คำแนะนำสำหรับการใช้ SQL Server 2008 ในโหมดที่เข้ากันได้ 140-2-กับ FIPS

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 955720 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

บทนำ

บทความนี้กล่าวถึงสหพันธ์ข้อมูลประมวลผลมาตรฐาน (FIPS) 140-2 การแนะนำและวิธีการใช้ Microsoft SQL Server 2008 ในโหมดที่เข้ากันได้ 140-2-กับ FIPS

หมายเหตุเงื่อนไข "FIPS 140-2–compliant "ความสอดคล้องของ FIPS 140-2", FIPS ตรงตาม 140 2 โหมด" และ "ถูกกำหนดที่นี่สำหรับการใช้งานและความคมชัด เงื่อนไขเหล่านี้ไม่ได้มีการรับรู้ หรือกำหนดเงื่อนไขของรัฐบาล รัฐบาลสหรัฐอเมริกาและแคนาดารู้จักการตรวจสอบของโมดูลที่เข้ารหัสลับกับมาตรฐานเช่นเดียวกับ FIPS 140-2 และไม่ใช้ในการระบุหรือลักษณะ conformant ในบทความนี้ เรากำหนด "FIPS ไป 140-2-ตาม "ผ่านข้อ FIPS 140-2 กำหนด และ "โหมดไปตาม 140 2 FIPS" จะหมายความ ว่า เฉพาะ FIPS ตรวจ 140-2-สอบกรณีของอัลกอริทึมใช้ SQL Server 2008 และฟังก์ชันในอินสแตนซ์ทั้งหมดในที่เข้ารหัสลับหรือข้อมูล hashed การแปลงแป้นพิมพ์ถูกนำเข้า หรือส่งออกไปยัง SQL Server 2008 นอกจากนี้ เงื่อนไขเหล่านี้หมาย ว่า SQL Server 2008 จะจัดการคีย์ในลักษณะปลอดภัยตามความจำเป็นของโม FIPS ตรวจ 140-2-สอบเข้ารหัสลับดู กระบวนการจัดการคีย์ยังรวมถึงสร้างคีย์และฟังก์ชันการจัดเก็บข้อมูลที่สำคัญ

ข้อมูลเพิ่มเติม

FIPS คืออะไร

FIPS หมายถึง มาตรฐานการประมวลผลของข้อมูลภาครัฐ FIPS เป็นมาตรฐานที่พัฒนาขึ้น โดยรัฐบาลเนื้อที่สอง หนึ่งคือ National Institute ของมาตรฐานและเทคโนโลยีในสหรัฐอเมริกา สร้างความปลอดภัยของการสื่อสารในแคนาดาอีกได้ FIPS เป็นมาตรฐานซึ่งจะแนะนำ หรือ mandated สำหรับใช้ในระบบ IT การดำเนินกิจการของรัฐสหพันธ์ (สหรัฐอเมริกาหรือแคนาดา)

FIPS 140-2 คืออะไร

FIPS 140-2 เป็นคำชี้แจงของความ "ปลอดภัยต้องสำหรับโมดูลที่เข้ารหัสลับ ระบุว่า อัลกอริทึมการเข้ารหัสลับ และสามารถใช้อัลกอริทึมที่แปลงแป้นพิมพ์ และวิธีคีย์การเข้ารหัสลับเพื่อสร้าง และจัดการ บางฮาร์ดแวร์ ซอฟต์แวร์ และกระบวนการที่สามารถเป็น FIPS 140-2 ที่ผ่านการตรวจสอบ โดยมีแล็บตรวจสอบที่อนุมัติแล้ว เกมบางเกมสามารถยังถูกอธิบายเป็นไปตาม 140 2 FIPS ตามเงื่อนไขกำหนดไว้ในบทความนี้

ความแตกต่างระหว่างโปรแกรมประยุกต์ที่เป็น "FIPS ตรงตาม 140 2" และโปรแกรมประยุกต์ที่เป็น "ตรวจ 140-2-สอบ FIPS" คืออะไร

คุณสามารถกำหนดค่าให้เรียกใช้โปรแกรมประยุกต์ไปตาม 140 2 FIPS SQL Server 2008 เมื่อต้องการทำเช่นนี้ คุณต้องเรียกใช้ SQL Server 2008 บนระบบปฏิบัติการที่ใช้กับ FIPS ตรวจ 140-2-สอบเข้ารหัสลับให้บริการ หรือที่มีโมดูลการเข้ารหัสลับที่ถูกตรวจสอบ ความแตกต่างระหว่างความสอดคล้องและตรวจสอบไม่ละเอียด อัลกอริทึมสามารถถูกตรวจสอบ พึงระลึกไว้ว่า ไม่เพียงพอสำหรับใช้อัลกอริทึมจากรายการที่ได้รับอนุญาตใน FIPS 140-2 คุณต้องใช้อินสแตนซ์ของอัลกอริทึมที่ถูก FIPS 140-2 ที่ผ่านการตรวจสอบ การตรวจสอบต้องมีการทดสอบและการตรวจสอบ ด้วยแล็บการประเมินผลอนุมัติของรัฐบาล Windows Server 2008, Windows Server 2003 และ Windows XP ประกอบด้วยโมดูลที่เข้ารหัสลับที่อนุมัติแล้ว และถูกโมดู รวมถึงกรณีที่เฉพาะเจาะจงของอัลกอริทึม แล็บทดสอบและรัฐบาลที่ผ่านการตรวจสอบ

โปรแกรมประยุกต์ใดสามารถเป็นไปตาม 140 2 FIPS

โปรแกรมประยุกต์ทั้งหมดที่ทำการเข้ารหัสลับหรือการแปลงแป้นพิมพ์ และที่ทำงานบนตัว Microsoft Windows เข้ารหัสลับให้บริการรุ่นที่ผ่านการตรวจสอบสามารถเข้ากันได้ถ้าพวกเขาจะใช้เฉพาะกรณีที่ผ่านการตรวจสอบของอัลกอริทึมที่ได้รับอนุญาต โปรแกรมประยุกต์เหล่านี้ต้องสอดคล้องกับการสร้างคีย์และความต้องการจัดการคีย์นอก โดยใช้ฟังก์ชันหลักของ Windows หรือ โดยการสร้างคีย์และความต้องการจัดการคีย์ในแอพลิเคชันในการเรียกประชุม นอกจากนี้ ในบางกรณี อัลกอริทึม noncompliant หรือกระบวนการที่ได้รับอนุญาตในโปรแกรมประยุกต์ที่เข้ากันได้ 140-2-กับ FIPS ตัวอย่างเช่น ข้อมูลอาจถูกเข้ารหัสลับ โดยใช้อัลกอริทึมที่ noncompliant ถ้า ในฟอร์มนี้ถูกเข้ารหัส ยังคงเป็นข้อมูลภายในแอพลิเคชัน กล่าวคือ ข้อมูลจะไม่ถูกส่งออกในแบบฟอร์มนี้ หรือ ถ้ามีการให้ข้อมูลถูกเข้ารหัสเพิ่มเติมลับ (ห่อ) โดยใช้อัลกอริทึมที่เข้ากันได้กับ FIPS เท่านั้น

หมายความว่าไม่นี้อย่าง SQL Server 2008 ว่าเสมอไปตาม 140 2 FIPS

หมายเลข นั่นหมายความ ว่า SQL Server 2008 คุณสามารถกำหนดค่าให้รันในโหมดที่เข้ากันได้ 140-2-กับ FIPS

วิธี SQL Server 2008 สามารถกำหนดค่าเพื่อใช้กับ FIPS ตรวจ 140-2-สอบเข้ารหัสลับ module

ความต้องการของระบบปฏิบัติการ

คุณต้องติดตั้ง SQL Server 2008 บนคอมพิวเตอร์ที่ใช้ Windows Server 2008 คอมพิวเตอร์ที่ใช้ Windows Vista คอมพิวเตอร์ที่ใช้ Windows Server 2003 หรือคอมพิวเตอร์ที่ใช้ Windows XP

ความต้องการดูแลระบบของ Windows

คุณต้องเปิดใช้งานโหมด FIPS ได้ก่อนที่คุณเริ่มการทำงานของ SQL Server 2008 ที่เป็นเช่นนี้เนื่องจาก SQL Server 2008 อ่านการตั้งค่า FIPS เมื่อเริ่มต้น เมื่อต้องการเปิดการใช้งาน FIPS ให้ทำตามขั้นตอนเหล่านี้

สำหรับ Windows Server 2008 และ Windows Vista
  1. ใช้สำหรับการจัดการการเข้าสู่ระบบคอมพิวเตอร์
  2. ถ้าคุณกำลังใช้ Windows Server 2008 คลิกเริ่มการทำงานคลิกเรียกใช้ชนิดgpedit.mscแล้ว กด ENTER เปิดตัวแก้ไขนโยบายกลุ่มภายในเครื่อง ถ้าคุณกำลังใช้คอมพิวเตอร์ที่ใช้ Windows Vista คลิกเริ่มการทำงานชนิดgpedit.mscในการเริ่มการค้นหากล่อง จากนั้น กด ENTER
  3. คลิกสองครั้งที่ในท้องถิ่นกลุ่มนโยบาย Editorการตั้งค่า Windowsภายใต้การการกำหนดค่าคอมพิวเตอร์โหนด และคลิกสองครั้งที่แล้วการตั้งค่าการรักษาความปลอดภัย.
  4. ภายใต้การการตั้งค่าการรักษาความปลอดภัยโหนด คลิกสองครั้งนโยบายท้องถิ่นแล้ว คลิกตัวเลือกความปลอดภัย.
  5. ในบานหน้าต่างรายละเอียด คลิกสองครั้งเข้ารหัสของระบบ: ไปใช้ FIPS-ตามอัลกอริทึมการเข้ารหัสลับ แปลงแป้นพิมพ์ และเซ็นชื่อ.
  6. ในการเข้ารหัสของระบบ: ไปใช้ FIPS-ตามอัลกอริทึมการเข้ารหัสลับ แปลงแป้นพิมพ์ และเซ็นชื่อกล่องโต้ตอบ คลิกการเปิดใช้งานแล้ว คลิกตกลงเมื่อต้องการปิดกล่องโต้ตอบ
  7. ปิดตัวแก้ไขนโยบายกลุ่มภายในเครื่อง
สำหรับ Windows Server 2003 และ Windows XP
  1. ใช้สำหรับการจัดการการเข้าสู่ระบบคอมพิวเตอร์
  2. คลิกเริ่มการทำงานคลิกเรียกใช้ชนิดgpedit.mscแล้ว กด ENTER
  3. ในหน้าต่าง Group Policy คลิกสองครั้งการตั้งค่า Windowsภายใต้การการกำหนดค่าคอมพิวเตอร์โหนด และคลิกสองครั้งที่แล้วการตั้งค่าการรักษาความปลอดภัย.
  4. ภายใต้การการตั้งค่าการรักษาความปลอดภัยโหนด คลิกสองครั้งนโยบายท้องถิ่นแล้ว คลิกตัวเลือกความปลอดภัย.
  5. ในบานหน้าต่างรายละเอียด คลิกสองครั้งเข้ารหัสของระบบ: ไปใช้ FIPS-ตามอัลกอริทึมการเข้ารหัสลับ แปลงแป้นพิมพ์ และเซ็นชื่อ.
  6. ในการเข้ารหัสของระบบ: ไปใช้ FIPS-ตามอัลกอริทึมการเข้ารหัสลับ แปลงแป้นพิมพ์ และเซ็นชื่อกล่องโต้ตอบ คลิกการเปิดใช้งานแล้ว คลิกตกลงเมื่อต้องการปิดกล่องโต้ตอบ
  7. ปิดหน้าต่าง Group Policy

หมายเหตุผู้ดูแลระบบของ SQL Server 2008

  • เมื่อบริการ SQL Server 2008 ตรวจพบว่า มีการเปิดใช้งานโหมด FIPS เมื่อเริ่มต้น SQL Server 2008 จะบันทึกข้อความต่อไปนี้ในแฟ้มบันทึกข้อผิดพลาด SQL Server:
    ขนส่ง Service Broker กำลังทำงานในโหมดความสอดคล้อง FIPS
    นอกจากนี้ ข้อความต่อไปนี้อาจถูกบันทึกในแฟ้มบันทึกของโปรแกรมประยุกต์:
    การขนส่ง Mirroring ฐานข้อมูลทำงานในโหมดความสอดคล้อง FIPS
    เมื่อต้องการตรวจสอบว่า เซิร์ฟเวอร์ที่กำลังรันในโหมด FIPS ค้นหาข้อความเหล่านี้
  • เมื่อต้องการขอรับการรักษาความปลอดภัยของการโต้ตอบระหว่างบริการ กระบวนการเข้ารหัสลับจะใช้อินสแตนซ์ที่ผ่านรับรอง FIPS ของขั้นสูงการเข้ารหัสลับมาตรฐาน (AES) ถ้ามีการเปิดใช้งานโหมด FIPS ถ้าปิดใช้งานโหมด FIPS กระบวนการเข้ารหัสลับใช้แบบ RC4
  • เมื่อคุณตั้งค่าคอนฟิกปลายทางบริการ Broker ในโหมด FIPS คุณต้องระบุ "AES" สำหรับ Broker การบริการ ถ้าปลายทางถูกกำหนดค่าให้แบบ RC4, SQL Server สร้างข้อผิดพลาด ดังนั้น ชั้นการขนส่งไม่เริ่มทำงาน

SQL Server 2008 ทำงานในโหมดที่เข้ากันได้ 140-2-กับ FIPS อย่างไร

  • ถ้ามีการเปิดใช้งานโหมด FIPS ใน Windows และผู้ใช้ได้ไม่มีทางเลือกว่าจะเข้ารหัสลับ หรือแฮข้อมูล และวิธีที่จะสามารถในการทำ SQL Server 2008 ทำงานในโหมดที่เข้ากันได้ 140-2-กับ FIPS SQL Server 2008 จะใช้ CryptoAPI นั้น และจะใช้เฉพาะกรณีที่ผ่านการตรวจสอบของอัลกอริทึม
  • ถ้ามีการเปิดใช้งานโหมด FIPS และถ้าผู้ใช้มีทางเลือกในการว่าจะใช้การเข้ารหัส SQL Server 2008 จะไม่ว่า อนุญาตให้มีการเข้ารหัสเฉพาะ FIPS ตรงตาม 140 2 ลับ หรือจะไม่สามารถเข้ารหัสลับใด ๆ
  • ข้อมูลที่สำคัญสำหรับนักพัฒนา

    ถ้าคุณเขียนโค้ดของคุณเองสำหรับการเข้ารหัสลับหรือการแปลงแป้นพิมพ์ คุณต้องใช้เฉพาะ CryptoAPI คุณต้องระบุอัลกอริทึมได้รับอนุญาต โดย FIPS 140-2 โดยเฉพาะอย่างยิ่ง ใช้เฉพาะกสามครั้งข้อมูลการเข้ารหัสลับมาตรฐาน (3DES) หรือ AES สำหรับการเข้ารหัสลับและเฉพาะ SHA-1 สำหรับการแปลงแป้นพิมพ์ คุณสามารถใช้คำสำคัญดังต่อไปนี้ใน SQL Server 2008 สำหรับอัลกอริเกี่ยวข้อง FIPS ตรวจ 140-2-สอบทึม:
    • DESX (สามคีย์ DES สามครั้ง)
    • กสามครั้ง DES (DES สามครั้งสองคีย์)
    • TRIPLE_DES_3KEY (สามคีย์ DES สามครั้ง)
    • TRIPLE_DES_2KEY (คีย์สองสามครั้ง DES)
    หมายเหตุDESX การเลือกไม่ให้เป็นกอริทึม DESX ใน SQL Server 2005 หรือ ใน SQL Server 2008 ในทั้งสองกรณี DESX การเลือกให้อินสแตนซ์ที่ผ่านการตรวจสอบของ DES สามครั้งสามคีย์
  • ข้อมูลที่สำคัญสำหรับนักพัฒนา

    SQL Server 2008 สนับสนุนลักษณะพิเศษการจัดการ (EKM) คีย์ขององค์กรที่ช่วยให้การจัดการคีย์การเข้ารหัสลับในโมดูลที่เก็บข้อมูลฮาร์ดแวร์อื่นที่แยกต่างหาก (HSM) การใช้งานในโหมดที่เข้ากันได้ 140-2-กับ FIPS และ การใช้ EKM สองเงื่อนไขต่อไปนี้อย่างใดอย่างหนึ่งต้องเป็นจริง:
    • โมดูลการเข้ารหัสลับที่ภายนอกต้อง FIPS 140-2 ที่ผ่านการตรวจสอบ
    • อัลกอริทึมที่ใช้ โดยโมดูลการเข้ารหัสลับบางอย่างต้อง FIPS 140-2 ที่ผ่านการตรวจสอบ ใช้เฉพาะกรณีของอัลกอริทึมที่ผ่านการตรวจสอบเมื่อมีการเข้ารหัส FIPS 140-2-ยึดหรือถอดรหัสลับซึ่งจำเป็นสำหรับการนำเข้า หรือส่งออกข้อมูลไปยัง หรือ จาก SQL Server
    นอกจากนี้ ข้อมูลที่จะเข้ารหัสลับ หรือถอดรหัสลับ โดยโมดูลการเข้ารหัสลับที่ภายนอก ต้องถูกส่งในแบบฟอร์มที่เข้ารหัสลับ โดยใช้อินสแตนซ์ตรวจ 140-2-สอบ FIPS ที่

ลักษณะพิเศษของการเรียกใช้ SQL Server 2008 ในโหมดที่เข้ากันได้ 140-2-กับ FIPS คืออะไร

  • การใช้การเข้ารหัสลับที่เข้มอาจมีผลต่อขนาดเล็กที่ของประสิทธิภาพการทำงานสำหรับกระบวนการต่าง ๆ เหล่านั้นซึ่งอนุญาตการเข้ารหัสลับอย่างแน่นหนาน้อยลงเมื่อไม่มีการดำเนินกระบวนการเป็นไปตาม 140 2 FIPS
  • การเลือกการเข้ารหัสลับสำหรับ SSIS (UseEncryption = True) จะสร้างข้อผิดพลาดที่เข้ารหัสลับที่พร้อมใช้งานไม่เข้ากันกับความสอดคล้องของ FIPS และไม่ได้รับอนุญาต กล่าว ไม่มีการเข้ารหัสลับการประมวลผลข้อความถูกดำเนินการ
  • การใช้การเข้ารหัสลับร่วมกับแบบดั้งเดิมข้อมูลแปลง Services (DTS) ไม่ตรงตาม 140 2 FIPS สำหรับ DTS โหมด FIPS ใน Windows จะไม่ตรวจสอบ การยังคงเข้ากันได้ คุณไม่ต้องเลือกการเข้ารหัสลับ
  • เข้ารหัสลับส่วนใหญ่ของ SQL Server 2008 และการแปลงแป้นพิมพ์กระบวนการแล้วใช้โม FIPS ตรวจ 140-2-สอบเข้ารหัสลับดู ดังนั้น ถ้าคุณเรียกใช้โปรแกรมประยุกต์ในโหมดที่เข้ากันได้ 140-2-กับ FIPS เมื่อมีเปิดโหมด FIPS ใน Windows นี้จะมีเพียงเล็กน้อย หรือไม่มีผลกับการใช้งานหรือประสิทธิภาพการทำงานของแอพลิเคชัน

ซึ่งสามารถฉันเรียนรู้เพิ่มเติมเกี่ยวกับ FIPS 140-2 หรือไม่

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการดาวน์โหลดและการมาตรฐาน FIPS เยี่ยมชม NIST เว็บไซต์ต่อไปนี้:
http://csrc.nist.gov/cryptval/140-2.htm
Microsoft ให้ข้อมูลการติดต่อของบริษัทอื่นเพื่อช่วยให้คุณสามารถค้นหาการสนับสนุนด้านเทคนิค ข้อมูลการติดต่อนี้อาจเปลี่ยนแปลงโดยไม่ต้องแจ้งล่วงหน้า Microsoft ไม่รับประกันความถูกต้องของข้อมูลผู้ติดต่อของบริษัทอื่น

ข้อมูลอ้างอิง

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการใช้ SQL Server 2005 ในโหมดที่เข้ากันได้ 140-2-กับ FIPS คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
920995คำแนะนำสำหรับการใช้ SQL Server 2005 Service Pack 1 หรือรุ่นที่ใหม่กว่าของ SQL Server ในการ FIPS 140-2 โหมดที่เข้ากันได้

คุณสมบัติ

หมายเลขบทความ (Article ID): 955720 - รีวิวครั้งสุดท้าย: 28 มกราคม 2554 - Revision: 3.0
ใช้กับ
  • Microsoft SQL Server 2008 Developer
  • Microsoft SQL Server 2008 Enterprise
  • Microsoft SQL Server 2008 Standard
Keywords: 
sql2008relnoteconfiguration sql2008relnote kbhowto kbexpertiseadvanced kbinfo kbmt KB955720 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:955720

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com