"Šifrovanie systému: použitie FIPS vyhovujúce algoritmy na šifrovanie, haš a podpisovaniu" efekty nastavenie zabezpečenia v systéme Windows XP a v novších verziách systému Windows

Preklady článku Preklady článku
ID článku: 811833 - Zobraziť produkty, ktorých sa tento článok týka.
Rozbaliť všetko | Zbaliť všetko

Súhrn

Spojené štáty federálny informácie spracovanie štandardných (FIPS) definuje bezpečnosti a požiadaviek na interoperabilitu pre počítačové systémy, ktoré sa používajú od americkej federálnej vlády. Norma FIPS 140 schválené kryptografické algoritmy. Norma FIPS 140 tiež stanovuje požiadavky pre generovanie kľúčov a kľúčov. Národný inštitút pre štandardy a technológie (NIST) používa kryptografický modul overenie Program (CMVP) či najmä vykonávania šifrovací algoritmus je kompatibilný s normou FIPS 140. Implementácia šifrovací algoritmus je považovaný za FIPS 140-kompatibilný iba vtedy, ak bola predložená a prešiel NIST validácie. Algoritmus, ktorý nebola predložená nemožno považovať za FIPS-kompatibilný, aj keď vykonávanie produkuje rovnaké údaje ako overené vykonávania rovnaký algoritmus.

Ďalšie informácie o tom, ako produkty spoločnosti Microsoft a knižnice v súlade s normou FIPS 140, navštívte nasledujúce webovú lokalitu spoločnosti Microsoft:
http://technet.Microsoft.com/en-us/library/cc750357.aspx
V niektorých prípadoch aplikácia môžu používať neschválených algoritmy alebo procesy, kým aplikácia funguje v režime FIPS-kompatibilné. Napríklad pou ívanie neschválených algoritmy prípustné v nasledovných prípadoch:
  • Keď niektoré interné procesy pricestovali do počítača
  • Keď niektoré externé údaje je navyše zašifrovať FIPS-kompatibilný s vykonávaním

Ďalšie informácie

V systéme Windows XP a v novších verziách systému Windows, ak povolíte nasledovné nastavenie zabezpečenia Lokálna politika zabezpečenia alebo ako súčasť politiky skupiny, informujete aplikácie, ktoré by mali používať iba kryptografické algoritmy, ktoré sú kompatibilné so štandardmi FIPS 140 a v súlade s FIPS schválené prevádzkové režimy:
Šifrovanie systému: použitie FIPS vyhovujúce algoritmy na šifrovanie, hashing, a podpis
Táto politika je iba poradný aplikácií. Preto, ak zapnete politiku, to robí si istý, že bude dodržiavať všetky aplikácie. Tieto oblasti v operačnom systéme bude ovplyvnená týmto nastavením:
  • Toto nastavenie spôsobí balík zabezpečenia Schannel a všetky aplikácie, ktoré stavajú na balík zabezpečenia Schannel rokovať iba protokol Transport Layer Security (TLS) 1.0. Ak toto nastavenie zapnuté na serveri so spustenou službou IIS, môžete sa pripojiť iba webové prehľadávače, ktoré podporujú TLS 1.0. Ak toto nastavenie zapnuté na klienta, všetky Schannel klientov, napríklad Microsoft Internet Explorer, môžete pripojiť len na serveroch, ktoré podporujú protokol TLS 1.0. Zoznam šifrovacie sady podporované, keď je zapnuté nastavenie pozri šifrovacia Schannel tému.

    Ďalšie informácie nájdete po kliknutí na nasledovné číslo článku publikovaného v Microsoft Knowledge Base:
    811834Nemôžete navštíviť lokalít SSL po zapnutí FIPS kompatibilný kryptografie
  • Toto nastavenie ovplyvňuje aj terminálové služby v systéme Windows Server 2003 a novšie verzie systému Windows. Účinok závisí od toho, či TLS používa pre overenie databázovým serverom.

    Ak TLS používa pre overenie databázovým serverom, toto nastavenie spôsobí len TLS 1.0 majú byť použité.

    Štandardne Ak nepoužíva TLS, a toto nastavenie nie je povolená na klienta alebo servera, Protokol RDP (Remote Desktop) kanál medzi serverom a klientom šifrované pomocou algoritmu RC4 s dĺžkou kľúča 128-bit. Po zapnutí tohto nastavenia v počítači so systémom Windows Server 2003, je splnené nasledovné:
    • RDP kanál je šifrované pomocou algoritmu 3DES v režime Cipher Block Chaining (CBC) s dĺžkou 168-bitový kľúč.
    • SHA-1 algoritmus sa používa na vytvorenie správy Dvořáčka.
    • Klienti musia na pripojenie použite RDP 5.2 klienta programu alebo novšiu verziu.
    Ďalšie informácie o konfigurovaní terminálových služieb, kliknite na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:
    814590Ako povoliť a nakonfigurovať vzdialenej plochy pre správu systému Windows Server 2003
  • Windows XP klientov, ktoré používajú RDP 5.2 klienta programu a novších verziách RDP môžete pripojiť k Windows Server 2003, Windows Vista alebo Windows Server 2008 počítače, keď zapnete túto možnosť. Však pripojenia vzdialenej skúsenosti s prácou s počítačom na Windows XP počítačov zlyhá Ak zapnete túto možnosť buď klient alebo server.
  • Windows klientov, ktoré majú zapnuté nastavenie FIPS nemôžete pripojiť Windows 2000 terminálové služby.
  • Toto nastavenie ovplyvňuje šifrovací algoritmus, ktorý sa používa v šifrovanie systému súborov (EFS) pre nové súbory. Existujúce súbory sú nedotknuté a naďalej pristupovať pomocou algoritmov, ktoré boli pôvodne šifrovaný.

    Poznámky
    • Predvolene systém EFS na Windows XP RTM používa algoritmus DESX. Ak povolíte toto nastavenie, EFS používa šifrovanie 3DES 168-bitový.
    • V predvolenom nastavení v systéme Windows XP Service Pack 1 (SP1), neskôr Windows XP service pack, a Windows Server 2003, EFS používa Advanced Encryption Standard (AES) algoritmu s dĺžkou kľúča 256-bit. Avšak, EFS používa AES vykonávanie režimu jadra. Táto implementácia nie je FIPS validovanými na týchto platformách. Ak povolíte nastavenie FIPS na týchto platformách, operačný systém používa algoritmus 3DES s dĺžkou 168-bitový kľúč.
    • V systéme Windows Vista a Windows Server 2008, EFS používa AES algoritmus s 256-bitové kľúče. Ak povolíte toto nastavenie, AES-256 budú použité.
    • FIPS Lokálna politika neovplyvňuje kľúča šifrovacieho hesla.
  • Microsoft .NET Framework aplikácie ako Microsoft ASP.NET iba umožňujú pomocou algoritmu implementácií, ktoré sú certifikované podľa NIST byť FIPS 140 kompatibilný. Konkrétne iba šifrovací algoritmus tried, ktoré môže byť vytvorená inštancia sú implementovať algoritmov FIPS-vyhovujúcich. Mená týchto tried končí v "CryptoServiceProvider" alebo "Cng." Akýkoľvek pokus vytvoriť inštancie ostatných tried šifrovací algoritmus, ako triedy s koncovkou "Managed," spôsobiť InvalidOperationException výnimkou vyskytnúť. Navyše, akýkoľvek pokus o vytvorenie inštancie šifrovací algoritmus, ktorý nie je kompatibilný, ako napríklad MD5, FIPS spôsobuje aj výnimku InvalidOperationException.
  • Ak je aktivované nastavenie FIPS, overenie aplikácie ClickOnce zlyhá, ak klientsky počítač má jeden z nainštalované nasledovné:
    • .NET Framework 3.5 alebo novšiu verziu programu .NET Framework
    • .NET Framework 2.0 Service Pack 1 alebo novší service pack
    Poznámky
    • Visual Studio 2005, aplikácie ClickOnce nemôže byť postavené na alebo uverejnené od FIPS-vyžaduje počítač. Avšak, ak má počítač .NET Framework 2.0 SP2, ktorá je súčasťou programu .NET Framework 3.5 SP1, Visual Studio 2005 môžete publikovať Winforms/WPF aplikácie.
    • Visual Studio 2008, aplikácie ClickOnce nemôže byť postavená alebo uverejnené, pokiaľ je nainštalovaný Visual Studio 2008 SP1 alebo novšej verzie programu Visual Studio.
  • V predvolenom nastavení v systéme Windows Vista a Windows Server 2008, funkciu BitLocker Drive Encryption používa 128-bit AES šifrovanie spolu s dodatočné difúzor. Keď je toto nastavenie zapnuté, šifrovanie BitLocker používa 256-bit AES šifrovanie bez algoritmu diffuser. Navyše heslá obnovenia nie sú vytvorené alebo zálohované adresárovej služby Active Directory. Preto nemôžete obnoviť stratené kolíky alebo zmeny systému zadaním hesla obnovenia na klávesnici. Namiesto použitia hesla obnovenia sa môžu zálohovať kľúč na obnovenie na lokálny disk alebo na zdieľané miesto v sieti. Použiť kľúč na obnovenie, vložte kľúč na zariadení USB. Potom pripojte zariadenie do počítača.
  • Windows Vista SP1 a novšími verziami systému Windows Vista a Windows Server 2008, iba členovia skupiny kryptografických operátorov môžete upraviť crypto nastavenia politiky protokolu IPsec brány Firewall systému Windows.
Poznámky
  • Po povoliť alebo zakázať Šifrovanie systému: použitie vyhovujúceho štandardu FIPS na šifrovanie, haš a podpisovaniu bezpečnostné nastavenia, musíte reštartovať aplikáciu, ako je Internet Explorer, nové nastavenie sa prejaví.
  • Toto nastavenie zabezpečenia ovplyvní nasledovnú hodnotu databázy registry v systéme Windows Server 2008 a systému Windows Vista:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
    Túto hodnotu databázy registry odráža aktuálne nastavenie FIPS. Ak je toto nastavenie povolené, hodnota je 1. Ak je toto nastavenie vypnuté, hodnota je 0.
  • Toto nastavenie zabezpečenia ovplyvní nasledovnú hodnotu databázy registry v systéme Windows Server 2003 a Windows XP:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
    Túto hodnotu databázy registry odráža aktuálne nastavenie FIPS. Ak je toto nastavenie povolené, hodnota je 1. Ak je toto nastavenie vypnuté, hodnota je 0.

Vlastnosti

ID článku: 811833 - Posledná kontrola: 21. apríla 2013 - Revízia: 4.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Kľúčové slová: 
kbhowto kbinfo kbmt KB811833 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 811833

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com