有关在 FIPS 140-2-兼容模式下使用 SQL Server 2008 的说明

文章翻译 文章翻译
文章编号: 955720 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

简介

本文讨论了联邦信息处理标准 (FIPS) 140-2 说明以及如何使用 Microsoft SQL Server 2008 FIPS 140-2-兼容模式中。

注意术语"FIPS 140-2–compliant,""FIPS 140-2 遵从性"和"FIPS 140-2-兼容模式"此处为定义使用和清晰度。这些术语定义政府术语或无法识别。美国和加拿大政府识别如 FIPS 140-2 标准的加密模块的验证和不使用它们在指定中或一致的方式。此本文,我们定义 FIPS 140-2-兼容,"FIPS 140-2 遵从"和 FIPS 140-2-兼容模式来表示 SQL Server 2008 使用唯一 FIPS 140-2-验证实例的算法和哈希函数的加密或哈希的数据中的所有实例中导入或导出到 SQL Server 2008。此外,这些术语意味着 SQL Server 2008 将管理 FIPS 140-2-验证加密模块的安全的方式所需的密钥。密钥管理过程还包括密钥生成和密钥存储功能。

更多信息

FIPS 是什么?

FIPS 意味着联邦信息处理标准。FIPS 是由两个政府主体开发的标准。一个是美国国家标准和在美国境内的技术。另一种是通信安全机构,在加拿大。FIPS 是建议或要求使用 (美国或加拿大) 的联邦政府操作 IT 系统中的标准。

FIPS 140-2 是什么?

FIPS 140-2 是在"安全要求的加密模块"的语句。它指定哪些加密算法和可使用的哈希算法和加密密钥的生成和管理的方式。某些硬件、 软件和过程可以 FIPS 140-2 一个批准的验证实验室通过验证。其中一些可以还描述为 FIPS 140-2-兼容为这篇文章中定义的术语。

应用程序是"FIPS 140-2-兼容"和"FIPS 140-2-验证"的应用程序之间区别是什么?

您可以配置 SQL Server 2008 年作为 FIPS 140-2-兼容的应用程序运行。要执行此操作必须使用的一个 FIPS 140-2-验证加密服务提供程序或提供的已验证的加密模块的操作系统上运行 SQL Server 2008。 无法细微差异法规遵从性和验证。可以对算法进行验证。意识到是不足,无法使用 FIPS 140-2 中的从已批准列表的算法。您必须使用已 FIPS 140-2 验证算法的实例。验证要求由政府批准评估实验室测试和验证。Windows Server 2008、 Windows Server 2003,和 Windows XP 包含在已批准的加密模块,这些模块包含在的算法的特定实例已被经实验室测试和验证的政府。

哪些应用程序可以是 FIPS 140-2-兼容?

所有应用程序,可以执行加密或哈希计算和一个 Microsoft Windows 加密服务提供程序的一个验证版本上运行的可以是符合标准,如果他们使用的批准算法只经过验证的实例。这些应用程序必须也符合密钥生成和密钥管理的需求通过使用 Windows 键的函数或会议密钥生成和应用程序中的密钥管理要求。此外,在某些种情况下不符合要求的算法或进程中允许有一个 FIPS 140-2-兼容应用程序。例如对于数据可能会通过使用一种不兼容的算法,如果此加密的形式中也就是在应用该数据将保持数据不会导出此形式,或者数据被进一步加密 (包装) 使用 FIPS 兼容的算法进行加密。

这是否意味着 SQL Server 2008 年始终是 FIPS 140-2-兼容?

否。这意味着 SQL Server 2008 可以配置为在 FIPS 140-2-兼容模式下运行。

使用 FIPS 140-2-验证加密模块可以如何配置 SQL Server 2008?

操作系统要求

您必须在一台基于 Windows Server 2008 的计算机、 一台基于 Windows Vista 的计算机、 基于 Windows Server 2003 的计算机或一台基于 Windows XP 的计算机上安装 SQL Server 2008。

Windows 系统管理要求

在开始 SQL Server 2008 之前,您必须启用 FIPS 模式。这是因为 SQL Server 2008 读取 FIPS 设置在启动时。若要能够 FIPS 请按照下列步骤操作。

Windows Server 2008 和 Windows Vista
  1. 使用管理凭据登录到计算机上。
  2. 如果使用的 Windows Server 2008 单击 开始,单击 运行,键入 gpedit.msc,然后按 ENTER 键。本地组策略编辑器打开。如果使用的一台基于 Windows Vista 的计算机,您可以单击 开始开始搜索 框中键入 gpedit.msc,然后按 ENTER 键。
  3. 在本地组策略编辑器中,双击 计算机配置 节点下的 Windows 设置,然后双击 安全设置
  4. 安全设置 节点下双击 本地策略,然后单击 安全选项
  5. 在详细信息窗格中双击 系统加密: 使用 FIPS 兼容的算法来加密哈希,和签名
  6. 在该 系统加密: 使用 FIPS 兼容的算法来加密哈希,和签名 对话框框单击 启用,然后单击 确定 以关闭该对话框。
  7. 关闭本地组策略编辑器。
对于 Windows Server 2003 和 Windows XP
  1. 使用管理凭据登录到计算机上。
  2. 单击 开始,单击 运行,键入 gpedit.msc,然后按 ENTER 键。
  3. 在组策略窗口中双击 计算机配置 节点下的 Windows 设置,然后双击 安全设置
  4. 安全设置 节点下双击 本地策略,然后单击 安全选项
  5. 在详细信息窗格中双击 系统加密: 使用 FIPS 兼容的算法来加密哈希,和签名
  6. 在该 系统加密: 使用 FIPS 兼容的算法来加密哈希,和签名 对话框框单击 启用,然后单击 确定 以关闭该对话框。
  7. 关闭组策略窗口。

SQL Server 2008 管理员笔记

  • 当在 SQL Server 2008 服务检测到在启动时启用了 FIPS 模式时,SQL Server 2008 SQL Server 错误日志中记录以下消息:
    服务中介程序传输正在 FIPS 法规遵从性模式下运行
    此外,可能会在应用程序日志中记录以下消息:
    数据库镜像传输正在 FIPS 法规遵从性模式下运行
    若要验证服务器正在 FIPS 模式下运行,找到这些邮件。
  • 若要获取对话框安全服务之间,加密过程将使用的高级加密标准 (AES) 上的 FIPS 认证实例,如果启用了 FIPS 模式。如果禁用 FIPS 模式,则加密过程将使用 RC4。
  • 当您在 $ FIPS 模式中配置服务中介程序终结点时, 必须指定"AES"的服务中介程序。如果该终结点配置为 RC4,SQL Server 将生成一个错误。因此,传输层不会启动。

如何 SQL Server 2008 会在 FIPS 140-2-兼容模式下运行?

  • 如果在 Windows 中的 FIPS 模式处于打开状态,并且用户具有关于是否加密或哈希数据和完成方式无选择 SQL Server 2008 将以 FIPS 140-2-兼容模式下运行。SQL Server 2008 将使用该 CryptoAPI,将使用的算法只经过验证的实例。
  • 如果 FIPS 模式处于打开状态,如果用户中有一种是否使用加密 SQL Server 2008 将使得仅 FIPS 140-2-兼容加密,或将不允许任何加密。
  • 为开发人员的重要信息

    假如您编写了自己的加密或哈希的代码必须使用只在 CryptoAPI。 您必须指定只允许通过 FIPS 140-2 的算法。 特别是,使用 $ 仅在三重数据加密标准 (3DES)) 或 AES 加密和 $ 仅 sha-1 哈希计算的。 您可以各自 FIPS 140-2-验证算法 SQL Server 2008 中使用以下关键字:
    • DESX (三键三重 DES)
    • 三重 DES (二密钥三重 DES)
    • TRIPLE_DES_3KEY (三键三重 DES)
    • TRIPLE_DES_2KEY (二密钥三重 DES)
    注意选择 DESX 不会提供一种 DESX 算法 SQL Server 2005 中或在 SQL Server 2008 年。在这两种情况下选择 DESX 提供了一个经过验证的三项三重 DES 实例。
  • 为开发人员的重要信息

    SQL Server 2008 支持使您能够在一个单独的第三方硬件存储模块 (HSM) 上的加密密钥管理一个企业密钥管理 (EKM) 功能。 若要在 FIPS 140-2-兼容模式下运行并使用 EKM 以下两个条件之一必须为真:
    • 必须为外部的加密模块 FIPS 140-2 验证。
    • 一些算法所使用的加密模块必须 FIPS 140-2 验证。需要导入或导出数据,或从 SQL Server FIPS 140-2-基于加密或解密时,请使用仅那些已验证的算法的实例。
    此外,必须通过使用 FIPS 140-2-验证实例以加密格式传递要加密或解密由外部的加密模块的数据。

FIPS 140-2-兼容模式运行 SQL Server 2008 的作用是什么?

  • 更强的加密的使用可能会有小更强的加密允许使用该过程不作为 FIPS 140-2-兼容运行时这些进程的性能影响。
  • 所选内容的 SSIS 的加密 (UseEncryption = True) 会生成一条错误消息可用的加密与 FIPS 法规遵从性不兼容,而且不允许。也就执行不进行加密的邮件过程。
  • 不使用的加密与旧式数据转换服务 (DTS) FIPS 140-2-兼容。为 DTS,在 Windows FIPS 模式下未选中。若要保持兼容,必须不选择加密。
  • 大多数 SQL Server 2008 加密和哈希进程已使用 FIPS 140-2-验证加密模块。因此,如果 FIPS 模式下打开 Windows 中时运行在 FIPS 140-2-兼容模式下的应用程序没有或几乎没有影响使用或应用程序的性能。

我在可以了解更多有关 FIPS 140-2?

有关 FIPS 标准以及如何将其下载的详细信息请访问下面的 NIST 网站:
http://csrc.nist.gov/cryptval/140-2.htm
Microsoft 提供了第三方联系人信息可以帮助您找到技术支持。此联系信息如有更改,恕不另行通知。Microsoft 不能保证此第三方联系人信息的准确性。

参考

有关如何在 FIPS 140-2-兼容模式下使用 SQL Server 2005 的详细信息单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
920995有关使用 SQL Server 2005 Service Pack 1 或更高版本的 SQL Server 中该 FIPS 140-2 兼容模式的说明

属性

文章编号: 955720 - 最后修改: 2009年3月19日 - 修订: 3.0
这篇文章中的信息适用于:
  • Microsoft SQL Server 2008 Developer
  • Microsoft SQL Server 2008 Enterprise
  • Microsoft SQL Server 2008 Standard
关键字:?
kbmt sql2008relnoteconfiguration sql2008relnote kbhowto kbexpertiseadvanced kbinfo KB955720 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 955720
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com