan en el paquete de seguridad Schannel para negociar el protocolo de seguridad de la capa de transporte (TLS) 1.0. Si esta opción está habilitada en un servidor que ejecuta IIS, pueden conectar sólo los exploradores Web compatibles con TLS 1.0. Si esta opción está habilitada en un cliente, todos los clientes de Schannel, como Microsoft Internet Explorer, sólo pueden conectarse a servidores que admiten el protocolo TLS 1.0. Para obtener una lista de conjuntos de cifrado compatibles cuando se habilita la opción ver los conjuntos de cifrados en el tema de Schannel.

    Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    811834No se puede visitar sitios SSL después de habilitar el cifrado compatible con FIPS
  • Esta configuración también afecta a los servicios de Terminal Server en Windows Server 2003 y en versiones posteriores de Windows. El efecto depende de si se utiliza TLS para la autenticación de servidor.

    Si se utiliza TLS para la autenticación de servidor, esta configuración hace que sólo TLS 1.0 que se utilizará.

    De forma predeterminada, si no se está utilizando TLS, y esta opción no está habilitada en el cliente o en el servidor, el canal de Remote Desktop Protocol (RDP) entre el servidor y el cliente se cifra utilizando el algoritmo RC4 con una longitud de clave de 128 bits. Después de habilitar a esta configuración en un equipo basado en Windows Server 2003, lo siguiente es cierto:
    • El canal RDP se cifra utilizando el algoritmo 3DES en el modo Cipher Block Chaining (CBC) con una longitud de clave de 168 bits.
    • El algoritmo SHA-1 se utiliza para crear resúmenes de mensaje.
    • Los clientes deben utilizar el programa de cliente RDP 5.2 o una versión posterior para conectarse.
    Para obtener más información acerca de cómo configurar servicios de terminales Server, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    814590Cómo habilitar y configurar escritorio remoto para administración en Windows Server 2003
  • Los clientes de Windows XP que utilizan el programa de cliente RDP 5.2 y versiones posteriores de RDP pueden conectarse a equipos de Windows Server 2003, Windows Vista o Windows Server 2008, cuando se habilita esta opción. Sin embargo, las conexiones de escritorio remotas para equipos con Windows XP producirá un error al habilitar esta opción en el cliente o el servidor.
  • Los clientes de Windows que tienen habilitada la opción de FIPS no se pueden conectar a los servicios de terminales Server de Windows 2000.
  • Esta configuración afecta el algoritmo de cifrado que se utiliza por el sistema de archivos cifrados (EFS) para los nuevos archivos. Los archivos existentes no se ven afectados y continuarán tener acceso mediante el uso de los algoritmos con la que se cifró originalmente.

    Notas
    • De forma predeterminada, EFS en el RTM de Windows XP utiliza el algoritmo DESX. Si habilita esta configuración, EFS utiliza cifrado 3DES de 168 bits.
    • De forma predeterminada, en Windows XP Service Pack 1 (SP1), en Windows XP service Pack posteriores y en Windows Server 2003, EFS utiliza el algoritmo estándar de cifrado avanzado (AES, Advanced Encryption Standard) con una longitud de clave de 256 bits. Sin embargo, EFS utiliza la implementación de AES de modo de núcleo. Esta implementación no está validado por FIPS en estas plataformas. Si habilita a la configuración de FIPS en estas plataformas, el sistema operativo utiliza el algoritmo 3DES con una longitud de clave de 168 bits.
    • En Windows Vista y en Windows Server 2008, EFS utiliza el algoritmo AES con claves de 256 bits. Si habilita a esta configuración, se utilizará el AES-256.
    • Directiva local de FIPS no afecta a la clave de cifrado de contraseña.
  • Sólo permiten aplicaciones de.NET Framework de Microsoft como Microsoft ASP.NET para el uso de las implementaciones de algoritmos que están certificadas por el NIST para ser compatible con FIPS 140. En concreto, las clases de algoritmo de cifrado sólo se pueden crear instancias son aquellos que implementan algoritmos compatibles FIPS. Los nombres de estas clases se terminan en "CryptoServiceProvider" o "Cng". Cualquier intento de crear una instancia de otras clases de algoritmo de cifrado, como hacer que las clases con nombres que terminen en "Managed", que se produzca una excepción InvalidOperationException. Además, cualquier intento de crear una instancia de un algoritmo de cifrado que no es compatible con, como MD5, FIPS también produce una excepción InvalidOperationException.
  • Si se habilita la opción de FIPS, se produce un error en la verificación de las aplicaciones ClickOnce a menos que el equipo cliente tiene instalado uno de los siguientes:
    • 3.5 De.NET Framework o una versión posterior de la de.NET Framework
    • .NET Framework 2.0 Service Pack 1 o un service pack posterior
    Notas
    • Con Visual Studio 2005, las aplicaciones ClickOnce se no se construido o publicadas desde un equipo requiere FIPS. Sin embargo, si el equipo tiene el.NET Framework 2.0 Service Pack 2, que se incluye con.NET Framework 3.5 SP1, Visual Studio 2005 puede publicar las aplicaciones de formularios Windows Forms y WPF.
    • Con Visual Studio 2008, las aplicaciones de ClickOnce no se construido o se publica a menos que se instala Visual Studio 2008 SP1 o una versión posterior de Visual Studio.
  • De forma predeterminada, en Windows Vista y en Windows Server 2008, la característica de cifrado de unidad BitLocker utiliza cifrado AES de 128 bits junto con un difusor adicional. Cuando se habilita esta configuración, BitLocker usa cifrado AES de 256 bits sin un difusor. Además, las contraseñas de recuperación no se crean o se copia de seguridad para el servicio de directorio de Active Directory. Por lo tanto, no podrá recuperar de PINs perdidos o de cambios en el sistema, escriba una contraseña de recuperación en el teclado. En lugar de utilizar una contraseña de recuperación, puede realizar una clave de recuperación en una unidad local o en un recurso compartido de red. Para utilizar la clave de recuperación, poner la clave en un dispositivo USB. A continuación, conecte el dispositivo al equipo.
  • En Windows Vista SP1 y versiones posteriores de Windows Vista y en Windows Server 2008, sólo los miembros del grupo de operadores criptográficos pueden editar la configuración de criptografía en la directiva IPsec del servidor de seguridad de Windows.
Notas
  • Después de habilitar o deshabilitar la criptografía de sistema: usar compatible con algoritmos FIPS para codificación, algoritmos hash y firma de seguridad de configuración, debe reiniciar la aplicación, como Internet Explorer, para que la nueva configuración surta efecto.
  • Esta configuración de seguridad afecta al siguiente valor del registro en Windows Server 2008 y en Windows Vista:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
    Este valor del registro refleja el valor actual de FIPS. Si se habilita esta opción, el valor es 1. Si esta opción está deshabilitada, el valor es 0.
  • Esta configuración de seguridad afecta al siguiente valor del registro en Windows Server 2003 y en Windows XP:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
    Este valor del registro refleja el valor actual de FIPS. Si se habilita esta opción, el valor es 1. Si esta opción está deshabilitada, el valor es 0.

Propiedades

Id. de artículo: 811833 - Última revisión: domingo, 31 de marzo de 2013 - Versión: 2.0
La información de este artículo se refiere a:
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Palabras clave: 
kbhowto kbinfo kbmt KB811833 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 811833

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com