Instruções para usar o SQL Server 2008 no modo de 140 2-compatível com FIPS

Traduções deste artigo Traduções deste artigo
ID do artigo: 955720 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

INTRODUÇÃO

Este artigo discute Federal Information Processing Standard (FIPS) 140-2 instruções e como usar o Microsoft SQL Server 2008 no modo de 140 2-compatível com FIPS.

Observação Os termos "FIPS 140-2?compliant," "Conformidade com FIPS 140-2" e "FIPS 140 2-compatível com o modo" são definidos aqui para uso e a clareza. Esses termos não são reconhecidos ou definida termos do governo. Governos Estados Unidos e Canadá reconhecem a validação dos módulos de criptografia em relação a padrões como FIPS 140-2 e não o uso de-los em um determinado ou conformes maneira. Neste artigo, definimos ? FIPS 140-2-compatível,"? conformidade de FIPS 140-2," e ? FIPS 140 2-compatível com modo ? para significar que o SQL Server 2008 usa somente FIPS 140-2-validado instâncias de algoritmos e funções em todas as instâncias em que criptografadas ou hash de dados de hash é importado ou exportado para o SQL Server 2008. Além disso, esses termos significam que o SQL Server 2008 irá gerenciar chaves de maneira segura conforme a necessidade de FIPS 140-2-validado módulos criptográficos. O processo de gerenciamento de chave também inclui a geração de chave e de funcionalidades de armazenamento de chave.

Mais Informações

O que é FIPS?

FIPS significa padrões Federal de processamento de informações. FIPS são padrões que são desenvolvidos pelos dois órgãos do governo. Um é o Instituto Nacional de normas e tecnologia nos Estados Unidos. O outro é o estabelecimento de segurança de comunicações no Canadá. FIPS são padrões que são recomendados ou obrigatório para uso em sistemas de TI operado governo federal (Estados Unidos ou Canadá).

O que é FIPS 140-2?

FIPS 140-2 é uma declaração dos "requisitos de segurança para módulos de criptografia." Especifica quais algoritmos de criptografia e quais algoritmos hash podem ser usados e como as chaves de criptografia devem ser gerado e gerenciados. Alguns hardware, software e os processos podem ser FIPS 140-2 validados por um laboratório de validação aprovados. Alguns deles também podem ser descritas como FIPS 140 2-compatível conforme o termo é definido neste artigo.

Qual é a diferença entre um aplicativo que é compatível "140-2-com FIPS" e um aplicativo que é "FIPS 140-2-validadas"?

Você pode configurar o SQL Server 2008 para ser executado como um aplicativo de 140 2-compatível com FIPS. Para fazer isso, você deve executar o SQL Server 2008 em um sistema operacional que usa um FIPS 140-2-validado Cryptographic Service Provider ou que fornece um módulo de criptografia foi validado. A diferença entre compatibilidade e a validação não é sutil. Algoritmos podem ser validados. Perceba que é insuficiente para usar algoritmos de listas aprovadas no FIPS 140-2. Você deve usar instâncias de algoritmos que foram FIPS 140-2 validado. Validação requer teste e verificação por um laboratório de avaliação aprovado pelo governo. Windows Server 2008, Windows Server 2003 e Windows XP contêm os módulos criptográficos aprovados e os módulos, incluindo as instâncias específicas de algoritmos, foram laboratório testado e governo validado.

Quais aplicativos podem ser FIPS 140 2-compatíveis?

Todos os aplicativos que executam criptografia ou hash e executados em uma versão de um Microsoft Windows Cryptographic Service Provider validada podem ser compatível com se eles usarem somente as instâncias validadas de algoritmos aprovados. Esses aplicativos devem também cumprir requisitos de gerenciamento de chaves e geração de chaves usando uma função de chave do Windows ou por atender os requisitos de gerenciamento de chaves no aplicativo e geração de chave. Além disso, em alguns casos, algoritmos incompatíveis ou processos são permitidos em um aplicativo de 140 2-compatível com FIPS. Por exemplo, dados podem ser criptografados usando um algoritmo incompatível se, neste formulário criptografado, os dados permanecem dentro do aplicativo, ou seja, os dados não são exportados neste formulário, ou se os dados mais são criptografados (quebradas) usando um algoritmo compatíveis com FIPS.

Isso significa que o SQL Server 2008 é sempre compatível 140-2-com FIPS?

Não. Isso significa que o SQL Server 2008 pode ser configurado para executar no modo 140 2-compatível com FIPS.

Como o SQL Server 2008 pode ser configurado para usar um módulo criptografia FIPS 140-2-validados?

Requisitos do sistema operacional

Você deve instalar o SQL Server 2008 em um computador baseado no Windows Server 2008, um computador baseado no Windows Vista, um computador baseado no Windows Server 2003 ou um computador baseado no Windows XP.

Requisitos de administração de sistema do Windows

Você deve habilitar modo FIPS antes de iniciar o SQL Server 2008. Isso ocorre porque o SQL Server 2008 lê a configuração de FIPS na inicialização. Para habilitar FIPS, siga estas etapas.

para o Windows Server 2008 e Windows Vista
  1. Use credenciais administrativas para fazer logon no computador.
  2. Se você estiver usando o Windows Server 2008, clique em Iniciar , clique em Executar , digite gpedit.msc e pressione ENTER. Abre o Editor de diretiva de grupo local. Se você estiver usando um computador baseado no Windows Vista, clique em Iniciar , digite gpedit.msc na caixa Iniciar procura e, em seguida, pressione ENTER.
  3. No Editor de diretiva de grupo do local, clique duas vezes Configurações do Windows sob o nó Configuração do computador e clique duas vezes em Configurações de segurança .
  4. Em nó de Configurações de segurança , clique duas vezes em Diretivas locais e clique em Opções de segurança .
  5. No painel de detalhes, clique duas vezes em criptografia de sistema: compatíveis com FIPS usar algoritmos para criptografia, hash e assinatura .
  6. No criptografia de sistema: compatíveis com FIPS usar algoritmos para criptografia, hash e assinatura caixa de diálogo, clique em ativado e, em seguida, clique em OK para fechar a caixa de diálogo.
  7. Feche o Editor de diretiva de grupo local.
para o Windows Server 2003 e Windows XP
  1. Use credenciais administrativas para fazer logon no computador.
  2. Clique em Iniciar , clique em Executar , digite gpedit.msc e, em seguida, pressione ENTER.
  3. Na janela Diretiva de grupo, clique duas vezes em Windows Settings sob o nó Configuração do computador e clique duas vezes em Configurações de segurança .
  4. Em nó de Configurações de segurança , clique duas vezes em Diretivas locais e clique em Opções de segurança .
  5. No painel de detalhes, clique duas vezes em criptografia de sistema: compatíveis com FIPS usar algoritmos para criptografia, hash e assinatura .
  6. No criptografia de sistema: compatíveis com FIPS usar algoritmos para criptografia, hash e assinatura caixa de diálogo, clique em ativado e, em seguida, clique em OK para fechar a caixa de diálogo.
  7. Feche a janela Diretiva de grupo.

Anotações de administrador do SQL Server 2008

  • Quando o serviço do SQL Server 2008 detecta que o modo FIPS está ativado na inicialização, o SQL Server 2008 registra a seguinte mensagem no log de erro do SQL Server:
    Transporte de Service Broker é executado no FIPS conformidade modo
    Além disso, a seguinte mensagem pode ser registrada no log do aplicativo:
    Transporte de espelhamento de banco de dados está sendo executado no FIPS conformidade modo
    Para verificar que o servidor está sendo executado no modo FIPS, localize essas mensagens.
  • Para obter segurança diálogo entre serviços, o processo de criptografia usará a instância de certificados para FIPS do AES Advanced Encryption Standard () se o modo FIPS estiver habilitado. Se o modo FIPS for desativado, o processo de criptografia usa RC4.
  • Quando você configura um ponto de extremidade Service Broker no modo FIPS, você deve especificar "AES" para o agente de serviços. Se o ponto de extremidade é configurado para RC4, SQL Server gera um erro. Portanto, a camada de transporte não inicia.

Como o SQL Server 2008 opera no modo de 140 2-compatível com FIPS?

  • Se o modo FIPS no Windows é ativado e se o usuário não possui nenhum opção de se deseja criptografar ou dados de hash e como será feita, o SQL Server 2008 opera em modo 140 2-compatível com FIPS. SQL Server 2008 usará o CryptoAPI e usará somente as instâncias validadas dos algoritmos.
  • Se o modo FIPS está ligado e se o usuário tiver uma opção de usar a criptografia, o SQL Server 2008 será ou permitir somente criptografia 140 2-compatível com FIPS ou não permitirá que para qualquer criptografia.
  • informações importantes para desenvolvedores

    Se você escrever seu próprio código para criptografia ou hash, você deve usar somente o CryptoAPI. Você deve especificar os algoritmos que são permitidos pelo FIPS 140-2. Especificamente, use somente o Triple Data Encryption Standard (3DES) ou AES para criptografia e apenas SHA-1 para o hash. Você pode usar as seguintes palavras-chave no SQL Server 2008 para os respectivos algoritmos de FIPS 140-2-validada:
    • DESX (três chave triplo DES)
    • Triple-DES (DES triplo duas-chave)
    • TRIPLE_DES_3KEY (chave de três DES triplo)
    • TRIPLE_DES_2KEY (dois-chave DES triplo)
    Observação Selecionar DESX não fornece um algoritmo DESX no SQL Server 2005 ou no SQL Server 2008. Em ambos os casos, selecionar DESX fornece uma instância validada de chave de três DES triplo.
  • informações importantes para desenvolvedores

    SQL Server 2008 oferece suporte a um recurso de gerenciamento (EKM) chave empresarial que permite o gerenciamento de chaves de criptografia em um módulo de armazenamento de hardware de terceiros separado (HSM). Para operar no modo 140 2-compatível com FIPS e usar EKM, uma das seguintes condições deve ser verdadeira:
    • O módulo de criptografia externo deve ser FIPS 140-2 validado.
    • Alguns algoritmos que são usados pelo módulo de criptografia devem ser FIPS 140-2 validado. Use apenas às instâncias dos algoritmos validados quando FIPS 140 baseados em 2 criptografia ou descriptografia é necessária para importar ou exportar dados para ou do SQL Server.
    Além disso, dados que serão criptografados ou descriptografados pelo módulo de criptografia externo devem ser passados em forma criptografada usando uma instância do FIPS 140-2-validado.

O que é o efeito de executar o SQL Server 2008 modo FIPS 140 2-compatíveis?

  • Uso de criptografia mais forte pode ter um pequeno efeito no desempenho para esses processos onde menos criptografia de alta segurança é permitida quando o processo não está funcionando como FIPS 140 2-compatível.
  • Seleção de criptografia para SSIS (UseEncryption = True) gerará uma mensagem de erro que a criptografia disponível é incompatível com requer conformidade com FIPS e não é permitida. Em outras palavras, é executada sem criptografia do processo de mensagem.
  • Uso de criptografia com herdados DTS (Data Transformation Services) não é compatível 140-2-com FIPS. Para DTS, o modo FIPS no Windows não estiver marcado. Para permanecer compatível, você não deve selecionar criptografia.
  • A maioria dos SQL Server 2008 criptografia e hash processos já utilizam um módulo criptografia FIPS 140-2-validado. Portanto, se você executar um aplicativo no modo de 140 2-compatível com FIPS quando modo FIPS é ativado no Windows, é pouco ou nenhum efeito sobre o uso ou desempenho do aplicativo.

Onde posso aprender mais sobre FIPS 140-2?

Para obter mais informações sobre o padrão FIPS e como baixá-lo, visite o seguinte site do NIST:
http://csrc.nist.gov/cryptval/140-2.htm
A Microsoft fornece terceiros informações de contatos para ajudá-lo a encontrar suporte técnico. Essa informações de contatos podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão dessas informações contatos de terceiros.

Referências

Para obter mais informações sobre como usar o modo FIPS 140 2-compatível com SQL Server 2005, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
920995Instruções para usar uma versão posterior do SQL Server ou SQL Server 2005 Service Pack 1 no FIPS 140-2 compatível com o modo

Propriedades

ID do artigo: 955720 - Última revisão: quinta-feira, 19 de março de 2009 - Revisão: 3.0
A informação contida neste artigo aplica-se a:
  • Microsoft SQL Server 2008 Developer
  • Microsoft SQL Server 2008 Enterprise
  • Microsoft SQL Server 2008 Standard
Palavras-chave: 
kbmt sql2008relnoteconfiguration sql2008relnote kbhowto kbexpertiseadvanced kbinfo KB955720 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 955720

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com