"系统加密: 使用 FIPS 兼容的算法来加密、 哈希和签名"在 Windows XP 和更高版本的 Windows 中的安全设置影响

文章翻译 文章翻译
文章编号: 811833 - 查看本文应用于的产品
展开全部 | 关闭全部

概要

美国联邦信息处理标准 (FIPS) 定义安全性和互操作性要求美国联邦政府所使用的计算机系统。FIPS 140 标准定义已获批准的加密算法。FIPS 140 标准还规定要求密钥生成和密钥管理。国家标准和技术协会 (NIST) 使用加密模块验证程序 (CMVP) 以确定是否实现特定加密算法的符合 FIPS 140 标准。加密算法的一个实现只有才被视为 FIPS 140 符合它已提交和已通过 NIST 验证。即使实现作为相同的算法验证实现可生成完全相同的数据都不能视为一种算法,尚未提交符合 FIPS。

有关 Microsoft 产品和存储库如何遵守了 FIPS 140 标准的详细信息,请访问下面的 Microsoft 网站:
http://technet.microsoft.com/en-us/library/cc750357.aspx
在某些情况下,应用程序可能使用未经批准的算法或多个进程时应用程序运行的符合 FIPS 的模式。例如,在以下情况下可能允许使用的未经批准的算法:
  • 某些内部进程时留在计算机内
  • 某些外部数据时进行另外加密与 FIPS 兼容的实现

更多信息

在 Windows XP 和更高版本的 Windows 中,如果启用以下安全设置的本地安全策略中或作为组策略的一部分您通知应用程序,它们只应使用加密算法符合 FIPS 140 和符合 FIPS 认可的操作模式:
系统加密: 使用 FIPS 兼容的算法来加密、 哈希和签名
这项策略只是通知给应用程序。因此,如果您启用此策略,则不会不确保所有应用程序将遵循。在操作系统中的区域的下面将受此设置:
  • 此设置会导致频道安全数据包,并在 Schannel 安全包进行协商只传输层安全 (TLS) 1.0 协议生成的所有应用程序。如果在运行 IIS 的服务器上启用了此设置,则只有支持 TLS 1.0 的 Web 浏览可以连接。如果客户端上启用此设置,则所有频道客户端如 Microsoft Internet Explorer,只能都连接到支持 TLS 1.0 协议的服务器。当启用了该设置支持的密码套件的列表请参见 Schannel 主题中的密码套件。

    有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    811834在启用 FIPS 兼容加密后,无法访问 SSL 站点
  • 此设置还会影响在 Windows Server 2003 及更高版本的 Windows 的终端服务。效果取决于服务器身份验证是否正在使用 TLS。

    如果正在使用 TLS 进行服务器身份验证,此设置将导致仅用于 TLS 1.0。

    默认情况下,如果未使用 TLS,并且不在客户端或服务器上启用该设置,则在服务器和客户端之间的远程桌面协议 (RDP) 通道使用密钥长度为 128 位的 RC4 算法的加密。启用此设置,在基于 Windows Server 2003 的计算机上后,以下条件为真:
    • RDP 通道在 168 位的密钥长度的密码块链 (CBC) 模式下使用 3DES 算法进行加密。
    • Sha-1 算法用于以创建消息摘要。
    • 客户端必须使用 RDP 5.2 客户端程序或更高版本进行连接。
    有关如何配置终端服务的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    814590如何启用和配置 Windows Server 2003 中的管理远程桌面
  • 当您启用此选项时,使用 RDP 5.2 客户端程序和 RDP 的更高版本的 Windows XP 客户端可以连接到 Windows Server 2003,Windows Vista 中或 Windows Server 2008 的计算机中。但是,Windows XP 的计算机到远程桌面连接失败时启用此选项在客户端或服务器上。
  • 已启用 FIPS 设置的 Windows 客户端无法连接到 Windows 2000 终端服务。
  • 此设置会影响新文件用于加密文件系统 (EFS) 加密算法。现有的文件不会受到影响,并继续使用他们最初加密使用的算法进行访问。

    备注
    • 默认情况下,在 Windows XP RTM 的 EFS 使用 DESX 算法。如果您启用此设置时,EFS 使用 168 位 3DES 加密。
    • 默认情况下,在 Windows XP Service Pack 1 (SP1)、 在更高版本的 Windows XP 服务包,以及 Windows Server 2003 中,EFS 将 256 位密钥长度为使用高级加密标准 (AES) 算法。但是,EFS 使用内核模式 AES 实现。此实现不 FIPS 验证在这些平台上。如果您启用 FIPS 设置在这些平台上的,操作系统将使用 3DES 算法密钥长度为 168 位。
    • 在 Windows Vista 和 Windows Server 2008 中,EFS 会使用 256 位密钥使用 AES 算法。如果您启用此设置,将使用 AES 256。
    • FIPS 本地策略不影响密码密钥加密。
  • Microsoft.NET Framework 应用程序 (如 Microsoft ASP.NET 仅允许使用 NIST 将符合 FIPS 140 由认证的算法实现。具体来说,可以实例化仅加密算法类是指那些与 FIPS 兼容的算法实现。这些类的名称结尾"CryptoServiceProvider"或"Cng"。任何尝试创建其他的加密算法类的实例如类名称以"托管",会导致 InvalidOperationException 异常发生。此外,任何尝试创建不兼容,例如,MD5,FIPS 加密算法的实例也会导致 InvalidOperationException 异常。
  • 如果启用 FIPS 设置,ClickOnce 应用程序的验证将失败,除非客户端计算机已安装以下产品之一:
    • .NET Framework 3.5 或更高版本的.NET Framework
    • .NET Framework 2.0 Service Pack 1 或更高版本的服务包
    备注
    • 使用 Visual Studio 2005 后,不能建立在或从 FIPS 需要计算机发布 ClickOnce 应用程序。但是,如果计算机有.NET Framework 2.0 SP2,它包含了.NET Framework 3.5 SP1,则 Visual Studio 2005年可以发布 Winforms/WPF 应用程序。
    • 与 Visual Studio 2008 中,不能生成或发布没有安装 Visual Studio 2008 SP1 或更高版本的 Visual Studio 的 ClickOnce 应用程序。
  • 默认情况下,在 Windows Vista 和 Windows Server 2008 中,BitLocker 驱动器加密功能使用 128 位 AES 加密和其他扩散器。启用此设置时,BitLocker 使用 256 位 AES 加密,而不扩散器。此外,恢复密码不创建或备份到 活动目录(AD) 目录服务。因此,您无法恢复从丢失的针脚或系统的更改中恢复密码在键盘上键入。而不是使用恢复密码,您可以备份恢复密钥,在本地驱动器或网络共享上。若要使用的恢复密钥,将密钥存储在 USB 设备。然后,将该设备插入计算机。
  • 在 Windows Vista SP1 和更高版本的 Windows Vista 和 Windows Server 2008 中,仅加密操作员组的成员可以编辑的 IPsec 策略的 Windows 防火墙中的加密设置。
备注
  • 您可以启用或禁用后系统加密: 使用 FIPS 兼容的算法来加密、 哈希和签名安全设置,您必须重新启动您的应用程序,如 Internet Explorer,使新的设置才会生效。
  • 该安全设置会影响 Windows Vista 和 Windows Server 2008 中,以下注册表值:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
    此注册表值反映了当前的 FIPS 设置。如果启用此设置,则值为 1。如果禁用此设置,则该值为 0。
  • 该安全设置会影响在 Windows Server 2003 和 Windows XP 中,以下注册表值:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
    此注册表值反映了当前的 FIPS 设置。如果启用此设置,则值为 1。如果禁用此设置,则该值为 0。

属性

文章编号: 811833 - 最后修改: 2013年3月31日 - 修订: 2.0
这篇文章中的信息适用于:
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
关键字:?
kbhowto kbinfo kbmt KB811833 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 811833
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com