«Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хеширования и подписывания» эффектов настройки безопасности в Windows XP и более поздних версиях Windows

Переводы статьи Переводы статьи
Код статьи: 811833 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Аннотация

США федеральные обработки информации стандартного (FIPS) определяет безопасность и требованиями к взаимодействию для компьютерных систем, используемых федеральным правительством США. Стандарт FIPS 140 определяет утвержденные криптографических алгоритмов. Стандарт FIPS 140 также формулируются требования для создания ключей и управления ключами. Национальный институт стандартов и технологий США (NIST) использует для определения конкретной реализации криптографического алгоритма стандарта FIPS 140 комплекс программ проверки криптографического модуля (CMVP). Реализация алгоритма шифрования считаются FIPS 140-совместимые только в том случае, если он был выдан для и прошел проверку NIST. Алгоритм, который не был отправлен не является FIPS-совместимым даже в том случае, если реализация создает идентичные данные как проверенный реализацию тот же алгоритм.

Дополнительные сведения о как продукты корпорации Майкрософт и библиотеки, соответствующих стандарту FIPS 140 посетите следующий веб-узел корпорации Майкрософт:
http://TechNet.Microsoft.com/en-us/library/cc750357.aspx
В некоторых случаях приложение может использовать неутвержденные алгоритмы или процессов, в то время как приложение работает в режиме FIPS-совместимым. Например использование неутвержденные алгоритмов может быть разрешено в следующих случаях:
  • Если некоторые внутренние процессы остаются в пределах компьютера
  • При некоторых внешних данных для шифрования FIPS-совместимые реализацией Кроме того

Дополнительная информация

В Windows XP и более поздних версиях Windows Если вы включите следующие параметры безопасности в локальной политике безопасности или как часть групповой политики сообщить приложений, их следует использовать только криптографических алгоритмов, FIPS 140 совместимым и соответствия FIPS утверждения режима работы:
Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хеширования и подписывания
Эта политика является только рекомендации для приложений. Таким образом Если политика включена, она не убедитесь, что все приложения будут соответствовать этим требованиям. Данный параметр влияет следующих областей в операционной системе:
  • Этот параметр указывает пакет безопасности безопасного канала Schannel и всех приложений, построенных на пакет безопасности безопасного канала Schannel для согласования протокола безопасности TLS (Transport Layer) 1.0. Если этот параметр включен на сервере, на котором выполняется IIS, могут подключаться только веб-обозреватели, поддерживающие протокол TLS 1.0. Если этот параметр включен на клиентском компьютере, все клиенты Schannel, например Microsoft Internet Explorer может подключаться только к серверам, которые поддерживают протокол TLS 1.0. Список комплектов шифров при включенном параметре поддерживается комплектов шифров в разделе Schannel см.

    Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
    811834Невозможно посетить веб-узлы SSL после включения FIPS-совместимого шифрования
  • Этот параметр также влияет на службы терминалов в Windows Server 2003 и более поздних версиях Windows. Результат зависит от того, используется TLS для проверки подлинности сервера.

    Если TLS используется для проверки подлинности сервера, этот параметр вызывает только протокол TLS 1.0 для использования.

    По умолчанию Если TLS не используется, и этот параметр не включен на клиентском компьютере или на сервере, канала между сервером и клиентом протокола удаленного рабочего стола (RDP) шифруется с помощью алгоритма RC4 с длиной ключа 128 бит. После включения этого параметра на компьютере под управлением Windows Server 2003, характерно следующее:
    • RDP канал шифруется с помощью алгоритма 3DES в режиме цепочки CBC (Cipher Block) с 168-битного ключа длиной.
    • Алгоритм SHA-1 используется для создания сводных сообщений.
    • Для подключения клиентов необходимо использовать программу клиента RDP 5.2 или более поздней версии.
    Дополнительные сведения о настройке служб терминалов щелкните следующий номер статьи базы знаний Майкрософт:
    814590Инструкции по включению и настройке Администрирование удаленного рабочего стола в Windows Server 2003
  • Клиенты Windows XP, которые используют программу-клиент RDP 5.2 и более поздних версиях протокола удаленного рабочего СТОЛА для подключения к компьютерам с Windows Server 2003, Windows Vista или Windows Server 2008, при включении этого параметра. Однако подключения удаленного рабочего стола на Windows XP компьютеры работать при включении этого параметра на клиентском компьютере или на сервере.
  • Клиенты Windows, для которых включен параметр FIPS не удается подключиться к службам терминалов Windows 2000.
  • Этот параметр влияет на алгоритм шифрования, используемый для новых файлов с помощью шифрованной файловой системы (EFS). Существующие файлы останутся без изменений и продолжает осуществляться с помощью алгоритмов, с которыми они изначально были зашифрованы.

    Примечания
    • По умолчанию EFS в Windows XP RTM использует алгоритм DESX. Если этот параметр включен, EFS использует шифрование 3DES 168-битного.
    • В Пакет обновления 1 (SP1) для Windows XP, в более поздних пакетов обновления для Windows XP и Windows Server 2003 EFS по умолчанию использует алгоритм Улучшенный стандарт шифрования (AES) с длиной ключа 256 бит. Однако EFS использует реализацию AES в режиме ядра. Эта реализация не прошедших проверку FIPS на этих платформах. Если включен параметр FIPS на этих платформах, операционная система использует алгоритм 3DES с длиной 168-битного ключа.
    • В Windows Vista и Windows Server 2008 EFS использует алгоритм AES с 256-разрядные ключи. Если этот параметр включен, будет использоваться AES-256.
    • Пароль ключа шифрования FIPS локальная политика не влияет.
  • Приложения Microsoft платформа.NET Framework, такие как Microsoft ASP.NET разрешить только для реализаций алгоритмов, сертифицированные по NIST FIPS 140 совместимым как с помощью. В частности классы только криптографический алгоритм, которые могут быть созданы, реализующих FIPS-совместимые алгоритмы. Имена этих классов заканчиваются на «CryptoServiceProvider» или «Cng». Любая попытка создавать экземпляры других классов, алгоритм шифрования, таких как классы, имена которых заканчиваются на «Управляемые», вызвать возникнет исключение InvalidOperationException. Кроме того любая попытка создать экземпляр криптографического алгоритма, который не является FIPS-совместимым, например, MD5, также вызывает исключение InvalidOperationException.
  • Если параметр FIPS включен, проверка приложений ClickOnce завершается неудачно, если клиентский компьютер имеет один из следующих:
    • Платформа.NET Framework 3.5 или более поздней версии платформа.NET Framework
    • Платформа.NET Framework 2.0 Пакет обновления 1 или более поздней версии пакета обновления
    Примечания
    • С Visual Studio 2005 нельзя построена на приложения ClickOnce или опубликованы на компьютере требуется FIPS. Однако если на компьютере установлена платформа.NET Framework 2.0 SP2, который входит в состав платформа.NET Framework 3.5 SP1, Visual Studio 2005 можно публиковать приложения Winforms или WPF.
    • С Visual Studio 2008 приложения ClickOnce не может быть построен или опубликованы, пока не будет установлен Visual Studio 2008 с пакетом обновления 1 или более поздней версии Visual Studio.
  • По умолчанию в Windows Vista и Windows Server 2008 функция шифрования диска BitLocker использует 128-битное шифрование AES с диффузором дополнительных. Если этот параметр включен, BitLocker использует шифрование AES 256-битный без диффузора. Кроме того пароли восстановления не создаются или резервная копия службы каталогов Active Directory. Таким образом невозможно восстановить контакты утеряны или изменения в систему, введя пароль восстановления на клавиатуре. Вместо пароля восстановления, может архивировать ключ восстановления на локальном диске или на общем сетевом ресурсе. Чтобы использовать ключ восстановления, поместите ключа на USB-устройстве. Затем подключите устройство к компьютеру.
  • В Windows Vista SP1 и более поздних версиях операционной системы Windows Vista и Windows Server 2008 только члены группы операторов шифрования можно изменить параметры шифрования в политике IPsec брандмауэра Windows.
Примечания
  • После включения или отключения Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хеширования и подписывания безопасности задания, необходимо перезапустить приложение, например Internet Explorer, новой настройки вступили в силу.
  • Этот параметр безопасности влияет на значение следующего параметра реестра в Windows Server 2008 и Windows Vista:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
    Это значение отражает текущее значение FIPS. Если этот параметр включен, значение равно 1. Если этот параметр отключен, значение равно 0.
  • Этот параметр безопасности влияет на значение следующего параметра реестра в Windows Server 2003 и Windows XP:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
    Это значение отражает текущее значение FIPS. Если этот параметр включен, значение равно 1. Если этот параметр отключен, значение равно 0.

Свойства

Код статьи: 811833 - Последний отзыв: 7 июня 2013 г. - Revision: 5.0
Информация в данной статье относится к следующим продуктам.
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Windows 7 Корпоративная
  • Windows 7 Домашняя базовая
  • Windows 7 Домашняя расширенная
  • Windows 7 Профессиональная
  • Windows 7 Начальная
  • Windows 7 Максимальная
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Ключевые слова: 
kbhowto kbinfo kbmt KB811833 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.
Эта статья на английском языке: 811833

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com