Instrucciones para usar SQL Server 2008 en FIPS 140-2-modo compatible con

Seleccione idioma Seleccione idioma
Id. de artículo: 955720 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

Este artículo describe Federal Information Processing Standard (FIPS) 140-2 instrucciones y cómo utilizar Microsoft SQL Server 2008 en FIPS 140-2-modo compatible con.

Nota Los términos "FIPS 140-2?compliant," "Cumplimiento de FIPS 140-2" y "Modo FIPS 140-2-compatible" se definen aquí para utilizar y claridad. Gobierno términos definen o no se reconocen estos términos. Los gobiernos de Estados Unidos y Canadá reconocen la validación de los módulos criptográficos con estándares como FIPS 140-2 y no el uso de ellos en un objeto especificado o conforme forma. En este artículo, definimos ? FIPS 140-2-compatible,"? cumplimiento de FIPS 140-2," y ? FIPS 140-2-compatible modo ? para indicar que SQL Server 2008 usa sólo FIPS 140-2-validar instancias de algoritmos y hash funciones en todas las instancias que cifra o datos hash es importar o exportar a SQL Server 2008. Además, estos términos significan que SQL Server 2008 administrará las claves de forma segura como sea necesario de FIPS 140-2-validar módulos criptográficos. El proceso de administración de claves también incluye la generación de claves y el funcionalidades de almacenamiento de claves.

Más información

¿Qué es FIPS?

FIPS significa estándar federal de procesamiento de información. FIPS son estándares desarrollados por dos cuerpos de gobierno. Uno es el Instituto nacional de estándares y tecnología en los Estados Unidos. El otro es el establecimiento de la seguridad de comunicaciones en Canadá. FIPS son estándares que se recomienda o ordenados para su uso en sistemas de TI accionado por el gobierno federal (EE.UU. o Canadá).

¿Qué es FIPS 140-2?

FIPS 140-2 es una instrucción de las "requisitos de seguridad para módulos criptográficos". Especifica qué algoritmos de cifrado y los algoritmos de hash que se pueden utilizar y cómo las claves de cifrado son se genera y administra. Algunos hardware, software y procesos pueden ser FIPS 140-2 validados por un laboratorio de validación aprobados. Algunos de ellos también se pueden describir como FIPS 140-2-compatible como el término está definido en este artículo.

¿Cuál es la diferencia entre una aplicación que es "FIPS 140-2-compatible" y una aplicación que es "FIPS 140-2-validar"?

Puede configurar SQL Server 2008 para ejecutarse como una aplicación de FIPS 140-2-compatible. Para ello, debe ejecutar SQL Server 2008 en un sistema operativo que utiliza un FIPS 140-2-validar servicio proveedor de cifrado o que proporciona un módulo criptográfico que se ha validado. La diferencia entre el cumplimiento y validación no es sutil. Algoritmos pueden validarse. Darse cuenta de que es insuficiente para utilizar algoritmos de las listas aprobados en FIPS 140-2. Debe utilizar instancias de algoritmos que se han FIPS 140-2 validado. Validación requiere pruebas y comprobación por un laboratorio de evaluación aprobados por el gobierno. Windows Server 2008, Windows Server 2003 y Windows XP contienen los módulos criptográficos aprobados y los módulos, incluidas las instancias específicas de los algoritmos se han probado de laboratorio y gubernamental valida.

¿Qué aplicaciones pueden FIPS 140-2-compatible?

Todas las aplicaciones que realice el cifrado o hash y que se ejecutan en una versión validada de un proveedor de servicio de cifrado de Microsoft Windows puede ser compatible si se utilizan sólo las validado instancias de los algoritmos aprobados. Generación de claves y requisitos de administración de claves también deben cumplir estas aplicaciones mediante una función clave de Windows o por los requisitos de administración de claves de la aplicación y generación de claves de la reunión. Además, en algunos casos, los algoritmos no compatibles o procesos están permitidos en una FIPS 140-2-aplicación compatible con. Por ejemplo, los datos pueden cifrarse mediante un algoritmo no compatible si en este formulario cifrado, los datos permanecen dentro de la aplicación, es decir, no se exportan los datos en este formulario, o si los datos más está cifrados (ajustado) utilizando un algoritmo compatible con FIPS.

¿Esto significa que SQL Server 2008 siempre es FIPS 140-2-compatible?

Nº Esto significa que SQL Server 2008 se pueden configurar para ejecutarse en FIPS 140-2-modo compatible con.

¿Cómo SQL Server 2008 se puede configurar a utilizar un FIPS 140-2-validar criptográfico módulo?

Requisitos del sistema operativo

Debe instalar SQL Server 2008 en un equipo basado en Windows Server 2008, en un equipo basado en Windows Vista, en un equipo basado en Windows Server 2003 o en un equipo basado en Windows XP.

Requisitos de administración del sistema de Windows

Debe habilitar el modo FIPS antes de iniciar SQL Server 2008. Esto es porque SQL Server 2008 lee la configuración de FIPS al inicio. Para habilitar FIPS, siga estos pasos.

para Windows Server 2008 y Windows Vista
  1. Utilice las credenciales administrativas para iniciar sesión en el equipo.
  2. Si utiliza Windows Server 2008, haga clic en Inicio , haga clic en Ejecutar , escriba gpedit.msc y, a continuación, presione ENTRAR. Abre el Editor de directivas de grupo local. Si utiliza un equipo basado en Windows Vista, haga clic en Inicio , escriba gpedit.msc en el cuadro Iniciar búsqueda y, a continuación, presione ENTRAR.
  3. En el Editor de directiva de grupo local, haga doble clic en Configuración de Windows bajo el nodo Configuración del equipo y, a continuación, haga doble clic en Configuración de seguridad .
  4. Bajo el nodo Configuración de seguridad , haga doble clic en Directivas locales y, a continuación, haga clic en Opciones de seguridad .
  5. En el panel de detalles, haga doble clic en criptografía de sistema: algoritmos usar compatibles con FIPS para codificación, algoritmos hash y firma .
  6. En el criptografía de sistema: algoritmos usar compatibles con FIPS para codificación, algoritmos hash y firma cuadro de diálogo, haga clic en habilitada y, a continuación, haga clic en Aceptar para cerrar el cuadro de diálogo.
  7. Cierre el Editor de directiva de grupo local.
para Windows Server 2003 y Windows XP
  1. Utilice las credenciales administrativas para iniciar sesión en el equipo.
  2. Haga clic en Inicio , haga clic en Ejecutar , escriba gpedit.msc y, a continuación, presione ENTRAR.
  3. En la ventana Directiva de grupo, haga doble clic en Configuración de Windows bajo el nodo Configuración del equipo y, a continuación, haga doble clic en Configuración de seguridad .
  4. Bajo el nodo Configuración de seguridad , haga doble clic en Directivas locales y, a continuación, haga clic en Opciones de seguridad .
  5. En el panel de detalles, haga doble clic en criptografía de sistema: algoritmos usar compatibles con FIPS para codificación, algoritmos hash y firma .
  6. En el criptografía de sistema: algoritmos usar compatibles con FIPS para codificación, algoritmos hash y firma cuadro de diálogo, haga clic en habilitada y, a continuación, haga clic en Aceptar para cerrar el cuadro de diálogo.
  7. Cierre la venta Directiva de grupo.

Notas de administrador de SQL Server 2008

  • Cuando el servicio de SQL Server 2008 detecta que el modo FIPS está habilitada en Inicio, SQL Server 2008 registra el mensaje siguiente en el registro de error de SQL Server:
    Se está ejecutando el transporte de Service Broker en modo de cumplimiento de FIPS
    Además, puede anotarse el mensaje siguiente en el registro de aplicación:
    Se ejecuta el transporte de reflejo de base de datos en modo de cumplimiento de FIPS
    Para comprobar que el servidor se está ejecutando en modo FIPS, busque estos mensajes.
  • Para obtener el seguridad de diálogo entre los servicios, el proceso de cifrado utilizará la instancia de certificados de FIPS de la avanzada estándar de cifrado (AES) si está habilitado el modo FIPS. Si el modo FIPS está deshabilitado, el proceso de cifrado utiliza RC4.
  • Al configurar un extremo de Service Broker en modo FIPS, debe especificar "AES" para Service Broker. Si el extremo está configurado para RC4, SQL Server genera un error. Por lo tanto, no se inicia la capa de transporte.

¿Cómo funcionar SQL Server 2008 en modo de 140-2-compatible de FIPS?

  • Si el modo FIPS en Windows está activado y el usuario no tiene elección acerca de si desea cifrar o hash de los datos y cómo se realizarán, SQL Server 2008 funciona en FIPS 140-2-modo compatible con. SQL Server 2008 utilizará la CryptoAPI y usará sólo las validado instancias de los algoritmos.
  • Si está activado el modo FIPS y si el usuario tiene una opción de utilizar el cifrado, SQL Server 2008 o permitir para sólo FIPS 140-2-cifrado compatible con o no permitirá para cualquier cifrado.
  • información importante para desarrolladores

    Si escribe su propio código para cifrado o hash, debe utilizar sólo la CryptoAPI. Debe especificar sólo los algoritmos permitidos por FIPS 140-2. Concretamente, utilice sólo el Triple Data Encryption Standard (3DES) o AES para el cifrado y sólo SHA-1 para hash. Puede utilizar las siguientes palabras clave de SQL Server 2008 para los algoritmos respectivos de FIPS 140-2-validar:
    • DESX (tres clave triple DES)
    • Triple-DES (clave dos triple DES)
    • TRIPLE_DES_3KEY (tres clave triple DES)
    • TRIPLE_DES_2KEY (dos clave triple DES)
    Nota Seleccionar DESX no proporciona un algoritmo DESX en SQL Server 2005 o en SQL Server 2008. En ambos casos, la selección de DESX proporciona una instancia validada de tres clave DES triple.
  • información importante para desarrolladores

    SQL Server 2008 admite una característica de administración (EKM) de clave Enterprise que permite la administración de claves de cifrado en un módulo de almacenamiento de hardware independiente de otros fabricantes (HSM). Para funcionar en modo 140-2-compatible FIPS y utilizar EKM, debe cumplirse una de las dos condiciones siguientes:
    • El módulo criptográfico externo debe ser FIPS 140-2 validado.
    • Algunas de algoritmos que utilizan el módulo criptográfico deben estar FIPS 140-2 validado. Utilice sólo las instancias de algoritmos validados cuando es necesario FIPS 140-2-cifrado o descifrado para importar o exportar datos a o desde SQL Server.
    Además, se deben pasar datos que se cifrados o descifrados por el módulo criptográfico externo en formato cifrado utilizando una instancia FIPS 140-2-validado.

¿Qué es el efecto de ejecutar SQL Server 2008 en FIPS 140-2-modo compatible con?

  • Uso de un cifrado más seguro puede tener un pequeño efecto en el rendimiento para los procesos donde se permite el menos seguro cifrado cuando el proceso no funciona como FIPS 140-2-compatible.
  • Selección de cifrado para SSIS (UseEncryption = true) generará un mensaje de error que el cifrado disponible es incompatible con compatibilidad con FIPS y no está permitido. En otras palabras, no se realiza cifrado del proceso de mensaje.
  • Uso de cifrado junto con servicios de transformación de datos heredados (DTS) no es FIPS 140-2-compatible. Para DTS, no se comprueba el modo FIPS en Windows. Para permanecer compatible, debe seleccionar no cifrado.
  • La mayoría de cifrado de SQL Server 2008 y de hash procesos ya usar un FIPS 140-2-validar criptográfico módulo. Por tanto, si ejecuta una aplicación en FIPS 140-2-modo compatible con cuando el modo FIPS está activado en Windows, es poco o ningún efecto sobre el uso o el rendimiento de la aplicación.

¿Dónde puedo obtener más información acerca de FIPS 140-2?

Para obtener más información acerca del estándar FIPS y cómo descargarlo, visite el siguiente sitio Web de NIST:
http://csrc.nist.gov/cryptval/140-2.htm
Microsoft proporciona información de contacto con otros proveedores para ayudarle a encontrar soporte técnico. Esta información de contacto puede cambiar sin previo aviso. Microsoft no ofrece ninguna garantía con respecto a la exactitud de esta información de contacto con otros proveedores.

Referencias

Para obtener más información acerca de cómo utilizar SQL Server 2005 en FIPS 140-2-modo compatible con, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
920995Instrucciones para usar SQL Server 2005 Service Pack 1 o una versión posterior de SQL Server en el FIPS 140-2 modo compatible con

Propiedades

Id. de artículo: 955720 - Última revisión: jueves, 19 de marzo de 2009 - Versión: 3.0
La información de este artículo se refiere a:
  • Microsoft SQL Server 2008 Developer
  • Microsoft SQL Server 2008 Enterprise
  • Microsoft SQL Server 2008 Standard
Palabras clave: 
kbmt sql2008relnoteconfiguration sql2008relnote kbhowto kbexpertiseadvanced kbinfo KB955720 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 955720

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com