"Criptografia de sistema: usar FIPS compatíveis com algoritmos para criptografia, hash e assinatura" efeitos da configuração de segurança no Windows XP e em versões posteriores do Windows

Traduções deste artigo Traduções deste artigo
ID do artigo: 811833 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Sumário

Os Estados Unidos Federal Information Processing Standard (FIPS) define os requisitos de segurança e interoperabilidade para sistemas de computador que são usados pelo governo federal dos EUA. O padrão FIPS 140 define algoritmos aprovados. O padrão FIPS 140 também define requisitos para geração de chave e gerenciamento de chaves. O National Institute of Standards and Technology (NIST) usa o programa de validação de módulo criptográfico (CMVP) para determinar se uma implementação específica de um algoritmo criptográfico é compatível com o padrão FIPS 140. Uma implementação de um algoritmo criptográfico é considerada FIPS 140 compatível somente se ele foi enviado para e passou na validação do NIST. Um algoritmo não foi enviado não pode ser considerado compatível com FIPS mesmo que a implementação produz dados idênticos como uma implementação validada do mesmo algoritmo.

Para obter mais informações sobre como os produtos Microsoft e bibliotecas compatíveis com o padrão de FIPS 140, visite o seguinte site da Microsoft:
http://technet.microsoft.com/en-us/library/cc750357.aspx
Em alguns cenários, um aplicativo pode usar algoritmos não aprovados ou processos, enquanto o aplicativo opera em um modo compatível com FIPS. Por exemplo, o uso de algoritmos não aprovados pode ser permitido nas seguintes situações:
  • Quando alguns processos internos permanecem dentro do computador
  • Quando alguns dados externos são Além disso sejam criptografados por uma implementação compatível com FIPS

Mais Informações

No Windows XP e em versões posteriores do Windows, se você habilitar a seguinte configuração de segurança na diretiva de segurança Local ou como parte da diretiva de grupo, você os aplicativos que eles devem usar apenas algoritmos criptográficos FIPS 140 compatível e em conformidade com FIPS aprovado modos de operação informar:
Criptografia de sistema: usar FIPS compatíveis com algoritmos para criptografia, hash e assinatura
Esta diretiva só é comunicada aos aplicativos. Portanto, se você ativar a diretiva, ele não Certifique-se de que todos os aplicativos serão compatíveis. As seguintes áreas do sistema operacional serão afetadas por essa configuração:
  • Essa configuração faz com que o pacote de segurança Schannel e todos os aplicativos que se baseiam o pacote de segurança Schannel negociar apenas o protocolo Transport Layer Security (TLS) 1.0. Se essa configuração estiver habilitada em um servidor que está executando o IIS, somente os navegadores que suportam TLS 1.0 poderão se conectar. Se essa configuração estiver habilitada em um cliente, todos os clientes Schannel, como o Microsoft Internet Explorer, só podem se conectar a servidores que oferecem suporte ao protocolo TLS 1.0. Para obter uma lista de conjuntos de codificação suportado quando a configuração estiver habilitada, consulte o conjunto de codificação Schannel tópico.

    Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    811834Não é possível visitar sites SSL após ativar a criptografia compatível com FIPS
  • Essa configuração também afeta os serviços de Terminal no Windows Server 2003 e em versões posteriores do Windows. O efeito depende se TLS está sendo usado para autenticação de servidor.

    Se TLS está sendo usado para autenticação de servidor, essa configuração faz com que apenas TLS 1.0 ser usado.

    Por padrão, se TLS não está sendo usado e essa configuração não está habilitada no cliente ou no servidor, o canal de protocolo RDP (Remote Desktop) entre o servidor e o cliente é criptografado usando o algoritmo RC4 com um comprimento de chave de 128 bits. Após você ativar essa configuração em um computador baseado no Windows Server 2003, a seguir for verdadeira:
    • O canal RDP é criptografado usando o algoritmo 3DES em modo de Cipher Block Chaining (CBC) com um comprimento de chave de 168 bits.
    • O algoritmo SHA-1 é usado para criar resumos de mensagem.
    • Clientes devem usar o programa de cliente RDP 5.2 ou posterior para se conectar.
    Para obter mais informações sobre como configurar os serviços de terminal, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    814590Como habilitar e configurar a área de trabalho remota para administração no Windows Server 2003
  • Clientes do Windows XP que usam o programa de cliente RDP 5.2 e versões posteriores do RDP podem se conectar a computadores Windows Server 2003, Windows Vista ou Windows Server 2008 quando você ativar essa opção. No entanto, conexões de área de trabalho remota para computadores com Windows XP falham quando você ativar essa opção no cliente ou servidor.
  • Clientes do Windows que tenham a configuração de FIPS habilitada não podem se conectar aos serviços de terminal do Windows 2000.
  • Esta configuração afeta o algoritmo de criptografia que é usado pelo sistema de arquivos com criptografia (EFS) para novos arquivos. Os arquivos existentes não são afetados e continuem a ser acessado usando os algoritmos com a qual eles foram originalmente criptografados.

    Observações
    • Por padrão, o EFS no Windows XP RTM usa o algoritmo DESX. Se você habilitar essa configuração, o EFS usa criptografia 3DES de 168 bits.
    • Por padrão, no Windows XP Service Pack 1 (SP1), no Windows XP service packs mais recentes e no Windows Server 2003, o EFS usa o algoritmo AES Advanced Encryption Standard () com um comprimento de chave de 256 bits. No entanto, o EFS usa a implementação de AES de modo kernel. Esta implementação não é validado para FIPS nessas plataformas. Se você ativar a configuração de FIPS nessas plataformas, o sistema operacional usa o algoritmo 3DES com um comprimento de chave de 168 bits.
    • No Windows Vista e no Windows Server 2008, o EFS usa o algoritmo AES com chaves de 256 bits. Se você habilitar essa configuração, AES-256 será usado.
    • Diretiva local de FIPS não afeta a criptografia de chave de senha.
  • Aplicativos do Microsoft.NET Framework, como Microsoft ASP.NET só permitem o uso de implementações de algoritmo que são certificadas pelo NIST ser FIPS 140 compatível. Especificamente, as classes de algoritmo de criptografia só podem ser instanciadas são aquelas que implementam algoritmos compatíveis com FIPS. Os nomes dessas classes terminam em "CryptoServiceProvider" ou "Cng". Qualquer tentativa de criar uma instância de outras classes de algoritmo criptográfico, como classes com nomes que terminam em "Gerenciado", causar uma exceção InvalidOperationException ocorra. Além disso, qualquer tentativa de criar uma instância de um algoritmo criptográfico que não é compatível com, como o MD5, FIPS também faz com que uma exceção InvalidOperationException.
  • Se a configuração de FIPS estiver ativada, a verificação de aplicativos ClickOnce falhar, a menos que o computador cliente tem um dos seguintes programas instalado:
    • O.NET Framework 3.5 ou uma versão posterior do.NET Framework
    • O.NET Framework 2.0 Service Pack 1 ou um service pack mais recente
    Observações
    • Com o Visual Studio 2005, aplicativos ClickOnce não podem ser criados em ou publicados a partir de um computador necessárias FIPS. No entanto, se o computador tiver o.NET Framework 2.0 SP2, que está incluído com o.NET Framework 3.5 SP1, o Visual Studio 2005 de pode publicar aplicativos Winforms/WPF.
    • Com o Visual Studio 2008, aplicativos ClickOnce não podem ser criados ou publicados, a menos que o Visual Studio 2008 SP1 ou uma versão posterior do Visual Studio está instalada.
  • Por padrão, no Windows Vista e no Windows Server 2008, o recurso de criptografia de unidade BitLocker usa criptografia AES de 128 bits com um difusor adicional. Quando essa configuração estiver habilitada, o BitLocker usa criptografia AES de 256 bits sem um difusor. Além disso, as senhas de recuperação não são criadas ou backup para o serviço de diretório do Active Directory. Portanto, é possível recuperar de PINs perdidas ou de alterações no sistema, digitando uma senha de recuperação no teclado. Em vez de usar uma senha de recuperação, você pode fazer o backup de uma chave de recuperação em uma unidade local ou em um compartilhamento de rede. Para usar a chave de recuperação, coloque a chave em um dispositivo USB. Em seguida, conecte o dispositivo ao computador.
  • No Windows Vista SP1 e versões posteriores do Windows Vista e no Windows Server 2008, somente os membros do grupo Operadores de criptografia podem editar as configurações de criptografia na diretiva IPsec do Firewall do Windows.
Observações
  • Depois de habilitar ou desabilitar o criptografia de sistema: usar compatível com algoritmos FIPS para criptografia, hash e assinatura segurança configuração, você deve reiniciar o seu aplicativo, como o Internet Explorer, para a nova configuração tenha efeito.
  • Essa configuração de segurança afeta o seguinte valor do registro no Windows Server 2008 e no Windows Vista:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
    Esse valor do Registro reflete a configuração atual de FIPS. Se essa configuração estiver habilitada, o valor é 1. Se esta configuração for desabilitada, o valor será 0.
  • Essa configuração de segurança afeta o seguinte valor do registro no Windows Server 2003 e no Windows XP:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
    Esse valor do Registro reflete a configuração atual de FIPS. Se essa configuração estiver habilitada, o valor é 1. Se esta configuração for desabilitada, o valor será 0.

Propriedades

ID do artigo: 811833 - Última revisão: domingo, 31 de março de 2013 - Revisão: 2.0
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Palavras-chave: 
kbhowto kbinfo kbmt KB811833 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 811833

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com