"Система криптографії: сценарій виконання FIPS сумісних алгоритмів шифрування, хешування та підписання" ефекти безпеки налаштування в Windows XP і пізніших версіях Windows

Переклади статей Переклади статей
Номер статті: 811833 - Показ продуктів, яких стосується ця стаття.
Розгорнути все | Згорнути все

Підсумки

На Сполучених Штатів Федеральний інформація обробки стандартних (FIPS) визначає безпеки і вимоги до оперативної сумісності для комп'ютерних системний інтегратор, які використовуються федерального уряду Сполучені Штати. FIPS 140 стандарт визначає затверджених криптографічних алгоритмів. FIPS 140 стандарт також встановлює вимоги для ключові покоління і для керування ключами. Національний інститут стандартів і технологій (NIST) використовує шифрування програма верифікації модуля (CMVP) для визначення, чи конкретної реалізації криптографічний алгоритм за стандартом FIPS 140. Реалізація криптографічний алгоритм вважається FIPS 140-сумісні тільки, якщо його було надіслано на і пройшов NIST перевірки. Алгоритм, який не був представлений не може розглядатися в FIPS-сумісних навіть якщо реалізація виробляє однакових даних як перевірені реалізації алгоритму ж.

Щоб отримати додаткові відомості про те, як продукти Microsoft та бібліотек відповідають стандарту FIPS 140 відвідайте веб-сайт корпорації Майкрософт:
http://TechNet.Microsoft.com/EN-US/Library/cc750357.aspx
У деяких сценаріях застосунок може використовувати несхваленого алгоритмів або процесів під застосунок працює в режимі FIPS-сумісні. Наприклад, сценарій виконання несхваленого алгоритми можуть бути дозволені у таких випадках:
  • Коли деякі внутрішні процеси залишатися в межах комп'ютера
  • Коли деякі зовнішні дані є додатково зашифровано за FIPS-сумісних реалізації

Додаткові відомості

У Windows XP і пізніших версіях Windows Якщо ввімкнути таку настройку безпеки локальної політики безпеки або як частину групової політики, повідомити додатків, які вони повинні використовувати тільки криптографічних алгоритмів, які FIPS 140 сумісні і відповідно FIPS затверджений режими роботи:
Система криптографії: сценарій виконання FIPS сумісних алгоритмів шифрування, хешування і підписання
Ця політика є лише консультативним додатків. Таким чином, якщо ввімкнути політику, він не переконайтеся, що буде дотримуватися всіх додатків. Такі райони в операційній системі буде залежати від цього параметра:
  • Цей параметр викликає Schannel пакет безпеки і всі додатки, які побудувати на пакет безпеки Schannel вести переговори лише протокол транспорту Layer Security (TLS) 1.0. Якщо цей параметр увімкнуто на сервері, на якому працює служба IIS, може підключитися лише веб-браузерів, які підтримують TLS 1.0. Якщо цей параметр увімкнуто на клієнта, всі Schannel клієнтів, наприклад, Microsoft Internet Explorer, можна тільки підключення до серверів, які підтримують протокол TLS 1.0. Щоб переглянути список шифр suites підтримується, коли параметр увімкнено шифр Suites Schannel теми.

    Щоб отримати додаткові відомості клацніть, номер статті в базі знань Майкрософт:
    811834Не можна відвідати сайти SSL, після ввімкнення FIPS сумісний криптографії
  • Цей параметр також впливає на служб терміналів у Windows Server 2003 та пізніших версіях Windows. Ефект залежить від того, чи TLS використовується для перевірки автентичності сервера.

    Якщо TLS використовується для автентифікації на сервері, цей параметр викликає лише TLS 1.0 буде використовуватися.

    За промовчанням якщо не використовується TLS, і цю настройку не ввімкнуто на клієнта або на сервері, протокол віддаленого робочого стола (RDP) канал між сервером і клієнтом зашифровано за допомогою алгоритму RC4 Довжина ключа 128 біт. Після ввімкнення цього параметра на комп'ютері під керуванням Windows Server 2003, ось так:
    • Канал RDP зашифровані за допомогою алгоритму 3DES в режимі зчеплення блоків шифру (CBC) 168-bit Довжина ключа.
    • SHA-1 алгоритм використовується для створення протокол IMAP дайджестів.
    • Клієнти повинні підключитися за допомогою RDP 5.2 клієнтською програмою або пізнішої версії.
    Щоб отримати додаткові відомості про настроювання служба терміналів клацніть номер статті в базі знань Microsoft Knowledge Base:
    814590Увімкнення та настроювання віддаленого робочого стола для адміністрування у Windows Server 2003
  • Windows XP клієнтів, які використовують RDP 5.2 клієнтської програми та пізніші версії RDP може підключитися до Windows Server 2003, Windows Vista або Windows Server 2008 комп'ютерів, якщо ввімкнути цей параметр. Однак, підключення до віддаленого робочого стола на Windows XP комп'ютери не після ввімкнення цього параметра на клієнта або на сервері.
  • Windows клієнтів, які мають ввімкнуто параметр FIPS не вдається підключитися до служб терміналів Windows 2000.
  • Ця корегувати впливає алгоритм шифрування, що використовується за системи шифрування файлів (EFS) для нових файлів. Наявні файли не змінюються і продовжувати бути доступні за допомогою алгоритмів, з якими вони були спочатку зашифровані.

    Примітки
    • За промовчанням EFS на Windows XP, вихідний випуск використовує алгоритм DESX. Якщо ввімкнути цей параметр, EFS використовує шифрування 3DES 168-біт.
    • За промовчанням у Windows XP з пакетом оновлень 1 (SP1), пізніше пакети оновлень Windows XP та Windows Server 2003, EFS використовує алгоритм поліпшений стандарт шифрування AES (AES) довжина 256-бітного ключа. Однак, EFS використовує AES впровадження режим ядра. Ця реалізація не є FIPS-перевірено на цих платформах. Якщо ввімкнуто параметр FIPS для цих платформ, операційна система (ОС) використовує алгоритм 3DES 168-bit Довжина ключа.
    • У Windows Vista і Windows Server 2008 EFS використовує алгоритму AES з 256-бітного ключів. Якщо ввімкнути цей параметр, буде використовуватися AES-256.
    • FIPS Локальна політика не впливає на пароль ключа шифрування.
  • Microsoft .NET Framework додатків, таких як Microsoft ASP.NET дозвіл лише для сценарій виконання алгоритм реалізації, які сертифіковані NIST бути FIPS 140 сумісні. Зокрема, тільки криптографічний алгоритм класи, які можуть бути екземпляр є ті, які реалізувати FIPS-сумісних алгоритмів. Імена цих класів закінчуються на "CryptoServiceProvider" або "Cng." Будь-яка спроба створити екземпляр інших криптографічний алгоритм класи, такі як класів імена закінчуються на "Керований", викликати InvalidOperationException виключення відбуваються. Крім того, будь-яка спроба створити екземпляр криптографічний алгоритм, який не FIPS сумісний, такі як MD5, також викликає виняток InvalidOperationException.
  • Якщо ввімкнуто параметр FIPS, Помилка перевірки ClickOnce додатків, якщо клієнтський комп’ютер-зразок не має один з установлені такі:
    • .NET Framework 3.5 або пізнішу версію .NET Framework
    • .NET Framework 2.0 пакет оновлень 1 або пізнішим пакетом
    Примітки
    • З Visual Studio 2005 ClickOnce додатків не побудований на або опубліковані з FIPS необхідні комп'ютера. Однак, якщо на комп'ютері є .NET Framework 2.0 SP2, яка входить до складу .NET Framework 3.5 SP1, Visual Studio 2005 можна опублікувати Winforms/WPF додатків.
    • З Visual Studio 2008 ClickOnce додатків не побудовано або опублікована Якщо інстальовано Visual Studio 2008 SP1 або новішої версії Visual Studio.
  • За промовчанням в Windows Vista і Windows Server 2008, функцію BitLocker Drive Encryption використовується 128-бітного шифрування AES, разом із додатковими дифузор. Коли цей параметр увімкнуто, засіб BitLocker використовує шифрування AES 256-бітного без дифузора. Крім того, паролі відновлення не створені або архівувати до служби каталогів служба Active Directory. Таким чином, не можна відновити втрачені шпильками або зміни системи, ввівши пароль відновлення на клавіатурі. Замість відновлення пароля, може архівувати ключа відновлення на локальному диску або у спільній папці. Використовувати ключ відновлення, покласти ключ на USB-пристрій. Потім підключіть пристрій до комп'ютера.
  • У Windows Vista SP1 та пізніші версії Windows Vista а в Windows Server 2008 лише члени групи криптографічні операторів можна редагувати крипто настройки політики IPsec, Брандмауер Windows.
Примітки
  • Після ввімкнення або вимкнення на система криптографії: сценарій виконання FIPS сумісних алгоритмів шифрування, хешування і підписання безпеки, налаштування, необхідно перезапустити програми, наприклад Internet Explorer, для нові настройки набувати чинності.
  • Ця корегувати впливає на значення такого параметра реєстру в Windows Server 2008 та Windows Vista:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
    Цей параметр реєстру відображає поточний параметр FIPS. Якщо цей параметр увімкнуто, значення-1. Якщо цей параметр вимкнено, значення дорівнює 0.
  • Ця корегувати впливає на значення такого параметра реєстру у Windows Server 2003 та Windows XP:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
    Цей параметр реєстру відображає поточний параметр FIPS. Якщо цей параметр увімкнуто, значення-1. Якщо цей параметр вимкнено, значення дорівнює 0.

Властивості

Номер статті: 811833 - Востаннє переглянуто: 31 березня 2013 р. - Редакція: 1.0
Застосовується до:
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Ключові слова: 
kbhowto kbinfo kbmt KB811833 KbMtuk
Машинний переклад
УВАГА! Цю статтю переклала програма машинного перекладу Microsoft, а не людина. Корпорація Microsoft пропонує вам як машинні переклади, так і переклади фахівців, щоб Ви мали доступ до всіх статей бази знань рідною мовою. Проте стаття, яку переклав комп’ютер, не завжди бездоганна. Вона може містити лексичні, синтаксичні або граматичні помилки. Так само помиляється іноземець, спілкуючись вашою рідною мовою. Корпорація Microsoft не несе відповідальність за жодні неточності, помилки або шкоду, завдану неправильним перекладом змісту або його використанням з боку користувачів. Крім того, корпорація Microsoft часто оновлює програму машинного перекладу.
Клацніть тут, щоб переглянути цю статтю англійською мовою: 811833

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com