« Cryptographie système : utiliser FIPS des algorithmes compatibles pour le cryptage, hachage et la signature « effets de paramètre de sécurité dans Windows XP et versions ultérieures de Windows

Traductions disponibles Traductions disponibles
Numéro d'article: 811833 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Résumé

Les États-Unis FIPS Federal Information Processing Standard () définit les exigences de sécurité et l'interopérabilité pour les systèmes informatiques utilisés par le gouvernement fédéral des États-Unis. La norme FIPS 140 définit les algorithmes cryptographiques approuvés. La norme FIPS 140 également définit exigences de génération de clés et de gestion de clés. Le National Institute of Standards et la technologie (NIST) utilise le programme de Validation de Module cryptographique (CMVP) pour déterminer si une implémentation particulière d'un algorithme de chiffrement est conforme à la norme FIPS 140. Une implémentation d'un algorithme de chiffrement est considéré comme FIPS 140-conforme uniquement si elle a été soumise pour et a réussi la validation du NIST. Un algorithme qui n'a pas été soumis ne peut pas considéré comme conforme à FIPS même si l'implémentation génère des données identiques comme une implémentation validée du même algorithme.

Pour plus d'informations sur comment les bibliothèques et les produits Microsoft sont conformes à la norme FIPS 140, visitez le site Web Microsoft suivant :
http://technet.Microsoft.com/en-us/library/cc750357.aspx
Dans certains scénarios, une application peut utiliser des algorithmes non approuvés ou des processus alors que l'application fonctionne selon un mode compatible FIPS. Par exemple, l'utilisation d'algorithmes non approuvés peut-être être autorisée dans les scénarios suivants :
  • Lorsque certains processus internes restent au sein de l'ordinateur
  • Lorsque certaines données externes doit être crypté en outre par une implémentation conforme FIPS

Plus d'informations

Dans Windows XP et versions ultérieures de Windows, si vous activez le paramètre de sécurité suivant dans la stratégie de sécurité locale ou dans le cadre de la stratégie de groupe, vous informez que les applications qu'ils doivent uniquement utiliser des algorithmes de chiffrement qui sont conformes à FIPS 140 et en conformité avec FIPS approuvé modes de fonctionnement :
Cryptographie système : utiliser FIPS des algorithmes compatibles pour le cryptage, hachage et la signature
Cette stratégie est uniquement consultative aux applications. Par conséquent, si vous activez la stratégie, elle ne pas s'assurer que toutes les applications seront conformeront. Les éléments suivants de zones dans le système d'exploitation seront affectés par ce paramètre :
  • Ce paramètre, le package de sécurité Schannel et toutes les applications qui s'appuient sur le package de sécurité Schannel à négocier uniquement le protocole Transport Layer Security (TLS) 1.0. Si ce paramètre est activé sur un serveur qui exécute IIS, seuls les navigateurs Web qui prennent en charge TLS 1.0 peuvent se connecter. Si ce paramètre est activé sur un client, tous les clients de Schannel, tel que Microsoft Internet Explorer, peuvent se connecter uniquement aux serveurs qui prennent en charge le protocole TLS 1.0. Pour obtenir la liste des suites de chiffrement pris en charge lorsque le paramètre est activé, consultez les Suites de chiffrement dans Schannel rubrique.

    Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    811834Ne peut pas visiter des sites SSL après avoir activé la cryptographie compatible FIPS
  • Ce paramètre affecte également les Services Terminal Server dans Windows Server 2003 et versions ultérieures de Windows. L'effet dépend de Si TLS est utilisé pour l'authentification du serveur.

    Si TLS est utilisé pour l'authentification du serveur, ce paramètre n'entraîne que TLS 1.0 être utilisé.

    Par défaut, si TLS n'est pas utilisé, et ce n'est pas activé sur le client ou sur le serveur, le canal du protocole RDP (Remote Desktop) entre le serveur et le client est crypté à l'aide de l'algorithme RC4 avec une longueur de clé de 128 bits. Une fois que vous activez ce paramètre sur un ordinateur Windows Server 2003, les opérations suivantes sont remplie :
    • Le canal RDP est chiffré à l'aide de l'algorithme 3DES en mode CBC (Cipher Block Chaining) avec une longueur de clé de 168 bits.
    • L'algorithme SHA-1 est utilisé pour créer des résumés de message.
    • Clients doivent utiliser le programme client RDP 5.2 ou version ultérieure pour vous connecter.
    Pour plus d'informations sur la configuration des services Terminal Server, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    814590Comment faire pour activer et configurer le Bureau à distance dans Windows Server 2003
  • Les clients Windows XP qui utilisent le programme du client RDP 5.2 et versions ultérieures de RDP peuvent se connecter aux ordinateurs Windows Server 2003, Windows Vista ou Windows Server 2008 lorsque vous activez cette option. Toutefois, les connexions Bureau à distance aux ordinateurs Windows XP échouent lorsque vous activez cette option sur le client ou le serveur.
  • Les clients Windows que le paramètre FIPS activé ne peut pas se connecter aux services Terminal Server Windows 2000.
  • Ce paramètre affecte l'algorithme de chiffrement utilisé par le système EFS (ENCRYPTING File System) pour les nouveaux fichiers. Les fichiers existants ne sont pas affectés et restent accessibles à l'aide d'algorithmes avec lequel ils ont été initialement cryptés.

    Remarques
    • Par défaut, le système EFS dans Windows XP RTM utilise l'algorithme DESX. Si vous activez ce paramètre, le système EFS utilise le cryptage 3DES 168 bits.
    • Par défaut, dans Windows XP Service Pack 1 (SP1), Windows XP service Pack et dans Windows Server 2003, EFS utilise l'algorithme Advanced Encryption Standard (AES) avec une longueur de clé de 256 bits. Toutefois, EFS utilise l'implémentation de AES en mode noyau. Cette implémentation n'est pas validés FIPS sur ces plates-formes. Si vous activez le paramètre FIPS sur ces plates-formes, le système d'exploitation utilise l'algorithme 3DES avec une longueur de clé de 168 bits.
    • Dans Windows Vista et Windows Server 2008, EFS utilise l'algorithme AES 256 bits. Si vous activez ce paramètre, AES-256 sera utilisé.
    • Stratégie locale FIPS n'affecte pas le cryptage de clé de mot de passe.
  • Applications de Microsoft.NET Framework, tels que Microsoft ASP.NET permettent uniquement à l'aide des implémentations d'algorithmes certifiées par le NIST pour être conforme à FIPS 140. Plus précisément, les classes d'algorithme de chiffrement seulement peuvent être instanciés sont ceux qui implémentent des algorithmes compatibles FIPS. Les noms de ces classes se terminent par « CryptoServiceProvider » ou « Cng ». Toute tentative créer une instance d'autres classes d'algorithme de chiffrement, telles que les classes dont les noms se terminant par « Managed », provoque une exception InvalidOperationException. En outre, toute tentative de créer une instance d'un algorithme de chiffrement qui n'est pas compatible, tel que MD5, FIPS provoque également une exception InvalidOperationException.
  • Si le paramètre FIPS est activé, vérification des applications ClickOnce échoue à moins que l'ordinateur client possède un des éléments suivants installés :
    • Le 3.5 de.NET Framework ou une version ultérieure du.NET Framework
    • Le.NET Framework 2.0 Service Pack 1 ou service pack ultérieur
    Remarques
    • Avec Visual Studio 2005, les applications ClickOnce ne peut pas basées sur ou publiées à partir d'un ordinateur requis de FIPS. Cependant, si l'ordinateur a.NET Framework 2.0 SP2, qui est inclus avec le.NET Framework 3.5 SP1, Visual Studio 2005 peut publier des applications Winforms/WPF.
    • Avec Visual Studio 2008, les applications ClickOnce ne peut pas créées ou publiées sauf si Visual Studio 2008 SP1 ou une version ultérieure de Visual Studio est installée.
  • Par défaut, dans Windows Vista et Windows Server 2008, la fonctionnalité de chiffrement de lecteur BitLocker utilise le cryptage AES 128 bits avec un diffuseur supplémentaire. Lorsque ce paramètre est activé, BitLocker utilise le cryptage AES 256 bits sans un diffuseur. En outre, mots de passe de récupération ne sont pas créés ou sauvegardés au service d'annuaire Active Directory. Par conséquent, vous ne pouvez pas récupérer des broches de perte ou de modifications du système en tapant un mot de passe de récupération à partir du clavier. Au lieu d'utiliser un mot de passe de récupération, vous pouvez sauvegarder une clé de récupération sur un lecteur local ou sur un partage réseau. Pour utiliser la clé de récupération, placez la clé sur un périphérique USB. Ensuite, branchez le périphérique sur l'ordinateur.
  • Dans Windows Vista SP1 et versions ultérieures de Windows Vista et dans Windows Server 2008, seuls les membres du groupe Opérateurs de chiffrement peuvent modifier les paramètres de chiffrement dans la stratégie IPsec du pare-feu Windows.
Remarques
  • Une fois que vous activez ou désactivez la Cryptographie système : algorithmes compatibles FIPS utiliser pour le cryptage, hachage et la signature security configuration, vous devez redémarrer votre application, tel que Internet Explorer, pour le nouveau paramètre prenne effet.
  • Ce paramètre de sécurité affecte la valeur de Registre suivante dans Windows Server 2008 et Windows Vista :
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
    Cette valeur reflète le paramètre FIPS. Si ce paramètre est activé, la valeur est 1. Si ce paramètre est désactivé, la valeur est 0.
  • Ce paramètre de sécurité affecte la valeur de Registre suivante dans Windows Server 2003 et Windows XP :
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
    Cette valeur reflète le paramètre FIPS. Si ce paramètre est activé, la valeur est 1. Si ce paramètre est désactivé, la valeur est 0.

Propriétés

Numéro d'article: 811833 - Dernière mise à jour: dimanche 31 mars 2013 - Version: 2.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Vista Édition Familiale Basique 64 bits
  • Windows Vista Entreprise 64 bits
  • Windows Vista Édition Familiale Premium 64 bits
  • Windows Vista Édition Intégrale 64 bits
  • Windows Vista Professionnel
  • Windows Vista Professionnel 64 bits
  • Windows Vista Entreprise
  • Windows Vista Édition Familiale Basique
  • Windows Vista Édition Familiale Premium
  • Windows Vista Starter
  • Windows Vista Édition Intégrale
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Édition familiale
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Windows 7 Entreprise
  • Windows 7 Édition Familiale Basique
  • Windows 7 Édition Familiale Premium
  • Windows 7 Professionnel
  • Windows 7 Édition Starter
  • Windows 7 Édition Integrale
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Mots-clés : 
kbhowto kbinfo kbmt KB811833 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 811833
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com