"システム暗号化: 使用して FIPS 準拠アルゴリズムを暗号化、ハッシュ、および署名"セキュリティ設定エフェクトを使用して Windows xp およびそれ以降のバージョンの Windows で

文書翻訳 文書翻訳
文書番号: 811833 - 対象製品
すべて展開する | すべて折りたたむ

概要

米国連邦情報処理規格 (FIPS) セキュリティとの相互運用性の要件は、米国の連邦政府によって使用されるコンピューターのシステムを定義します。承認された暗号アルゴリズムが FIPS 140 標準を定義します。FIPS 140 標準も規定要件キー生成とキー管理を設定します。国立協会の標準とテクノロジ (NIST) 使用暗号化モジュール検証プログラム (CMVP) 暗号化アルゴリズムの特定の実装が FIPS 140 標準に準拠するかどうかを確認します。のみが送信され、NIST の評価に合格したが暗号化アルゴリズムの実装を FIPS 140 準拠認識されます。同じデータ、同じアルゴリズムの検証の実装として実装を生成している場合でも、送信されているアルゴリズムが FIPS に準拠したに見なされません。

どのようにマイクロソフトのプロダクトとライブラリは FIPS 140 基準のものの詳細については、次のマイクロソフト web サイトを参照してください。
http://technet.microsoft.com/en-us/library/cc750357.aspx
一部のシナリオにアプリケーションが FIPS 準拠モードで動作しているときは、未承認のアルゴリズムまたはプロセス アプリケーションを使用できます。などのアルゴリズムの使用を許可されていない、次のシナリオでできるか。
  • とき、コンピューター内でいくつかの内部プロセスを維持
  • いくつかの外部データがさらには、FIPS に準拠した実装で暗号化できるようにする場合

詳細

ローカル セキュリティ ポリシーまたはグループ ポリシーの一部として次のセキュリティ設定を有効にする場合は、Windows XP およびそれ以降のバージョンの Windows では、FIPS 140 準拠および FIPS 準拠モード操作の承認の暗号化アルゴリズムのみ使用する必要がありますアプリケーションに通知します。
システム暗号化: 使用して FIPS 準拠アルゴリズムを暗号化、ハッシュ、および署名
このポリシーは、アプリケーションにアドバイザリです。このポリシーを有効にする場合は、したがって、それのすべてのアプリケーションが従うことを確認がします。次のオペレーティング システムでは、この設定は適用されます。
  • この設定では、Schannel セキュリティ パッケージ、Schannel セキュリティ パッケージでは、トランスポート層セキュリティ (TLS) 1.0 のプロトコルのネゴシエーションを構築するすべてのアプリケーションが発生します。IIS を実行しているサーバーでこの設定が有効な場合、TLS 1.0 をサポートする Web ブラウザーのみが接続できます。クライアントでこの設定が有効の場合、Microsoft Internet Explorer など、すべての Schannel クライアントは TLS 1.0 プロトコルをサポートするサーバーにのみ接続できます。この設定を有効にするとサポートされている暗号化方式群の一覧については暗号で Schannel のトピックを参照してください。

    詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
    811834FIPS 準拠の暗号化を有効にした後 SSL サイトを参照してくださいすることはできません。
  • この設定は、ターミナル サービスは Windows Server 2003 およびそれ以降のバージョンの Windows に影響します。効果かどうか TLS サーバーの認証に使用されているに依存します。

    サーバーの認証に TLS が使用されている場合は、この設定を使用するのには、のみ TLS 1.0 が発生します。

    既定では、TLS は使用されず、この設定はクライアント上またはサーバー上で有効になっていない場合、サーバーとクライアント間のリモート デスクトップ プロトコル (RDP) チャネルは、128 ビットのキー長で RC4 アルゴリズムを使用して暗号化されます。この設定は、Windows Server 2003 ベースのコンピューターを有効にすると、次のような。
    • RDP チャネルは、暗号ブロック連鎖 (CBC) モードでは、168 ビットのキー長の 3 des アルゴリズムを使用して暗号化されます。
    • メッセージ ダイジェストを作成するのには、sha-1 アルゴリズムが使用されます。
    • RDP 5.2 クライアント プログラムまたはそれ以降のバージョンは、クライアント接続に使用する必要があります。
    ターミナル サービスを構成する方法の詳細については、マイクロソフト サポート技術情報の資料を参照する次の資料番号をクリックします。
    814590有効にする方法、および Windows Server 2003 で管理用リモート デスクトップを構成するのには
  • このオプションを有効にすると RDP 5.2 クライアント プログラムおよびそれ以降のバージョンの RDP を使用して Windows XP クライアントが Windows Server 2003、Windows Vista、または Windows サーバー 2008年のコンピューターに接続できます。しかし、このオプションは、クライアントまたはサーバーを有効にすると Windows XP コンピューターへのリモート デスクトップ接続は失敗します。
  • FIPS 設定を有効にしている Windows クライアントは、Windows 2000 ターミナル サービスに接続できません。
  • 新しいファイルを暗号化ファイル システム (EFS) を使用した暗号化アルゴリズムを設定します。既存のファイルに影響はなくで、当初に暗号化されたアルゴリズムを使用して、アクセスを継続します。

    注意
    • 既定では、EFS では、Windows XP の RTM DESX アルゴリズムを使用します。この設定を有効にすると、EFS は 168 ビット 3 des 暗号化を使用します。
    • 既定では、Windows XP Service Pack 1 (SP1) は、後で Windows XP のサービス パック、および Windows Server 2003 では、EFS 使用高度な暗号化標準 (AES) アルゴリズムは、256 ビットのキー長を使用します。しかし、EFS はカーネル モードの AES の実装を使用します。この実装はこれらのプラットフォームで FIPS 検証されてです。これらのプラットフォームで FIPS 設定を有効にする場合は、オペレーティング システムは、168 ビットのキー長を 3 des アルゴリズムを使用します。
    • Windows Vista と Windows Server 2008 では、EFS を使用している AES アルゴリズム 256 ビット キーを使用します。この設定を有効にする場合は、aes-256 が使用されます。
    • FIPS のローカル ポリシーは、キーのパスワードの暗号化には影響しません。
  • Microsoft.NET Framework などアプリケーション Microsoft ASP.NET のみ FIPS 140 準拠する NIST で認定されたアルゴリズムの実装を使用してできます。具体的には、インスタンスを作成することができますのみの暗号化アルゴリズム クラスは、FIPS 準拠のアルゴリズムを実装するものです。"CryptoServiceProvider"または"Cng"で、これらのクラスの名前を終了します。「管理、」で終わる名前を持つクラスが指す例外が発生するよういずれかの他の暗号化アルゴリズム クラスのインスタンスを作成します。また、FIPS 準拠 MD5 などは、ない暗号アルゴリズムのインスタンスを作成しようとするまた指す例外が。
  • FIPS 設定を有効にする場合は、クライアント コンピューターをインストール、次のいずれかがあるない場合、ClickOnce アプリケーションの検証が失敗します。
    • [.NET Framework 3.5 またはそれ以降の.NET Framework
    • .NET Framework 2.0 Service Pack 1 またはそれ以降のサービス パック
    注意
    • Visual Studio 2005 では、ClickOnce アプリケーションをビルドまたは FIPS が必要コンピューターから公開できません。ただし、コンピューターの.NET Framework 2.0、.NET Framework 3.5 SP1 が含まれており、SP2 は場合は、Visual Studio 2005年は Winforms または WPF アプリケーションを発行できます。
    • Visual Studio 2008 では、ClickOnce アプリケーションを作成または Visual Studio の Visual Studio 2008 SP1 またはそれ以降がインストールされていない場合に発行できません。
  • 既定では、Windows Vista と Windows Server 2008 は、128 ビットの AES 暗号化は、他のディフューザーと、BitLocker ドライブ暗号化機能を使用します。この設定を有効にすると、BitLocker はディフューザーなし 256 ビットの AES 暗号化を使用します。また、回復パスワードいない作成または Active Directory ディレクトリ サービスをバックアップします。そのため、キーボードで回復パスワードを入力すると失われるピンやシステムの変更からを復元できません。回復パスワードを使用するのではなく、ローカル ドライブまたはネットワーク共有上に回復キーをバックアップ可能性があります。回復キーを使用するのには、USB デバイス上のキーを配置します。次に、デバイスをコンピューターに接続します。
  • Windows Vista SP1 と Windows vista と Windows Server 2008 以降のバージョンでは、暗号化オペレーター グループのメンバーのみ暗号化、IPsec ポリシー、Windows ファイアウォールの設定を編集できます。
注意
  • 有効または無効にすると、システム暗号化: 使用の FIPS 準拠アルゴリズムを暗号化、ハッシュ、および署名セキュリティ設定は新しい設定を有効にするのには Internet Explorer などのアプリケーションを再起動する必要があります。
  • このセキュリティ設定は、Windows Server 2008 と Windows Vista の以下のレジストリ値に影響します。
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
    このレジストリ値は、現在 FIPS 設定を反映します。この設定が有効になっている場合、値は 1 です。この設定が無効になっている場合、値は 0 です。
  • このセキュリティ設定は、Windows Server 2003 および Windows XP では次のレジストリ値に影響します。
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
    このレジストリ値は、現在 FIPS 設定を反映します。この設定が有効になっている場合、値は 1 です。この設定が無効になっている場合、値は 0 です。

プロパティ

文書番号: 811833 - 最終更新日: 2013年3月31日 - リビジョン: 9.0
この資料は以下の製品について記述したものです。
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
キーワード:?
kbhowto kbinfo kbmt KB811833 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:811833
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com