Anweisungen zur Verwendung SQL Server 2005 SP1 oder eine höhere Version von SQL Server in den FIPS 140-2-kompatiblen Modus

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 920995 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

EINFÜHRUNG

Dieser Artikel beschreibt FIPS 140-2-Anweisungen und wie Sie Microsoft SQL Server 2005 Service Pack 1 (SP1) oder eine höhere Version von SQL Server in den FIPS 140-2-kompatiblen Modus verwenden.

Weitere Informationen

Was ist FIPS?

FIPS steht für "Federal Information Processing Standard". Ein FIPS ist ein Standard entwickelt von zwei Regierung Nachrichtentext. Eine ist NIST, die National Institute of Standards und Technologie in den USA. Der andere ist CSE Establishment Security Communications in Kanada. FIPS sind Standards, die empfohlen oder für die Verwendung in (USA oder Kanada) Bundes-Regierung betrieben IT-Systeme verlangt werden.

Was ist FIPS 140-2?

FIPS 140-2 ist eine der "Security Requirements for Cryptographic Modules"-Anweisung Gibt die Verschlüsselungsalgorithmen und welche Hashalgorithmen verwendet werden können und wie Verschlüsselungsschlüssel sind, generiert und verwaltet werden. Es ist möglich für einige Hardware, Software und Prozesse FIPS 140-2-zertifiziert sein. Es ist auch möglich, für einige FIPS 140-2-kompatibel sein.

Was ist der Unterschied zwischen FIPS 140-2 im Vergleich zu FIPS 140-2 zertifiziert werden kompatible wird?

SQL Server 2005 SP1 oder eine höhere Version von SQL Server kann in einer Weise, die mit FIPS 140-2 kompatibel ist konfiguriert und ausgeführt werden. Dazu muss SQL Server 2005 SP1 oder eine höhere Version von SQL Server unter einem Betriebssystem ausgeführt, ist FIPS 140-2 zertifiziert oder bietet eine kryptografische Modul, die zertifiziert wurde. Der Unterschied zwischen Kompatibilität und der Zertifizierungsstelle ist nicht Subtile. Algorithmen können zertifiziert werden. Beachten Sie, dass nicht ausreichend, um einen Algorithmus aus den genehmigten Listen in FIPS 140-2 zu verwenden ist. Es ist notwendig, eine Instanz eines solchen Algorithmus verwenden, die zertifiziert wurde. Zertifizierung erfordert testen und die Überprüfung durch eine Übungseinheit Auswertung Regierung genehmigt. Microsoft Windows Server 2003 und Microsoft Windows XP enthalten die zulässigen Algorithmen und eine einzelnen Instanz wurde Auswertung Labor getestet und zertifiziert Regierung.

Welche Anwendungsprodukte kann FIPS 140-2 kompatibel?

Alle Anwendungen, die Verschlüsselung oder hashing ausführen und eine zertifizierte Version von Microsoft Windows ausgeführt haben die Möglichkeit, mithilfe nur zertifizierten Instanzen der genehmigten Algorithmen und durch die Schlüsselgenerierung und Schlüsselverwaltung Anforderungen entsprochen, entweder mithilfe der Windows-Funktion für diese oder durch Erfüllung Schlüsselgenerierung und Verwaltungsanforderungen innerhalb der Anwendung kompatibel sein. Es sollte beachtet werden, dass innerhalb einer Anwendung stellen existieren, in dem nicht-konformen Algorithmus oder Prozesse innerhalb einer FIPS-kompatible Anwendung zulässig sind. Beispielsweise sind einige interne Prozesse, die im System bleiben oder einige externen Daten, die weiter durch eine zertifizierte Algorithmus verschlüsselt werden zulässig.

Bedeutet dies, dass SQL Server 2005 SP1 oder eine höhere Version von SQL Server immer FIPS 140-2 kompatibel ist?

Nein. Dies bedeutet, dass SQL Server 2005 SP1 oder eine höhere Version von SQL Server kann FIPS 140-2-kompatibel, da konfiguriert und ausgeführt wie dass verwendet nur den FIPS 140-2 zertifiziert Algorithmus Instanzen aufgerufen wird, über die Windows CryptoAPI für die Verschlüsselung oder hashing in jeder Instanz, in denen FIPS 140-2-Konformität erforderlich ist.

Wie kann SQL Server 2005 SP1 oder eine höhere Version von SQL Server werden konfiguriert, FIPS 140-2 kompatibel zu sein?

  • Betriebssystem-Anforderung
    Sie müssen SQL Server 2005 SP1 oder eine höhere Version von SQL Server auf einem Windows Server 2003-basierten Server oder auf einem Windows XP-basierten Server installieren.
  • Windows System Administration-Anforderung
    FIPS-Modus muss festgelegt werden, bevor SQL Server 2005 SP1 oder eine höhere Version von SQL Server wurde gestartet. Die Einstellung beim Start liest SQL Server. Gehen Sie hierzu folgendermaßen vor:
    1. Melden Sie sich als Systemadministrator Windows bei Windows an:
    2. Klicken Sie auf Starten .
    3. Klicken Sie auf Systemsteuerung .
    4. Klicken Sie auf Verwaltung .
    5. Klicken Sie auf Lokale Sicherheitsrichtlinie . Das Fenster Lokale Sicherheitseinstellungen wird angezeigt.
    6. Klicken Sie im linken Fensterbereich auf Lokale Richtlinien , und klicken Sie dann auf Sicherheitsoptionen .
    7. Doppelklicken Sie im rechten Fensterbereich auf Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, hashing und Signatur .
    8. Klicken Sie im Dialogfeld auf aktiviert , und klicken Sie dann auf Übernehmen .
    9. Klicken Sie auf OK .
    10. Schließen Sie das Fenster Lokale Sicherheitseinstellungen .
  • SQL Server-Administrator-Anforderung
    • Wenn der SQL Server-Dienst erkennt, dass beim Start der FIPS-Modus aktiviert ist, protokolliert SQL Server die folgende Meldung im SQL Server-Fehlerprotokoll:
      Service Broker-Transport wird im FIPS-Kompatibilität-Modus ausgeführt.
      Darüber hinaus möglicherweise finden Sie die folgende Meldung im Windows-Ereignisprotokoll protokolliert wird:
      Datenbank Mirroring Transport wird im FIPS-Kompatibilität-Modus ausgeführt.
      Sie können überprüfen, dass der Server diese Nachrichten im FIPS-Modus ausgeführt wird.
    • Für Dialogfeld Sicherheit (zwischen Dienste) wird die Verschlüsselung die AES-Instanz FIPS-zertifizierten verwenden, wenn der FIPS-Modus aktiviert ist. Wenn der FIPS-Modus deaktiviert ist, wird die Verschlüsselung RC4 verwendet.
    • Wenn Sie einen Service Broker-Endpunkt im FIPS-Modus konfigurieren, muss der Administrator für Service Broker "AES" angeben. Wenn der Endpunkt für RC4 konfiguriert ist, generiert SQL Server einen Fehler. Daher wird die Transportebene nicht gestartet.

Wie ist SQL Server 2005 SP1 oder eine höhere Version von SQL Server in kompatiblen FIPS 140-2-Modus betrieben?

  • Mit dem FIPS-Modus in Windows aktiviert, in alle Orte, den der Benutzer keine Auswahl zu, um verschlüsseln/Hash- und wie es durchgeführt werden hat, SQL Server 2005 SP1 oder eine höhere Version von SQL Server führt in Übereinstimmung mit FIPS 140-2. (SQL Server 2005 SP1 oder eine höhere Version von SQL Server verwendet die CryptoAPI in Windows und wird nur die zertifizierten Instanzen der Algorithmen verwendet.)
  • Mit dem FIPS-Modus in Windows aktiviert ist, in alle Orte, wo der Benutzer eine Auswahl an, ob Verschlüsselung verwenden, hat, SQL Server 2005 SP1 oder eine höhere Version von SQL Server wird entweder zulassen nur FIPS 140-2-konforme Verschlüsselung oder lässt Verschlüsselung nicht.
  • wichtige Informationen für Anwendungsentwickler
    An alle stellen, in der Entwickler oder der Benutzer ein eigenes Code für die Verschlüsselung oder hashing schreibt, müssen Sie angewiesen, nur die Windows CryptoAPI verwenden (und daher nur die zertifizierten Instanzen) und nur die Algorithmen, die durch FIPS 140-2, speziell nur Triple DES (3DES) zugelassen sind anzugeben oder AES für die Verschlüsselung und nur SHA-1 für das hashing.

Welchen Einfluss der Ausführung von SQL Server 2005 SP1 oder eine höhere Version von SQL Server in kompatiblen FIPS 140-2-Modus hat?

  • Die Verwendung der stärkere Verschlüsselung kann eine kleine Auswirkungen auf Leistung für diese Prozesse haben, in dem weniger starker Verschlüsselung zulässig ist bei der Prozess nicht als FIPS 140-2 ist kompatibel.
  • Auswahl der Verschlüsselung für SSIS (UseEncryption = True) generiert ein Fehlermeldung, die verfügbare Verschlüsselung inkompatibel mit FIPS-Konformität ist und ist nicht zulässig. Mit anderen Worten, wird keine Verschlüsselung der Nachricht-Prozess ausgeführt.
  • Die Verwendung der Verschlüsselung mit älteren DTS ist nicht kompatibel mit FIPS 140-2. Beachten Sie, dass für DTS, der FIPS-Modus in Windows nicht überprüft wird und die Verantwortung des Benutzers, wählen Sie keine Verschlüsselung kompatibel bleiben liegt.
  • Da die meisten SQL Server 2005-Verschlüsselung und hashing Prozesse bereits FIPS 140-2 kompatibel waren, haben Ausführung an verstoßen (mit der FIPS-Modus in Windows aktiviert) wenige oder keine Auswirkungen auf die Verwendung oder Leistung des Produkts.

Wo kann ich mehr über FIPS 140-2 erfahren?

Weitere Informationen zu den Standard und zum download der folgenden NIST-Website:
http://csrc.nist.gov/cryptval/140-2.htm

Eigenschaften

Artikel-ID: 920995 - Geändert am: Montag, 19. Februar 2007 - Version: 2.4
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Standard X64 Edition
  • Microsoft SQL Server 2005 Enterprise X64 Edition
  • Microsoft SQL Server 2005 Service Pack 1
  • Microsoft SQL Server 2005 Service Pack 2
Keywords: 
kbmt kbhowto kbexpertiseadvanced kbsql2005engine kbinfo KB920995 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 920995
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com