「 系統密碼編譯: 使用 FIPS 相容演算法於加密,雜湊,以及簽章 」 安全性設定會影響在 Windows XP 和更新版本的 Windows

文章翻譯 文章翻譯
文章編號: 811833 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

結論

美國聯邦資訊處理標準 (FIPS) 定義安全性和交互操作性需求,由美國聯邦政府的電腦系統。FIPS 140 標準會定義已核准的密碼編譯演算法。FIPS 140 標準也設定提出要求的金鑰產生和金鑰管理。國家標準與技術研究院 (NIST) 會使用密碼編譯模組驗證程式 (CMVP) 來判斷是否符合 FIPS 140 標準特定實作的密碼編譯演算法。密碼編譯演算法的實作會被視為 FIPS 140-相容只有當它會在送出,而且已經通過 NIST 驗證。尚未送出的演算法不能視為 FIPS 相容即使實作會為已驗證的實作相同的演算法來產生相同的資料。

如需有關如何 Microsoft 產品和文件庫符合 FIPS 140 標準的詳細資訊,請造訪下列 Microsoft 網站:
http://technet.microsoft.com/en-us/library/cc750357.aspx
在某些情況下,應用程式使用未核准的演算法或處理程序時應用程式的運作以 FIPS 相容的模式。比方說,可能會允許使用未經核准的演算法,在下列情況:
  • 有些內部的處理程序保持電腦內的時機
  • 當某些外部的資料是要另外加密,FIPS 相容的實作

其他相關資訊

在 Windows XP 和更新版本的 Windows 中,如果您啟用下列的安全性設定以 [本機安全性原則或群組原則的一部分,您就通知使用者他們才可以使用密碼編譯演算法 FIPS 140 相容且符合 FIPS 核准的作業模式的應用程式:
系統密碼編譯: 使用 FIPS 相容演算法於加密,雜湊,以及簽章
這項原則只是摘要報告,以應用程式。因此,如果您啟用此原則,絲毫 「 不會確定所有的應用程式將會符合。下列作業系統內的區域會受到這項設定:
  • 這項設定會使 Schannel 安全性封裝以及 Schannel 安全性封裝交涉的傳輸層安全性 (TLS) 1.0 通訊協定所建置的所有應用程式。如果在執行 IIS 的伺服器上啟用此設定,則只有支援 TLS 1.0 的網頁瀏覽器可以連線。如果用戶端上啟用此設定,所有的 Schannel 用戶端,例如 Microsoft Internet Explorer,只能連接至支援 TLS 1.0 通訊協定的伺服器。為一系列時啟用了設定支援的加密套件,請參閱 Schannel 主題中的加密套件。

    如需詳細資訊,按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    811834啟用 FIPS 相容密碼編譯之後,無法造訪 SSL 網站
  • 這項設定也會影響 「 終端機服務在 Windows Server 2003 和更新版本的 Windows。效果取決於是否使用 TLS 進行伺服器驗證。

    如果正在使用 TLS 進行伺服器驗證,這項設定會使只使用 TLS 1.0。

    預設情況下,如果沒有使用 TLS,而且在用戶端或伺服器上,不會啟用此設定在伺服器和用戶端之間的遠端桌面通訊協定 (RDP) 通道加密 RC4 演算法使用 128 位元的金鑰長度。您啟用這個設定的 Windows Server 2003 電腦上之後,下列條件為真:
    • 在以 168 位元的金鑰長度的加密區塊鏈結 (CBC) 模式中使用 3DES 演算法加密 RDP 通道。
    • Sha-1 演算法用來建立訊息摘要。
    • 用戶端必須使用 RDP 5.2 用戶端程式或更新版本,來連線。
    如需有關如何設定終端機服務的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
    814590如何啟用及設定 [Windows Server 2003 中的 [系統管理遠端桌面
  • 使用 RDP 5.2 用戶端程式與 RDP 的更高版本的 Windows XP 用戶端可以連線到 Windows Server 2003、 Windows Vista 中或 Windows Server 2008 電腦中,當您啟用這個選項。不過,遠端桌面] 連線到 Windows XP 電腦時啟用此選項在用戶端或伺服器失敗。
  • 已啟用 FIPS 設定的 Windows 用戶端無法連線到 Windows 2000 終端機服務。
  • 這個設定會影響新檔案使用由加密檔案系統 (EFS) 加密演算法。現有的檔案不會受影響,並且繼續使用他們原本加密要用的演算法來存取。

    注意
    • 根據預設,在 Windows XP 的 RTM EFS 使用 DESX 演算法。如果您啟用此設定時,EFS 會使用 168 位元的 3DES 加密。
    • 預設情況下,在 Windows XP Service Pack 1 (SP1)、 較新的 Windows XP service pack,以及 Windows Server 2003,EFS 使用進階加密標準 (AES) 演算法與金鑰長度為 256 位元。不過,EFS 使用核心模式的 AES 實作。這個實作不 FIPS 檢驗這些平台。如果您啟用 FIPS 設定,在這些平台上的,作業系統會使用 3DES 演算法以 168 位元的金鑰長度。
    • 在 Windows Vista 和 Windows Server 2008,EFS 會使用 AES 演算法搭配 256 位元機碼。如果您啟用這個設定,將會使用 AES 256。
    • FIPS 本機原則不會影響密碼加密。
  • Microsoft.NET Framework 應用程式,例如 Microsoft ASP.NET 只允許使用演算法的實作,由 NIST 是相容的 FIPS 140 所認證。具體來說,只有密碼編譯演算法類別執行個體化是指實作 FIPS 相容演算法。這些類別的名稱結尾在"CryptoServiceProvider"或"Cng"。任何嘗試建立執行個體的其他密碼編譯演算法類別,例如,類別名稱結尾 「 管理員 」,會造成 InvalidOperationException 例外狀況發生。此外,任何嘗試建立執行個體不是 FIPS 相容,例如 MD5 」 的密碼編譯演算法也會造成 InvalidOperationException 例外狀況。
  • 如果啟用 FIPS 設定時,ClickOnce 應用程式的驗證失敗,除非用戶端電腦已安裝下列其中一項:
    • .NET Framework 3.5 或較新版的.NET Framework
    • .NET Framework 2.0 的 Service Pack 1] 或 [更新版本的 service pack
    注意
    • Visual Studio 2005 中,ClickOnce 應用程式無法建立在或輸出自 FIPS 所需的電腦。不過,如果電腦裝有.NET Framework 2.0 SP2,也就是隨附於.NET Framework 3.5 SP1,Visual Studio 2005年可以發佈 Winforms/WPF 應用程式。
    • 透過 Visual Studio 2008,無法建置或公佈 Visual Studio 2008 SP1 或更新版本的 Visual Studio 安裝 ClickOnce 應用程式。
  • 根據預設,Windows Vista 中,並在 Windows Server 2008 中,「 BitLocker 磁碟機加密 」 功能會使用 128 位元 AES 加密,加上額外的擴散器。啟用此設定時,BitLocker 會使用 256 位元 AES 加密,而不需擴散器。此外,修復密碼不會建立或備份到 Active Directory 目錄服務。因此,您無法復原遺失的 Pin 或系統變更,在修復密碼在鍵盤上鍵入。請不要使用修復密碼,您可以備份修復金鑰在本機磁碟機或網路共用上。若要使用修復金鑰,請將金鑰的 USB 裝置。然後,將裝置插入電腦。
  • 在 Windows Vista SP1 和更新版本的 Windows Vista 中,並在 Windows Server 2008 中,只有 「 密碼編譯操作員 」 群組的成員才可以編輯 「 Windows 防火牆 」 的 IPsec 原則中的密碼編譯設定。
注意
  • 在您啟用或停用之後系統密碼編譯: 使用 fips 相容方法於加密,雜湊,以及簽章安全性設定時,您必須重新啟動您的應用程式,例如 Internet Explorer,新設定才會生效。
  • 此安全性設定會影響 Windows Server 2008 中,Windows Vista 中的下列登錄值:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
    此登錄值會反映目前的 FIPS 設定。如果啟用此設定,則值為 1。如果沒有啟用此設定,則值為 0。
  • 此安全性設定會影響 Windows Server 2003 中,並在 Windows XP 中的下列登錄值:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
    此登錄值會反映目前的 FIPS 設定。如果啟用此設定,則值為 1。如果沒有啟用此設定,則值為 0。

屬性

文章編號: 811833 - 上次校閱: 2013年3月31日 - 版次: 2.0
這篇文章中的資訊適用於:
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Vista 家用入門 64 位元版
  • Windows Vista 商用進階 64 位元版
  • Windows Vista 家用進階 64 位元版
  • Windows Vista 旗艦 64 位元版
  • Windows Vista 商用入門版
  • Windows Vista 商用入門 64 位元版
  • Windows Vista 商用進階版
  • Windows Vista 家用入門版
  • Windows Vista 家用進階版
  • Windows Vista Starter
  • Windows Vista 旗艦版
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
關鍵字:?
kbhowto kbinfo kbmt KB811833 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:811833
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com