FIPS 140-2-相容模式中使用 SQL Server 2008 的指示

文章翻譯 文章翻譯
文章編號: 955720 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

簡介

本文將告訴聯邦資訊處理標準 (FIPS) 140-2 的指示,以及如何使用 Microsoft SQL Server 2008 中 FIPS 140-2-相容模式。

附註詞彙"FIPS 140-2–compliant,""FIPS 140-2 相容性 」 和 「 FIPS 140-2-相容模式 」 會定義此處使用及清晰度。這些詞彙無法辨識,或定義政府條款。美國和加拿大政府辨識對像 FIPS 140-2 標準密碼編譯模組的驗證及不使用它們在指定或一致的方式。本文章中我們定義 「 FIPS 140-2-相容,"「 FIPS 140-2 循規 」 和 「 FIPS 140-2-相容模式 」 來表示 SQL Server 2008 使用唯一 FIPS 140-2 驗證的執行個體的演算法,是匯入或匯出至 SQL Server 2008 雜湊的加密或雜湊的資料中的所有執行個體中的函式。此外,這些術語表示 SQL Server 2008 將會以安全的方式所需的 FIPS 140-2-驗證密碼編譯模組管理金鑰。金鑰管理程序也包含 [金鑰產生] 和 [索引鍵的儲存體功能。

其他相關資訊

FIPS 是什麼?

FIPS 表示聯邦資訊處理標準。FIPS 是由兩個政府主體所開發的標準。其中一個是國家標準及技術在美國。另一個是通訊安全性建立在加拿大。FIPS 是建議使用 (或完成供使用 (美國或加拿大) 的聯邦政府操作 IT 系統中的標準。

FIPS 140-2 是什麼?

FIPS 140-2 是一個陳述式的 < 安全性需求的密碼編譯模組 >。它指定哪一種加密演算法和可以用何種雜湊演算法和加密金鑰的方式產生及管理。某些硬體、 軟體和處理程序可以是 FIPS 140-2 本域核准的驗證實驗室。這份文件中定義一詞,其中的一部份也可為 FIPS 140-2-相容描述。

差別是"FIPS 140-2-相容 」 的應用程式以及是"FIPS 140-2-驗證 」 的應用程式是什麼?

您可以設定成一個 FIPS 140-2-相容應用程式執行的 SQL Server 2008。若要執行此動作,您必須使用一個 FIPS 140-2-驗證密碼編譯服務提供者或所提供已進行驗證的密碼編譯模組的作業系統上執行 SQL Server 2008。 遵循與驗證不同的是不微妙。可以驗證演算法。瞭解它不足以使用 FIPS 140-2 中的核准清單的演算法。您必須使用已 FIPS 140-2 驗證演算法的執行個體。驗證需要由政府核准評估實驗室測試] 和 [驗證。Windows Server 2008、 Windows Server 2003 和 Windows XP 包含已核准的密碼編譯模組,而且包括特定的執行個體,該演算法的模組已經實驗室測試和驗證的政府。

有哪些應用程式可以是 FIPS 140-2-相容?

所有應用程式的執行加密或雜湊,而且已驗證的是 Microsoft Windows 密碼編譯服務提供者版本上執行的可相容如果他們使用只有已驗證的執行個體已核准的演算法。使用 Windows 索引鍵的函式,或會議金鑰產生和金鑰管理需求,應用程式中的,這些應用程式也必須符合金鑰產生和金鑰管理需求。此外,在某些情況下不相容的演算法或處理程序允許 FIPS 140-2-相容應用程式中。比方說資料可能會使用不相容的演算法,如果在此加密表單資料會保持在應用程式中,也就是資料便不會匯出此表單中或如果資料進一步加密 (加以換行) 使用 FIPS 相容演算法來加密。

這意思 SQL Server 2008 永遠是 FIPS 140-2-相容??

[否]。這表示 SQL Server 2008 可以設定成在 FIPS 140-2-相容模式中執行。

SQL Server 2008 可以設定為使用 FIPS 140-2-驗證密碼編譯模組的方式?

作業系統需求

您必須在 Windows Server 2008 架構的電腦]、 [Windows Vista 架構的電腦]、 [Windows Server 2003 電腦] 或 [Windows XP 的電腦上安裝 SQL Server 2008。

Windows 系統管理需求

在啟動 SQL Server 2008 之前,您必須啟用 FIPS 模式。這是因為 SQL Server 2008 會讀取 FIPS 設定在啟動時。若要以便 FIPS 請依照下列步驟執行。

Windows Server 2008 與 Windows Vista
  1. 使用系統管理認證登入電腦。
  2. 如果您使用的 Windows Server 2008,請按一下 [開始]、 按一下 [執行]、 鍵入 gpedit.msc,並按下 ENTER。[本機群組原則編輯器] 便會開啟。如果您使用 Windows Vista 電腦,按一下 [開始],、 在 開始搜尋] 方塊中輸入 gpedit.msc,,然後按下 ENTER。
  3. 在 「 本機群組原則編輯器 」 中,在 [電腦設定] 節點下連按兩下 [Windows 設定,然後再按兩下 [安全性設定
  4. 在 [安全性設定] 節點下按兩下 [本機原則],然後按一下 [安全性選項
  5. 在詳細資料] 窗格中按兩下 系統密碼編譯: 使用 FIPS 相容演算法於加密雜湊,以及簽章
  6. 系統密碼編譯: 使用 FIPS 相容演算法於加密雜湊,以及簽章] 方塊按一下 已啟用,然後再按一下 [確定] 關閉對話方塊。
  7. 關閉 [本機群組原則編輯器]。
Windows Server 2003 和 Windows XP
  1. 使用系統管理認證登入電腦。
  2. 按一下 [開始]、 按一下 [執行],鍵入 gpedit.msc,並按下 ENTER。
  3. 在 [群組原則] 視窗中連按兩下 [Windows 設定] [電腦設定] 節點下,然後再按兩下 [安全性設定
  4. 在 [安全性設定] 節點下按兩下 [本機原則],然後按一下 [安全性選項
  5. 在詳細資料] 窗格中按兩下 系統密碼編譯: 使用 FIPS 相容演算法於加密雜湊,以及簽章
  6. 系統密碼編譯: 使用 FIPS 相容演算法於加密雜湊,以及簽章] 方塊按一下 已啟用,然後再按一下 [確定] 關閉對話方塊。
  7. 關閉 [群組原則] 視窗。

SQL Server 2008 管理員備忘稿

  • 當 SQL Server 2008 服務偵測到在啟動時啟用 FIPS 模式時,SQL Server 2008 會在 SQL Server 錯誤記錄檔中記錄下列訊息:
    在 FIPS 相容性模式下執行服務中繼程式傳輸
    此外,應用程式記錄檔中可能會記錄下列訊息:
    在 FIPS 相容性模式中執行資料庫鏡像傳輸
    若要確認伺服器正在執行 FIPS 模式,找出這些訊息。
  • 若要取得服務之間的對話安全性,加密程序會使用 FIPS 認證的執行個體的 [進階加密標準 (AES),如果已啟用 FIPS 模式。如果已停用 FIPS 模式,加密程序會使用 RC4。
  • 當您在 FIPS 模式中設定服務代理人端點時您必須為服務中繼程式指定 AES 」。如果結束點設定為 RC4,SQL Server 會產生錯誤。因此,傳輸層並不會啟動。

如何不會 SQL Server 2008 在操作 FIPS 140-2-相容模式?

  • 如果 Windows 中的 FIPS 模式處於開啟狀態,而如果使用者沒有選擇有關是否要加密或雜湊資料及如何完成 SQL Server 2008 的 FIPS 140-2-相容模式中運作方式。SQL Server 2008 將會使用 [CryptoAPI,並使用只有已驗證之的演算法的實例。
  • 如果 FIPS] 模式處於開啟狀態,如果使用者選擇是否使用加密 SQL Server 2008 將可能會允許只有 FIPS 140-2-相容加密,或它將不允許任何加密。
  • 開發人員的重要資訊

    如果您撰寫自己的程式碼的加密或雜湊,您必須使用只 CryptoAPI。 您必須指定只演算法 FIPS 140-2 所允許的。 特別是,使用 [只在三重資料加密標準 (3DES) 或 AES 加密,並只 SHA-1 為雜湊。 對於個別的 FIPS 140-2 驗證方法,都可以使用 SQL Server 2008 下列關鍵字:
    • DESX (三鍵三重 DES)
    • 三重 DES (個雙鍵三重 DES)
    • TRIPLE_DES_3KEY (三鍵三重 DES)
    • TRIPLE_DES_2KEY (個雙鍵三重 DES)
    附註選取 DESX 並不會提供 DESX 演算法在 SQL Server 2005 或 SQL Server 2008 中。在這兩種情況下,選取 DESX 提供三鍵三重 DES 的已驗證之執行的個體。
  • 開發人員的重要資訊

    SQL Server 2008 支援企業金鑰管理 (EKM) 功能,可讓個別的協力廠商硬體儲存模組 (HSM) 上的密碼編譯金鑰管理。 在 FIPS 140-2-相容模式下作業,並使用 EKM,其中一個下列兩個條件必須成立:
    • 外部的密碼編譯模組必須為 FIPS 140-2 驗證。
    • 密碼編譯模組所使用演算法的部份必須是 FIPS 140-2 驗證。FIPS 140 2 基礎加密或解密需要的匯入或匯出資料至或來自 SQL Server 時,請使用只有那些已驗證之演算法的執行個體。
    此外,將加密或解密由外部的密碼編譯模組的資料必須以加密形式傳址方式傳遞使用 FIPS 140-2-驗證執行個體。

FIPS 140-2-相容模式中執行 SQL Server 2008 的效果是什麼?

  • 使用增強式加密可能會造成小影響對那些處理程序較少的增強式加密允許處理程序不為 FIPS 140-2-相容運算時的效能。
  • 選取的 SSIS 的加密 (UseEncryption = True) 會產生錯誤訊息,可使用的加密與 FIPS 相容性不相容,而且不允許。亦即沒有加密的郵件處理程序會執行。
  • 使用加密搭配傳統資料轉換服務 (DTS) 不是 FIPS 140-2-相容。為 DTS,不會檢查 Windows 的 FIPS 模式。若要保持相容,您必須不選取加密。
  • 大部分的 SQL Server 2008 加密和雜湊處理程序已經使用 FIPS 140-2-驗證密碼編譯模組。因此,如果 FIPS 模式在開啟 Windows 中時,您可以執行 FIPS 140-2-相容模式中的應用程式,就幾乎不會影響使用或應用程式的效能。

其中可以我深入了解 FIPS 140-2?

如需有關 FIPS 標準,以及如何下載它的詳細資訊,請造訪下列 NIST 網站:
http://csrc.nist.gov/cryptval/140-2.htm
Microsoft 提供協力廠商連絡資訊可協助您尋找技術支援。此連絡人資訊若有變更恕不另行通知。Microsoft 不保證此第三方連絡資訊的正確性。

?考

如需有關如何使用 SQL Server 2005 中 FIPS 140-2-相容模式的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
920995使用 SQL Server 2005 Service Pack 1 較新版的 SQL Server 中或 [FIPS 140-2 相容模式的指示

屬性

文章編號: 955720 - 上次校閱: 2009年3月19日 - 版次: 3.0
這篇文章中的資訊適用於:
  • Microsoft SQL Server 2008 Developer
  • Microsoft SQL Server 2008 Enterprise
  • Microsoft SQL Server 2008 Standard
關鍵字:?
kbmt sql2008relnoteconfiguration sql2008relnote kbhowto kbexpertiseadvanced kbinfo KB955720 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:955720
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com