Pokyny pro použití v režimu FIPS 140-2-vyhovující SQL Server 2008

Překlady článku Překlady článku
ID článku: 955720 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Úvod

Tento článek popisuje FIPS (Federal Information Processing Standard) 140-2 pokyny a jak používat v režimu FIPS 140-2-vyhovující 2008 Microsoft SQL Server.

Poznámka: Termíny "140 FIPS-2–compliant," "Způsobilosti FIPS 140-2" a "FIPS 140-2-vyhovující režim" jsou zde definovány pro použití a jasnost. Tyto podmínky nejsou rozpoznány nebo definované vládou podmínky. Vlády USA a Kanada rozpoznat ověření kryptografické moduly proti standardy jako FIPS 140-2 a není použití jejich v zadaného nebo způsobem splňovala podmínky shody. V tomto článku doporučujeme definovat text FIPS 140-2-vyhovující,"text způsobilosti FIPS 140-2," a text FIPS 140-2-vyhovující režimu ” znamenat pouze FIPS 140-2-ověřeno instance algoritmy používá SQL Server 2008 a funkce všechny instance v které zašifrované nebo hodnotu hash dat hash je importovány nebo exportovány SQL Server 2008. Navíc tyto podmínky znamenat, že SQL Server 2008 bude spravovat klíče zabezpečeným způsobem jako požadované FIPS 140-2-ověřeno kryptografické moduly. Proces správy klíčů také zahrnuje generování klíče a funkce úložiště klíčů.

Další informace

Co je FIPS?

FIPS znamená Federal Information Processing standardy. FIPS jsou standardy vyvinutý společností dvě vládní texty. Jeden je National Institute of Standards and Technology v USA. Druhý je vytvoření zabezpečení komunikace v Kanadě. FIPS jsou standardy, které jsou doporučené nebo mandated pro použití v federálního (USA nebo Kanada) provozovaný vládní systémy.

Co je FIPS 140-2

FIPS 140-2 je prohlášení "Security Requirements for Cryptographic Modules." Určuje, které algoritmy šifrování a které algoritmy hash lze použít a jak šifrovací klíče jsou generovány a spravován. FIPS 140-2 ověřena laboratoře schválené ověření mohou být některé hardwaru, softwaru a procesy. Některé z nich lze také popsat jako FIPS 140-2-vyhovující definovaný termín v tomto článku.

Jaký je rozdíl mezi aplikace, která je "FIPS 140-2-vyhovující" a aplikace, která je "FIPS 140-2-ověřeno"?

Můžete nakonfigurovat SQL Server 2008 spuštění jako aplikace FIPS 140-2-vyhovující. Chcete-li to provést, je třeba spustit SQL Server 2008 operačního systému, který používá FIPS 140-2-ověřeno zprostředkovatele kryptografických služeb, nebo poskytující kryptografický modul, který byl ověřen. Rozdíl mezi způsobilosti a ověření není decentní. Algoritmy mohou být ověřena. Realizovat, je nedostatečná použít algoritmy ze seznamů schválené FIPS 140-2. Musíte použít instance algoritmy, které byly FIPS 140-2 ověřena. Ověření vyžaduje testování a ověření podle laboratoře schválen vládní vyhodnocení. Windows Server 2008, Windows Server 2003 a Windows XP obsahovat schválené kryptografické moduly a moduly včetně specifické instance algoritmy, byly laboratoř testován a ověřen vládní.

Jaké aplikace může být FIPS 140-2-vyhovující?

Všechny aplikace, které provádějí šifrování nebo zatřiďování a spouštěné ověřený verze aplikace Microsoft Windows zprostředkovatele kryptografických služeb může být kompatibilní s Pokud používat pouze ověřená instance schválené algoritmy. Tyto aplikace musí také splnit požadavky správy klíčů a generování klíče pomocí funkce Windows klíče nebo schůzku požadavky správy klíčů v aplikaci a generování klíče. Navíc v některých případech nekompatibilní systém algoritmy nebo procesy jsou povoleny v aplikaci FIPS 140-2-vyhovující. Data mohou být například šifrována pomocí nekompatibilní systém algoritmus Pokud v této šifrované podobě data zůstanou uložena v rámci aplikace, to znamená data nelze exportovat v tomto formuláři nebo pokud jsou data dále zašifrována (vnořena) pomocí algoritmu vyhovující standardu FIPS.

Znamená to SQL Server 2008 je vždy FIPS 140-2-vyhovující?

NO,. Znamená to SQL Server 2008 mohou být konfigurovány ke spuštění v režimu FIPS 140-2-vyhovující.

Jak může být SQL Server 2008 nakonfigurován používat FIPS 140-2-ověřeno kryptografický modul?

Požadavky na operační systém

Na počítači se systémem Windows Server 2008, počítač se systémem Windows Vista, počítači se systémem Windows Server 2003 nebo počítače se systémem Windows XP musí nainstalovat SQL Server 2008.

Požadavky na správu systému Windows

Před zahájením SQL Server 2008, je nutné povolit režimu FIPS. Toto je, protože SQL Server 2008 přečte FIPS nastavení při spuštění. Povolit FIPS, postupujte takto.

Pro Windows Server 2008 a Windows Vista
  1. Přihlaste se k počítači pomocí pověření pro správu.
  2. Pokud používáte systém Windows Server 2008, klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz gpedit.msc a potom stiskněte klávesu ENTER. Otevře editor místní Zásady skupiny. Pokud používáte počítač se systémem Windows Vista, klepněte na tlačítko Start, do pole Zahájit hledání zadejte příkaz gpedit.msc a stiskněte klávesu ENTER.
  3. V místní Editor Zásady skupiny poklepejte na položku Nastavení systému Windows v uzlu Konfigurace počítače a poklepejte na položku Nastavení zabezpečení.
  4. V uzlu Nastavení zabezpečení poklepejte na položku Místní zásady a potom na položku Možnosti zabezpečení.
  5. V podokně podrobností poklepejte na Kryptografie systému: standardem použít FIPS algoritmů pro šifrování, zatřiďování a podepisování.
  6. V Kryptografie systému: standardem použít FIPS algoritmů pro šifrování, zatřiďování a podepisování dialogové okno, klepněte na přepínač povoleno a potom klepněte na tlačítko OK zavřete dialogové okno.
  7. Ukončete Editor místní Zásady skupiny.
Windows Server 2003 a Windows XP
  1. Přihlaste se k počítači pomocí pověření pro správu.
  2. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz gpedit.msc a potom stiskněte klávesu ENTER.
  3. V okně Zásady skupiny poklepejte na položku Nastavení systému Windows v uzlu Konfigurace počítače a poklepejte na položku Nastavení zabezpečení.
  4. V uzlu Nastavení zabezpečení poklepejte na položku Místní zásady a potom na položku Možnosti zabezpečení.
  5. V podokně podrobností poklepejte na Kryptografie systému: standardem použít FIPS algoritmů pro šifrování, zatřiďování a podepisování.
  6. V Kryptografie systému: standardem použít FIPS algoritmů pro šifrování, zatřiďování a podepisování dialogové okno, klepněte na přepínač povoleno a potom klepněte na tlačítko OK zavřete dialogové okno.
  7. Zavřete okno Zásady skupiny.

Poznámky správce SQL Server 2008

  • Pokud služba SQL Server 2008 rozpozná, že při spuštění je povolen režim FIPS, protokoly SQL Server 2008 následující zpráva v protokolu chyb serveru SQL Server:
    Service Broker přenosu je spuštěna v režimu kompatibility FIPS
    Navíc může být v protokolu aplikace zaznamenána následující zpráva:
    Zrcadlení přenosu databáze je spuštěna v režimu kompatibility FIPS
    Ověřte, zda je server spuštěn v režimu FIPS, vyhledejte tyto zprávy.
  • Získání dialogové okno zabezpečení mezi služby procesu šifrování použije instance certifikován FIPS standard AES (Advanced Encryption Standard) (AES) Pokud je povolen režim FIPS. Pokud je zakázána režimu FIPS používá proces šifrování RC4.
  • Při konfiguraci koncového bodu Service Broker v režimu FIPS musíte zadat "AES" pro Service Broker. Pokud koncový bod je nakonfigurován RC4, SQL Server generuje chybu. Přenosová vrstva se proto nespustí.

Jak SQL Server 2008 pracovat v režimu FIPS 140-2-vyhovující?

  • Pokud je zapnut režim FIPS v systému Windows a pokud má uživatel žádná volba o šifrování nebo hash data a jak bude provedeno, pracuje v režimu FIPS 140-2-vyhovující SQL Server 2008. SQL Server 2008 bude používat CryptoAPI a bude používat pouze ověřená instance algoritmů.
  • Pokud je zapnut režim FIPS a pokud má uživatel voleb použití šifrování, SQL Server 2008 bude buď povolit pouze FIPS 140-2-vyhovující šifrování nebo neumožní pro žádné šifrování.
  • Důležité informace pro vývojáře

    Napsat vlastní kód pro šifrování nebo zatřiďování musíte použít pouze CryptoAPI. Musíte zadat pouze algoritmy, které jsou povoleny FIPS 140-2. Konkrétně použít pouze Triple Data Encryption Standard (3DES) nebo AES šifrování a pouze SHA-1 hash. Můžete použít následující klíčová slova v produktu SQL Server 2008 pro příslušných 140-2-ověřeno algoritmů FIPS:
    • DESX (tři klíč algoritmus triple DES)
    • Algoritmus Triple DES (dvě klíč triple DES)
    • TRIPLE_DES_3KEY (tři klíč triple DES)
    • TRIPLE_DES_2KEY (dvě klíč triple DES)
    Poznámka: Výběrem DESX neposkytuje algoritmus DESX v SQL Server 2005 nebo SQL Server 2008. V obou případech poskytuje výběr DESX ověřený instance tři klíč triple DES.
  • Důležité informace pro vývojáře

    SQL Server 2008 podporuje funkce správy (EKM) Key organizace, která umožňuje správu kryptografických klíčů samostatné výrobců hardwaru modul úložiště (HSM). Pracovat v režimu FIPS 140-2-vyhovující a použít EKM musí být splněna jedna z následujících dvou podmínek:
    • FIPS 140-2 ověřena musí být externí kryptografický modul.
    • Některé algoritmy, které jsou používány kryptografický modul musí být FIPS 140-2 ověřena. Použít pouze instance ověřený algoritmů FIPS 140-2-based šifrování nebo dešifrování je vyžadována pro import nebo export dat nebo ze serveru SQL.
    Data budou šifrovány nebo dešifrovány externí kryptografický modul musí být navíc předána v šifrované podobě pomocí FIPS 140-2-ověřeno instance.

Co je efekt v režimu FIPS 140-2-kompatibilní se systémem SQL Server 2008?

  • Silnější šifrování může mít malý vliv na výkon těchto procesů méně silné šifrování je povolen proces není pracuje jako FIPS 140-2-vyhovující.
  • Výběr šifrování SSIS (UseEncryption = TRUE) bude generovat chybovou zprávu, že k dispozici šifrování není kompatibilní s FIPS způsobilosti a není povolena. Jinými slovy je prováděno žádné šifrování procesu zprávu.
  • Použití šifrování společně s starší Data Transformation Services (DTS) není FIPS 140-2-vyhovující. Pro DTS není zaškrtnuta režimu FIPS v systému Windows. Zůstat kompatibilní, musíte vybrat není šifrování.
  • Většina šifrování SQL Server 2008 a již zatřiďování procesy použít FIPS 140-2-ověřeno kryptografický modul. Proto pokud aplikace v režimu FIPS 140-2-vyhovující spustit zapnutý režim FIPS v systému Windows, je minimální nebo žádné vliv na výkon aplikace nebo použití.

Kde lze I Další informace o FIPS 140-2?

Další informace o standardu FIPS a jak ji stáhnout na webu TECHNOLOGY:
http://csrc.nist.gov/cryptval/140-2.htm
Společnost Microsoft se vám snaží usnadnit získání technické podpory poskytnutím informací o kontaktech na jiné výrobce. Kontaktní informace se mohou změnit bez předchozího upozornění. Společnost Microsoft neručí za správnost těchto informací o kontaktech.

Odkazy

Další informace o použití SQL Server 2005 v režimu FIPS 140-2-vyhovující klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
920995Pokyny pro použití SQL Server 2005 Service Pack 1 nebo novější verzi serveru SQL v FIPS 140-2 kompatibilní režim

Vlastnosti

ID článku: 955720 - Poslední aktualizace: 19. března 2009 - Revize: 3.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft SQL Server 2008 Developer
  • Microsoft SQL Server 2008 Enterprise
  • Microsoft SQL Server 2008 Standard
Klíčová slova: 
kbmt sql2008relnoteconfiguration sql2008relnote kbhowto kbexpertiseadvanced kbinfo KB955720 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:955720

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com