"Crittografia di sistema: utilizza FIPS algoritmi compatibili per crittografia, hash e firma" effetti di impostazione di protezione in Windows XP e versioni successive di Windows

Traduzione articoli Traduzione articoli
Identificativo articolo: 811833 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

Sommario

L'Italia FIPS Federal Information Processing Standard () definisce la sicurezza e i requisiti di interoperabilitÓ per i sistemi di computer utilizzati dal governo federale degli Stati Uniti. Lo standard FIPS 140 definisce gli algoritmi di crittografia approvati. Lo standard FIPS 140 inoltre stabilisce i requisiti per la generazione di chiavi e per la gestione delle chiavi. Il National Institute of Standards and Technology (NIST) utilizza la crittografia modulo convalida programma (CMVP) per determinare se una particolare implementazione di un algoritmo di crittografia Ŕ compatibile con lo standard FIPS 140. Un'implementazione di un algoritmo di crittografia Ŕ considerata FIPS 140-compatibile, in solo se Ŕ stata inviata per e ha superato la convalida di NIST. Un algoritmo che non Ŕ stato inviato non pu˛ essere considerato compatibile con FIPS, anche se l'implementazione produce dati identici come un'implementazione dell'algoritmo stesso convalidata.

Per ulteriori informazioni su come le librerie e i prodotti Microsoft sono conformi con lo standard FIPS 140, visitare il seguente sito Web Microsoft:
http://technet.microsoft.com/en-us/library/cc750357.aspx
In alcuni scenari, un'applicazione pu˛ utilizzare algoritmi non approvati o processi mentre l'applicazione opera in modalitÓ compatibile con FIPS. Ad esempio, l'utilizzo di algoritmi non approvati ammessi negli scenari seguenti:
  • Quando alcuni processi interni rimangono all'interno del computer
  • Quando alcuni dati esterni sono inoltre necessario crittografare da un'implementazione conforme a FIPS

Informazioni

In Windows XP e versioni successive di Windows, se si attiva la seguente impostazione di protezione in Criteri di protezione locali o come parte di criteri di gruppo Ŕ informare le applicazioni devono utilizzare solo gli algoritmi di crittografia FIPS 140 compatibile e in conformitÓ FIPS approvato modalitÓ operative:
Crittografia di sistema: utilizza FIPS algoritmi compatibili per crittografia, hash e firma
Questo criterio Ŕ solo consultivo per le applicazioni. Pertanto, se si attiva il criterio, non assicurarsi che tutte le applicazioni rispetteranno. Le seguenti aree del sistema operativo verranno interessate da questa impostazione:
  • Questa impostazione, il pacchetto di protezione Schannel e tutte le applicazioni basate su pacchetto di protezione Schannel di negoziare solo il protocollo Transport Layer Security (TLS) 1.0. Se questa impostazione Ŕ attivata su un server che esegue IIS, pu˛ connettersi solo browser che supportano TLS 1.0. Se questa impostazione Ŕ attivata su un client, tutti i client di Schannel, come Microsoft Internet Explorer, possono connettersi solo ai server che supportano il protocollo TLS 1.0. Per un elenco di suite di cifratura supportata quando Ŕ attivata l'impostazione vedere pacchetti di crittografia in Schannel argomento.

    Per ulteriori informazioni, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
    811834Impossibile visitare siti SSL dopo aver attivato la crittografia FIPS compatibile
  • Questa impostazione influisce inoltre servizi Terminal in Windows Server 2003 e nelle versioni successive di Windows. L'effetto dipende se TLS viene utilizzato per l'autenticazione server.

    Se si utilizza TLS per l'autenticazione server, questa impostazione, solo TLS 1.0 da utilizzare.

    Per impostazione predefinita, se non viene utilizzato TLS e questa impostazione non Ŕ abilitata sul client o sul server, il canale di Remote Desktop Protocol (RDP) tra il server e il client viene crittografato utilizzando l'algoritmo RC4 con una lunghezza della chiave a 128 bit. Dopo aver attivato questa impostazione su un computer basato su Windows Server 2003, Ŕ true:
    • Il canale RDP viene crittografato utilizzando l'algoritmo 3DES in modalitÓ Cipher Block Chaining (CBC) con una lunghezza della chiave a 168 bit.
    • L'algoritmo SHA-1 viene utilizzato per creare il digest del messaggio.
    • I client devono utilizzare il programma client RDP 5.2 o versione successiva per la connessione.
    Per ulteriori informazioni su come configurare Servizi terminal, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
    814590Come attivare e configurare Desktop remoto per amministrazione in Windows Server 2003
  • Quando si attiva questa opzione, i client di Windows XP che utilizzano il programma client RDP 5.2 e versioni successive di RDP possono connettersi a computer Windows Server 2003, Windows Vista o Windows Server 2008. Connessioni desktop remote a computer Windows XP, tuttavia esito negativo quando si attiva questa opzione sul client o sul server.
  • Client Windows che Ŕ abilitata l'impostazione FIPS Impossibile connettersi a Servizi terminal di Windows 2000.
  • Questa impostazione si applica l'algoritmo di crittografia utilizzato per i nuovi file mediante crittografia File System (EFS). I file esistenti non vengono influenzati e continuano a essere accessibili utilizzando gli algoritmi con cui essi sono stati originariamente crittografate.

    Note
    • Per impostazione predefinita, EFS in Windows XP RTM utilizza l'algoritmo DESX. Se si attiva questa impostazione, EFS utilizza la crittografia 3DES a 168 bit.
    • Per impostazione predefinita, in Windows XP Service Pack 1 (SP1), in Windows XP service pack successivi e in Windows Server 2003, EFS utilizza l'algoritmo Advanced Encryption Standard (AES) con una lunghezza della chiave a 256 bit. Tuttavia, EFS utilizza l'implementazione di AES-modalitÓ kernel. Questa implementazione non Ŕ convalidato FIPS su queste piattaforme. Se si attiva l'impostazione FIPS su queste piattaforme, il sistema operativo utilizza l'algoritmo 3DES con una lunghezza della chiave a 168 bit.
    • In Windows Vista e in Windows Server 2008, EFS utilizza l'algoritmo AES con chiavi a 256 bit. Se si attiva questa impostazione, verrÓ utilizzato AES-256.
    • Criteri locali FIPS non influenzano la crittografia password.
  • Consentono solo le applicazioni di Microsoft.NET Framework, ad esempio Microsoft ASP.NET per l'utilizzo di implementazioni di algoritmi certificati da NIST da FIPS 140 compatibile. In particolare, le classi di algoritmo di crittografia solo che Ŕ possibile creare istanze sono quelli che implementano gli algoritmi FIPS compatibili. I nomi di queste classi terminano in "CryptoServiceProvider" o "Cng". I tentativi creare un'istanza di altre classi di algoritmo di crittografia, ad esempio le classi i cui nomi terminano in "Managed" causare un'eccezione InvalidOperationException. Inoltre, qualsiasi tentativo di creare un'istanza di un algoritmo di crittografia non Ŕ compatibile, ad esempio MD5, FIPS provoca anche un'eccezione InvalidOperationException.
  • Se Ŕ attivata l'impostazione FIPS, verifica delle applicazioni ClickOnce ha esito negativo a meno che non Ŕ uno dei seguenti prodotti installati sul computer client:
    • Di 3.5 di.NET Framework o una versione successiva di.NET Framework
    • .NET Framework 2.0 Service Pack 1 o service pack successivo
    Note
    • Con Visual Studio 2005, Ŕ impossibile basate su applicazioni ClickOnce o pubblicate da un computer richiesto FIPS. Tuttavia, se il computer dispone di.NET Framework 2.0 SP2, Ŕ incluso in.NET Framework 3.5 SP1, Visual Studio 2005 pu˛ pubblicare applicazioni Windows Form/WPF.
    • Con Visual Studio 2008, le applicazioni ClickOnce Impossibile da generare o pubblicate a meno che non Ŕ installata Visual Studio 2008 SP1 o versione successiva di Visual Studio.
  • Per impostazione predefinita, in Windows Vista e in Windows Server 2008, la funzionalitÓ Crittografia unitÓ BitLocker utilizza la crittografia AES a 128 bit con un'ulteriore diffusione. Quando si attiva questa impostazione, BitLocker utilizza la crittografia AES 256 bit senza una diffusione. Inoltre, le password di ripristino non vengono create o backup al servizio directory Active Directory. Pertanto, Ŕ possibile recuperare dal pin persi o da modifiche di sistema digitando una password di ripristino sulla tastiera. Invece di utilizzare una password di ripristino, pu˛ eseguire il backup una chiave di ripristino su un'unitÓ locale o in una condivisione di rete. Per utilizzare la chiave di ripristino, inserire la chiave su un dispositivo USB. Quindi, collegare il dispositivo al computer.
  • In Windows Vista SP1 e versioni successive di Windows Vista e in Windows Server 2008, solo i membri del gruppo di operatori crittografici possono modificare le impostazioni di crittografia nel criterio IPsec di Windows Firewall.
Note
  • Una volta che si attiva o disattiva il crittografia di sistema: utilizza algoritmi FIPS compatibili per crittografia, hash e firma protezione impostazione, Ŕ necessario riavviare l'applicazione, ad esempio Internet Explorer per rendere effettive le nuove impostazioni.
  • Questa impostazione di protezione riguarda il seguente valore del Registro di sistema in Windows Server 2008 e in Windows Vista:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
    Questo valore del Registro di sistema riflette l'impostazione corrente di FIPS. Se questa impostazione Ŕ attivata, il valore Ŕ 1. Se questa impostazione Ŕ disattivata, il valore Ŕ 0.
  • Questa impostazione di protezione riguarda il seguente valore del Registro di sistema in Windows Server 2003 e Windows XP:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
    Questo valore del Registro di sistema riflette l'impostazione corrente di FIPS. Se questa impostazione Ŕ attivata, il valore Ŕ 1. Se questa impostazione Ŕ disattivata, il valore Ŕ 0.

ProprietÓ

Identificativo articolo: 811833 - Ultima modifica: domenica 31 marzo 2013 - Revisione: 2.0
Le informazioni in questo articolo si applicano a:
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Chiavi:á
kbhowto kbinfo kbmt KB811833 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 811833
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com