"Sistem de criptografie: folosirea FIPS compatibile cu algoritmi de criptare, hash, precum și semnarea" efecte de setarea de securitate în Windows XP și în versiunile ulterioare de Windows

Traduceri articole Traduceri articole
ID articol: 811833 - View products that this article applies to.
Măriți totul | Reduceți totul

Rezumat

Statele Unite Federal informații de prelucrare Standard (FIPS) definește securitate și cerințele de interoperabilitate pentru sistemele informatice utilizate de către guvernul US federal. Standardul FIPS 140 definește algoritmi criptografici aprobate. Standardul FIPS 140, de asemenea, stabilește cerințele pentru generarea de cheie și de gestionare a cheilor. Institutul Național de standarde și tehnologie (NIST) utilizează modulul criptografic validare de Program (CMVP) pentru a determina dacă un anumit implementarea un algoritm criptografic este compatibil cu standardul FIPS 140. Implementarea unui algoritm criptografic este considerat FIPS 140-compatibil numai în cazul în care a fost prezentată pentru și a trecut de validare NIST. Un algoritm care nu a fost prezentată nu poate fi considerat FIPS-conforme chiar dacă punerea în aplicare produce date identice ca o implementare validate de același algoritm.

Pentru mai multe informa?ii despre cum Microsoft produse și biblioteci în conformitate cu standardul FIPS 140, vizitați următorul site Web Microsoft:
http://technet.Microsoft.com/en-us/library/cc750357.aspx
În unele scenarii, o aplicație pot folosi neaprobate algoritmi sau procese, în marcă de timp ce Aplicația funcționează într-un mod compatibil cu FIPS. De exemplu, utilizarea algoritmilor neomologate poate fi permisă în următoarele scenarii:
  • Când unele procese interne rămâne în cadrul calculatorului
  • Când unele set de controale pentru date externe este de a fi criptate în plus de o implementare FIPS-compatibil

Informații suplimentare

În Windows XP și în versiunile ulterioare de Windows, dacă activați setarea de securitate următoarele Local Sigur politică sau ca parte a politicii de grup, să informeze aplicații care ar trebui sa foloseasca numai algoritmi criptografici FIPS 140 compatibil și cu respectarea FIPS aprobat moduri de operare:
Sistem de criptografie: folosirea FIPS compatibile cu algoritmi de criptare, hash, precum și semnarea
Această politică este doar consultativ pentru aplicații. Prin urmare, dacă activați politica, ea nu face sigur că toate cererile sunt conforme. Următoarele zone din sistemul de operare va fi afectată de această setare:
  • Această setare determină pachetul de securitate Schannel și toate aplicațiile care construi pe pachetul de securitate Schannel să negocieze numai Protocolul de protocol TLS (TLS) 1.0. Dacă această setare este activată pe un server care execută IIS, puteți conecta doar Web browser care acceptă TLS 1.0. Dacă această setare este activată pe un client, toate Schannel clienti, precum Microsoft Internet Explorer, puteți conecta doar la serverele care suporta protocolul TLS 1.0. Pentru o listă de cifru suites acceptat când este activată setarea vedea Suites cifru în Schannel subiect.

    Pentru mai multe informații, faceți clic pe următorul număr de articol pentru a vedea articolul în bază de cunoștințe Microsoft:
    811834Nu pot vizita site-urile SSL după ce activați FIPS conforme criptografie
  • Această setare afectează de asemenea Terminal Services în Windows Server 2003 și în versiunile ulterioare de Windows. Efectul depinde dacă TLS este utilizat pentru autentificarea serverului.

    Dacă TLS este utilizat pentru autentificare server, această setare determină numai TLS 1.0 pentru a fi utilizate.

    implicit, dacă nu este utilizat TLS, și nu este activată această setare pe client sau pe server, canalul Remote Pupitru Protocol (RDP) intre server si client este criptat utilizând Algoritmul RC4 cu o lungime de 128-bit cheie. După ce activați această setare de pe un computer bazat pe Windows Server 2003, următoare este adevărată:
    • Canalul RDP este criptat utilizând Algoritmul de 3DES în modul Cipher Block Chaining (CBC) cu o lungime de cheie 168 biți.
    • SHA-1 algoritm este folosit pentru a crea mesaj rezumatele.
    • Clientii trebuie să utilizați programul-client RDP 5.2 sau o versiune ulterioară pentru a conecta.
    Pentru mai multe informații despre cum se configurează consolidare Terminal Services, faceți clic pe următorul număr de articol pentru a vedea articolul în bază de cunoștințe Microsoft:
    814590Cum să activați și să configurați Remote Desktop pentru administrare în Windows Server 2003
  • Clientii de Windows XP care utilizează programul-client RDP 5.2 și versiunile ulterioare de RDP poate conecta computerele Windows Server 2003, Windows Vista sau Windows Server 2008 atunci când activați această opțiune. Cu toate acestea, remote pupitru legături la computere Windows XP nu reușesc atunci când activați această opțiune pe client sau pe server.
  • Clientii de Windows care au setarea FIPS activat nu se poate conecta la consolidare Terminal Services Windows 2000.
  • Această setare afectează algoritmul de criptare folosit de Encrypting dosar sistem (EFS) pentru fișierele noi. Fișierele existente sunt afectate și Urmărire pentru a fi accesate folosind algoritmi cu care acestea au fost inițial criptat.

    Note
    • implicit, EFS pe Windows XP RTM utilizeaza algoritmul DESX. Dacă activați această setare, EFS folosește criptare 3DES 168 biți.
    • implicit, în Windows XP pachet Service Pack 1 (SP1), în mai târziu pachete de consolidare servicii Windows XP și Windows Server 2003, EFS folosește algoritmul Advanced Encryption Standard (AES) cu o lungime de 256-bit cheie. Cu toate acestea, EFS utilizează punerea AES în mod nucleu. Această implementare nu este FIPS-validate pe aceste platforme. Dacă activați setarea FIPS pe aceste platforme, sistemul de operare foloseste algoritm 3DES cu o lungime de cheie 168 biți.
    • În Windows Vista ?i Windows Server 2008, EFS foloseste algoritmul AES cu 256-bit chei. Dacă activați această setare, AES-256 va fi folosit.
    • FIPS local politică nu afectează parola cheie de criptare.
  • Microsoft .NET Framework aplicații precum Microsoft ASP.NET permit doar folosind implementări de algoritm care sunt certificate de către NIST să fie FIPS 140 conforme. În special, clasele numai criptografic algoritmul care poate fi instanțiat sunt cele care implementarea algoritmilor FIPS-conforme. Nume de aceste clase se în "CryptoServiceProvider" sau "Cng." Orice încercare de a crea o instanta a altor clase de criptografic algoritmul, cum ar fi clasele cu nume de sign-in care se termină în "Managed," provoca o excepție InvalidOperationException să apară. În plus, orice încercare de a crea o instanță a un algoritm criptografic nu este FIPS compatibil, cum ar fi MD5, de asemenea, provoacă o excepție InvalidOperationException.
  • Dacă este activată setarea FIPS, verificarea cererilor ClickOnce nu excepția cazului în care computerul clientului are una dintre instalate următoarele:
    • .NET Framework 3.5 sau o versiune mai recentă de .NET Framework
    • .NET Framework 2.0 pachet Service Pack 1 sau ulterior un pachet Service Pack
    Note
    • Cu Visual Studio 2005, cererile de ClickOnce nu poate fi construit pe sau publicat de pe un computer FIPS-necesare. Cu toate acestea, în cazul în care computerul are SP2 .NET Framework 2.0, care este inclus în .NET Framework 3.5 SP1, Visual Studio 2005 puteți publica Winforms/WPF aplicații.
    • Cu Visual Studio 2008, aplicațiile ClickOnce nu poate fi construit sau publicat cu excepția cazului în Visual Studio 2008 SP1 sau o versiune ulterioară a Visual Studio este instalat.
  • Implicit, în Windows Vista ?i Windows Server 2008, caracteristica Criptare unitate BitLocker utilizează 128-bit AES criptare împreună cu un difuzor suplimentar. Când este activată această setare, BitLocker utilizează 256-bit AES criptare fără un difuzor. În plus, recuperare parole nu sunt create sau susținute la serviciul director Active Directory. Prin urmare, nu se poate recupera din ace de pierdut sau de modificările sistemului prin tastarea într-o parolă de recuperare de la tastatură. În loc să utilizați o parolă de recuperare, poate înapoi până o cheie de recuperare pe un disc local sau pe o partajare de rețea. Pentru a utiliza tasta de recuperare, pus-cheie pe un dispozitiv USB. Apoi, conectați dispozitivul la computer.
  • În Windows Vista SP1 și versiunile ulterioare de Windows Vista, și în Windows Server 2008, numai membrii grupului criptografice operatorii pot edita setările cripto în politica IPsec Windows Firewall.
Note
  • După ce ați activați sau dezactivați sistem de criptografie: folosirea FIPS compatibile cu algoritmi de criptare, hash, precum și semnarea securitate setare, trebuie să reporniți aplicația, cum ar fi Internet Explorer, pentru ca noile setări să aibă efect.
  • Această setare de securitate afectează următoarea valoare de registry în Windows Server 2008 și în Windows Vista:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
    Această valoare de registry reflectă setarea FIPS. Dacă această setare este activată, valoarea este 1. Dacă această setare este dezactivat, valoarea este 0.
  • Această setare de securitate afectează următoarea valoare de registry în Windows Server 2003 și în Windows XP:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
    Această valoare de registry reflectă setarea FIPS. Dacă această setare este activată, valoarea este 1. Dacă această setare este dezactivat, valoarea este 0.

Proprietă?i

ID articol: 811833 - Ultima examinare: 31 martie 2013 - Revizie: 2.0
Se aplică la:
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Cuvinte cheie: 
kbhowto kbinfo kbmt KB811833 KbMtro
Traducere automată
IMPORTANT: Acest articol a fost tradus de software-ul de traducere automată Microsoft, si nu de un traducător. Microsoft vă oferă atât articole traduse de persoane, cât și articole traduse automat, astfel incat aveti access la toate articolele din Baza noastră de informatii în limba dvs. materna. Totuși, un articol tradus automat nu este întotdeauna perfect. Acesta poate conține greșeli de vocabular, sintaxă sau gramatică, la fel cum un vorbitor străin poate face greșeli vorbind limba dvs. materna. Compania Microsoft nu este responsabilă pentru nici o inexactitate, eroare sau daună cauzată de traducerea necorespunzătoare a conținutului sau de utilizarea traducerii necorespunzătoare de către clienții nostri. De asemenea, Microsoft actualizează frecvent software-ul de traducere automată.
Face?i clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 811833

Trimite?i feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com