"Sistem kriptografi: penggunaan FIPS compliant algoritma enkripsi, hashing, dan menandatangani" Efek pengaturan keamanan di Windows XP dan versi Windows

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 811833 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Ringkasan

Amerika Serikat Federal informasi Processing Standards (FIPS) mendefinisikan keamanan dan interoperabilitas persyaratan untuk sistem komputer yang digunakan oleh pemerintah federal Amerika. Standar FIPS 140 mendefinisikan algoritma kriptografi yang disetujui. Standar FIPS 140 juga menetapkan persyaratan untuk generasi bukti kunci dan bukti kunci manajemen. Institut Nasional standar dan teknologi (NIST) menggunakan kriptografi modul validasi Program (CMVP) untuk menentukan apakah implementasi algoritma kriptografi yang tertentu sesuai dengan standar FIPS 140. Implementasi algoritma kriptografi yang dianggap FIPS 140-compliant hanya jika telah diserahkan untuk dan telah berlalu NIST validasi. Algoritma yang belum diserahkan tidak dianggap FIPS-compliant bahkan jika implementasi menghasilkan data yang identik sebagai implementasi algoritma sama yang divalidasi.

Untuk informasi lebih lanjut tentang bagaimana produk Microsoft dan Perpustakaan mematuhi standar FIPS 140, kunjungi website Microsoft berikut:
http://technet.Microsoft.com/en-US/Library/cc750357.aspx
Dalam beberapa skenario, aplikasi dapat menggunakan algoritma tidak disetujui atau proses sementara aplikasi beroperasi dalam mode FIPS-compliant. Sebagai contoh, penggunaan tidak disetujui algoritma mungkin diperbolehkan dalam skenario berikut:
  • Ketika proses internal beberapa tinggal di dalam komputer
  • Ketika beberapa data eksternal adalah untuk tambahan enkripsi oleh sebuah implementasi FIPS-compliant

Informasi lebih lanjut

Pada Windows XP dan versi Windows, jika Anda mengaktifkan pengaturan keamanan berikut kebijakan keamanan lokal atau sebagai bagian dari Kebijakan Grup, Anda memberitahukan aplikasi yang mereka harus hanya menggunakan algoritma kriptografi yang FIPS 140 compliant dan sesuai dengan FIPS disetujui mode operasi:
Sistem kriptografi: penggunaan FIPS compliant algoritma enkripsi, hashing, dan penandatanganan
Kebijakan ini hanya penasihat untuk aplikasi. Oleh karena itu, jika kebijakan, tidak membuat yakin bahwa semua aplikasi akan mematuhi. Berikut daerah dalam sistem operasi akan terpengaruh oleh pengaturan ini:
  • Pengaturan ini menyebabkan paket keamanan Schannel dan semua aplikasi yang membangun paket keamanan Schannel untuk menegosiasikan hanya protokol Transport Layer Security (TLS) 1.0. Jika pengaturan ini diaktifkan pada server yang menjalankan IIS, hanya Web browser yang mendukung TLS 1.0 dapat terhubung. Jika pengaturan ini diaktifkan pada klien, Semua Schannel klien, seperti Microsoft Internet Explorer, hanya dapat tersambung ke server yang mendukung protokol TLS 1.0. Untuk daftar cipher Suite didukung ketika sebagai pengaturan ini diaktifkan Lihat Cipher Suite dalam Schannel topik.

    Untuk informasi lebih lanjut, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
    811834Tidak mengunjungi situs-situs SSL setelah Anda mengaktifkan FIPS compliant kriptografi
  • Pengaturan ini juga mempengaruhi Layanan Terminal Windows Server 2003 dan versi Windows. Efek ini tergantung pada apakah TLS sedang digunakan untuk server otentikasi.

    Jika TLS sedang digunakan untuk server otentikasi, pengaturan ini menyebabkan hanya TLS 1.0 untuk digunakan.

    secara asali, jika TLS tidak digunakan, dan pengaturan ini tidak diaktifkan pada klien atau pada server, saluran Protokol Desktop Jarakjauh (RDP) antara server dan klien dienkripsi dengan menggunakan algoritma RC4 dengan panjang bukti kunci 128-bit. Setelah Anda mengaktifkan pengaturan ini pada komputer berbasis Windows Server 2003, berikut ini benar:
    • Saluran RDP dienkripsi dengan menggunakan algoritma 3DES modus Cipher blok Chaining (CBC) dengan panjang bukti kunci 168-bit.
    • SHA-1 algoritma yang digunakan untuk membuat pesan mencerna.
    • Klien harus menggunakan program klien RDP 5.2 atau versi yang lebih baru untuk menyambung.
    Untuk selengkapnya tentang cara mengkonfigurasi layanan terminal, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
    814590Cara mengaktifkan dan mengkonfigurasi Remote Desktop untuk administrasi pada Windows Server 2003
  • Klien Windows XP yang menggunakan program klien RDP 5.2 dan versi RDP dapat terhubung ke komputer Windows Server 2003, Windows Vista, atau Windows Server 2008 ketika Anda mengaktifkan opsi ini. Namun, koneksi remote desktop untuk Windows XP komputer gagal ketika Anda mengaktifkan opsi ini pada klien atau server.
  • Windows klien yang memiliki pengaturan FIPS diaktifkan tidak dapat tersambung ke layanan terminal Windows 2000.
  • Pengaturan ini mempengaruhi algoritma enkripsi yang digunakan oleh Encrypting File System (EFS) untuk file baru. File yang sudah ada tidak terpengaruh dan terus dapat diakses dengan menggunakan algoritma yang mereka awalnya yang dienkripsi.

    Catatan
    • secara asali, EFS pada Windows XP RTM menggunakan algoritma DESX. Jika pengaturan ini, EFS menggunakan 3DES 168-bit enkripsi.
    • secara asali, Windows XP Service Pack 1 (SP1), dalam kemudian Service Pack Windows XP dan Windows Server 2003, EFS menggunakan Standar Enkripsi Lanjutan (AES) algoritma dengan panjang bukti kunci 256-bit. Namun, EFS menggunakan kernel-mode AES implementasi. Implementasi ini bukanlah FIPS divalidasi pada platform ini. Jika pengaturan FIPS pada platform ini, sistem operasi menggunakan 3DES algoritma dengan panjang bukti kunci 168-bit.
    • Dalam Windows Vista dan Windows Server 2008, EFS menggunakan algoritma AES 256-bit bukti kunci. Jika pengaturan ini, AES-256 akan digunakan.
    • FIPS kebijakan lokal tidak mempengaruhi sandi bukti kunci enkripsi.
  • Microsoft .NET Framework aplikasi seperti Microsoft ASP.NET hanya memungkinkan untuk menggunakan implementasi algoritma yang disertifikasi oleh NIST untuk menjadi FIPS 140 compliant. Secara khusus, kelas hanya kriptografi algoritma yang dapat instantiated adalah mereka yang menerapkan algoritma FIPS-compliant. Nama-nama kelas-kelas ini berakhir dengan "CryptoServiceProvider" atau "Cng." Setiap usaha untuk membuat sebuah instance dari kelas algoritma kriptografi lainnya, seperti kelas dengan nama yang berakhir dengan "Managed," menyebabkan InvalidOperationException pengecualian terjadi. Selain itu, setiap upaya untuk menciptakan instance dari algoritma kriptografi yang tidak FIPS compliant, seperti MD5, juga menyebabkan InvalidOperationException pengecualian.
  • Jika pengaturan FIPS diaktifkan, verifikasi ClickOnce aplikasi gagal kecuali komputer klien memiliki salah satu berikut diinstal:
    • .NET Framework 3.5 atau versi yang lebih baru dari .NET Framework
    • .NET Framework 2.0 Service Pack 1 atau Service Pack berikutnya
    Catatan
    • Dengan Visual Studio 2005 ClickOnce aplikasi tidak dapat dibangun atau diterbitkan dari komputer FIPS-diperlukan. Namun, jika komputer memiliki .NET Framework 2.0 SP2, yang disertakan dengan .NET Framework 3.5 SP1, Visual Studio 2005 dapat mempublikasikan aplikasi Winforms WPF.
    • Dengan Visual Studio 2008 ClickOnce aplikasi tidak dapat dibangun atau diterbitkan kecuali Visual Studio 2008 SP1 atau versi yang lebih baru dari Visual Studio adalah diinstal.
  • secara asali, di Windows Vista dan Windows Server 2008, fitur Enkripsi Kandar PengunciBit menggunakan enkripsi AES 128-bit dengan diffuser tambahan. Bila pengaturan ini diaktifkan, BitLocker menggunakan enkripsi AES 256-bit tanpa sebuah diffuser. Selain itu, pemulihan password tidak diciptakan atau mundur ke layanan direktori Active Directory. Oleh karena itu, Anda tidak dapat memulihkan dari pin hilang atau perubahan sistem dengan mengetikkan password pemulihan di keyboard. Daripada menggunakan sandi pemulihan, Anda dapat membuat cadangan pemulihan tombol tekan pada drive lokal atau pada jaringan berbagi. Untuk menggunakan tombol tekan pemulihan, menempatkan tombol tekan pada peranti penangkap USB. Kemudian, pasang peranti penangkap ke komputer.
  • Dalam Windows Vista SP1 dan versi Windows Vista, dan Windows Server 2008, hanya anggota dari kelompok kriptografi operator dapat mengedit pengaturan kripto dalam kebijakan IPsec Windows Firewall.
Catatan
  • Setelah Anda mengaktifkan atau menonaktifkan sistem kriptografi: penggunaan FIPS compliant algoritma enkripsi, hashing, dan penandatanganan keamanan pengaturan, Anda harus me-restart aplikasi Anda, seperti Internet Explorer, untuk pengaturan baru dapat diterapkan.
  • Pengaturan keamanan ini mempengaruhi nilai registri berikut di Windows Server 2008 dan Windows Vista:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
    Nilai registri ini mencerminkan FIPS penyetelan aktuil. Jika pengaturan ini diaktifkan, nilai adalah 1. Jika pengaturan ini dinonaktifkan, nilai adalah 0.
  • Pengaturan keamanan ini mempengaruhi nilai registri berikut di Windows Server 2003 dan Windows XP:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
    Nilai registri ini mencerminkan FIPS penyetelan aktuil. Jika pengaturan ini diaktifkan, nilai adalah 1. Jika pengaturan ini dinonaktifkan, nilai adalah 0.

Properti

ID Artikel: 811833 - Kajian Terakhir: 31 Maret 2013 - Revisi: 5.0
Berlaku bagi:
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Vista Home Basic 64-bit Edition
  • Windows Vista Enterprise 64-bit Edition
  • Windows Vista Home Premium 64-bit Edition
  • Windows Vista Ultimate 64-bit Edition
  • Windows Vista Business
  • Windows Vista Business 64-bit Edition
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Kata kunci: 
kbhowto kbinfo kbmt KB811833 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini: 811833

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com