Инструкции по работе с SQL Server 2005 с пакетом обновления 1 или более поздней версии SQL Server в FIPS 140-2-совместимый режим

Переводы статьи Переводы статьи
Код статьи: 920995 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Введение эта ссылка может указывать на содержимое полностью или частично на английском языке

В данной статье FIPS 140-2 инструкции и как использовать SQL Server 2005 с пакетом обновления 1 (SP1) или более поздней версии SQL Server в FIPS 140-2-совместимый режим.

Дополнительная информация

Что такое FIPS?

Для Federal Information Processing стандарта означает FIPS. FIPS — это стандарт, разработанный два правительственных тела. Он NIST, Национальным институтом стандартов и технологий, в США. Второй – CSE установки безопасности подключения, в Канаде. Стандарты, которые могут быть рекомендуется или mandated для использования в эксплуатации государственных ИНФОРМАЦИОННЫХ систем Федеральной (США и Канады) — это FIPS.

Что такое FIPS 140-2

FIPS 140-2 — это оператор "требований безопасности для криптографических модулей." Он указывает алгоритмы шифрования и хеширования алгоритмы могут быть использованы и как ключи шифрования должны быть созданы и управлять ими. Это возможно для некоторых аппаратное обеспечение и процессы для FIPS 140-2-сертификат. Имеется также возможность для некоторых как совместимый с FIPS 140-2.

Различие между, совместимым и FIPS 140-2-сертификат, FIPS 140-2

SQL Server 2005 с пакетом обновления 1 или более поздней версии SQL Server можно настроить и запустить таким образом, совместимый с FIPS 140-2. Чтобы сделать это, SQL Server 2005 с пакетом обновления 1 или более поздней версии SQL Server должна выполняться в операционной системе, сертифицированных FIPS 140-2, или предоставляет криптографического модуля, который был сертифицирован. Разница между совместимости и сертификации не является небольшим. Алгоритмы могут иметь сертификат. Обратите внимание, что это не является достаточной, чтобы использовать алгоритм из списка разрешенных FIPS 140-2. Это необходимо для использования экземпляр такого алгоритма, который был сертифицирован. Сертификации требуется тестирование и проверку в лаборатории утвержденные правительством оценки. Microsoft Windows Server 2003 и Microsoft Windows XP содержит Разрешенные алгоритмы и экземпляр каждого из них была оценки лаборатории тестирования и правительственных Сертифицирован.

Какие компоненты приложения могут быть FIPS 140-2 с?

Все приложения, выполняющие шифрования и хеширования и запускать сертифицированные версии Microsoft Windows имеют возможность быть совместимым с помощью только сертифицированные экземпляров утвержденных алгоритмы и соблюдение генерации ключей и требованиям управления ключами, с помощью функции Windows для этих или следование для генерации ключей и управление требованиями приложения. It should be noted that within an application places may exist where non-compliant algorithms or processes are allowed within a FIPS compliant application. For example, some internal processes that stay within the system or some external data that is to be further encrypted by a certified algorithm instance are allowed.

Does this mean that SQL Server 2005 SP1 or a later version of SQL Server is always FIPS 140-2 compliant?

Нет,. It means that SQL Server 2005 SP1 or a later version of SQL Server can be FIPS 140-2 compliant, because it can be configured and run such that it uses only the FIPS 140-2 certified algorithm instances called by using the Windows CryptoAPI for encryption or by hashing in every instance where FIPS 140-2 compliance is required.

How can SQL Server 2005 SP1 or a later version of SQL Server be configured to be FIPS 140-2 compliant?

  • Operating system requirement
    You must install SQL Server 2005 SP1 or a later version of SQL Server on a Windows Server 2003-based server or on a Windows XP-based server.
  • Windows system administration requirement
    The FIPS mode must be set before SQL Server 2005 SP1 or a later version of SQL Server is started. SQL Server reads the setting at startup. Выполните следующие действия::
    1. Log on to Windows as a Windows system administrator:
    2. затем –START ::.
    3. затем –control panel.
    4. затем –Администрирование.
    5. затем –Локальная политика безопасности.. надписьюЛокальные параметры безопасностиwindow appears.
    6. В левой области щелкните ссылкуЛокальные политикии выберите командуПараметры безопасности.
    7. В правой области дважды щелкните значокСистемная криптография: использовать FIPS совместимые алгоритмы для шифрования, хеширования и подписывания.
    8. В появившемся диалоговом окне нажмите кнопкувключени выберите командуПрименение.
    9. затем –Ok..
    10. ЗакрытьЛокальные параметры безопасностиобозревателя..
  • SQL Server administrator requirement
    • When the SQL Server service detects that the FIPS mode is enabled at startup, SQL Server logs the following message in the SQL Server error log:
      Service Broker transport is running in FIPS compliance mode
      Additionally, you may find the following message is logged in the Windows Event log:
      Database Mirroring transport is running in FIPS compliance mode
      You can verify that the server is running in the FIPS mode by these messages.
    • For dialog security (between services), the encryption will use the FIPS-certified instance of AES if the FIPS mode is enabled. If the FIPS mode is disabled, the encryption will use RC4.
    • When you configure a Service Broker endpoint in the FIPS mode, the administrator must specify "AES" for the Service Broker. If the endpoint is configured to RC4, SQL Server will generate an error. Therefore, the transport layer will not start.

How is SQL Server 2005 SP1 or a later version of SQL Server operated in FIPS 140-2 compliant mode?

  • With the FIPS mode in Windows turned on, in all places where the user has no choice about whether to encrypt/hash and how it will be done, SQL Server 2005 SP1 or a later version of SQL Server will execute in compliance with FIPS 140-2. (SQL Server 2005 SP1 or a later version of SQL Server will use the CryptoAPI in Windows and will use only the certified instances of the algorithms.)
  • With the FIPS mode in Windows turned on, in all places where the user has a choice of whether or not to use encryption, SQL Server 2005 SP1 or a later version of SQL Server will either allow only FIPS 140-2 compliant encryption or will not allow any encryption.
  • Important information for application developers
    In all places where the developer or the user writes his or her own code for encryption or hashing, they must be instructed to use only the Windows CryptoAPI (and therefore only the certified instances) and to specify only the algorithms allowed by FIPS 140-2, specifically only Triple DES (3DES) or AES for encryption and only SHA-1 for hashing.

What is the effect of running SQL Server 2005 SP1 or a later version of SQL Server in FIPS 140-2 compliant mode?

  • The use of stronger encryption may have a small effect on performance for those processes where less strong encryption is allowed when the process is not operating as FIPS 140-2 compliant.
  • Selection of encryption for SSIS (UseEncryption=True) will generate an error message that the available encryption is incompatible with FIPS compliance and is not allowed. In other words, no encryption of the message process is performed.
  • The use of encryption with legacy DTS is not compliant with FIPS 140-2. Note that for DTS, the FIPS mode in Windows is not checked, and it is the responsibility of the user to select no encryption to remain compliant.
  • Because most SQL Server 2005 encryption and hashing processes were already FIPS 140-2 compliant, executing at full compliance (with the FIPS mode in Windows turned on) will have little or no effect on the use or performance of the product.

Where can I learn more about FIPS 140-2?

For more information about the standard and how to download it, visit the following NIST Web site:
http://csrc.nist.gov/cryptval/140-2.htm

Свойства

Код статьи: 920995 - Последний отзыв: 27 ноября 2010 г. - Revision: 2.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Standard X64 Edition
  • Microsoft SQL Server 2005 Enterprise X64 Edition
  • Microsoft SQL Server 2005 Service Pack 2
Ключевые слова: 
kbhowto kbexpertiseadvanced kbsql2005engine kbinfo kbmt KB920995 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:920995

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com