"تشفير النظام: استخدام FIPS الخوارزميات المتوافقة مع التشفير، والتجزئة والتوقيع" تأثيرات إعداد الأمان في نظام التشغيل Windows XP والإصدارات اللاحقة من Windows

ينطبق على: Windows Server 2008 EnterpriseWindows Server 2008 StandardWindows Server 2008 Enterprise without Hyper-V

ملخص


تعرف الولايات المتحدة الفيدرالية معالجة المعلومات القياسية (FIPS) الأمان ومتطلبات التشغيل المتداخل لأنظمة الكمبيوتر المستخدمة من قبل الحكومة الفيدرالية الأمريكية. يحدد مقياس FIPS 140 خوارزميات التشفير المعتمدة. مقياس FIPS 140 يحدد أيضا متطلبات لإنشاء المفتاح وإدارة المفاتيح. المعهد الوطني للمعايير والتقنيات (NIST) يستخدم برنامج التحقق من صحة الوحدة النمطية التشفير (كمفب) لتحديد ما إذا كان تطبيق معين من خوارزمية تشفير المتوافقة مع FIPS 140 القياسي. تطبيق خوارزمية التشفير يعتبر FIPS 140 المتوافقة فقط إذا كان قد قدم ومر NIST التحقق من الصحة. لا يمكن اعتبار خوارزمية لم تعرض المتوافقة مع FIPS حتى في حالة التنفيذ ينتج عنها بيانات مماثلة كتطبيق تم التحقق من صحته من نفس الخوارزمية.

لمزيد من المعلومات حول كيفية منتجات Microsoft والمكتبات تتوافق مع المعيار FIPS 140، قم بزيارة موقع Microsoft التالي على الويب:في بعض وحدات السيناريو، تطبيق قد استخدام خوارزميات غير مقبول أو العمليات أثناء التطبيق يعمل في وضع متوافق مع FIPS. على سبيل المثال، قد يسمح باستخدام خوارزميات غير مقبول في السيناريوهات التالية:
  • عندما تبقى بعض العمليات الداخلية داخل الكمبيوتر
  • عندما يكون بعض البيانات الخارجية بالإضافة إلى ذلك سيتم تشفيرها عن طريق تطبيق متوافقة مع FIPS

مزيد من المعلومات


في نظام التشغيل Windows XP والإصدارات اللاحقة من Windows، إذا قمت بتمكين إعداد الأمان التالية في "نهج الأمان المحلي" أو كجزء من "نهج المجموعة"، تعلم التطبيقات التي يجب فقط استخدام خوارزميات تشفير المتوافقة مع FIPS 140 ومتوافقة مع FIPS اعتماد أساليب عملها:
تشفير النظام: استخدام FIPS الخوارزميات المتوافقة مع التشفير، تجزئة، والتوقيع
يكون هذا النهج الاستشارية للتطبيقات فقط. لذلك، إذا قمت بتمكين النهج، أنه لا تأكد من أن تمتثل كافة التطبيقات. سيتأثر التالية لمناطق في نظام التشغيل هذا الإعداد:
  • يؤدي هذا الإعداد حزمة أمان القناة وكافة التطبيقات التي تعتمد على حزمة أمان القناة للتفاوض بشأن بروتوكول أمن طبقة النقل (TLS) 1.0 فقط. إذا تم تمكين هذا الإعداد على خادم يقوم بتشغيل IIS، يمكنك الاتصال مستعرضات ويب التي تعتمد TLS 1.0. إذا تم تمكين هذا الإعداد على كمبيوتر أحد العملاء، كافة العملاء Schannel، مثل Microsoft Internet Explorer، يمكنك فقط تتصل بالملقمات التي تعتمد بروتوكول TLS 1.0. للحصول على قائمة من برامج التشفير المعتمدة عند تمكين الإعداد راجع "التشفير" في Schannel الموضوع.

    لمزيد من المعلومات، انقر فوق رقم المقالة التالية لعرضها في "قاعدة معارف Microsoft":

    811834 زيارة مواقع SSL بعد تمكين تشفير المتوافقة مع FIPS

  • يؤثر هذا الإعداد على "الخدمات الطرفية" في Windows Server 2003 والإصدارات اللاحقة من Windows. يعتمد التأثير على ما إذا كان TLS المستخدمة لمصادقة الملقم.

    إذا TLS المستخدمة لمصادقة الملقم، يؤدي هذا الإعداد فقط TLS 1.0 لاستخدامها.



    بشكل افتراضي، إذا لم يستخدم TLS، ولم يتم تمكين هذا الإعداد على العميل أو على الخادم، يتم تشفير القناة بروتوكول سطح المكتب البعيد (RDP) بين الملقم والعميل باستخدام خوارزمية RC4 مع طول مفتاح 128 بت. بعد تمكين هذا الإعداد على جهاز كمبيوتر يستند إلى Windows Server 2003، يكون التالي صحيحاً:
    • يتم تشفير القناة RDP باستخدام خوارزمية 3DES في وضع تسلسل كتلة التشفير (CBC) بطول مفتاح بت 168.
    • يتم استخدام خوارزمية sha-1 لإنشاء الملخصات الرسالة.
    • يجب على العملاء استخدام البرنامج العميل RDP 5.2 أو إصدار أحدث للاتصال.
    لمزيد من المعلومات حول كيفية تكوين خدمات المحطة الطرفية، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

    814590 كيفية تمكين وتكوين "سطح المكتب البعيد" للإدارة في Windows Server 2003

  • عملاء Windows XP استخدام البرنامج العميل RDP 5.2 أو الإصدارات الأحدث من برنامج التعمير والتنمية الاتصال بأجهزة كمبيوتر Windows Server 2003 أو نظام التشغيل Windows Vista أو Windows Server 2008 عند تمكين هذا الخيار. ومع ذلك، تفشل اتصالات سطح المكتب البعيد لأجهزة الكمبيوتر في نظام التشغيل Windows XP عند تمكين هذا الخيار على العميل أو الخادم.
  • يتعذر الاتصال عملاء Windows الإعداد FIPS تمكين الخدمات الطرفية في Windows 2000.
  • يؤثر هذا الإعداد على خوارزمية التشفير المستخدمة بنظام تشفير الملفات (EFS) للملفات الجديدة. الملفات الموجودة لن تتأثر ومتابعة يمكن الوصول إليها عن طريق استخدام الخوارزميات التي التي تم أصلاً تشفيرها.


    ملاحظات
    • بشكل افتراضي، يستخدم EFS على الموائد المستديرة ويندوز XP خوارزمية DESX. في حال تمكين هذا الإعداد، يستخدم EFS تشفير 3DES 168 بت.
    • بشكل افتراضي في Windows XP Service Pack 1 (SP1) وفي حزم الخدمة الأحدث من نظام التشغيل Windows XP وفي Windows Server 2003، يستخدم EFS خوارزمية مقاييس التشفير المتقدمة (AES) بطول مفتاح 256 بت. ومع ذلك، يستخدم EFS تنفيذ الخدمات المعمارية والهندسية وضع kernel. هذا التطبيق غير الموثقة FIPS على تلك الأنظمة الأساسية. إذا قمت بتمكين الإعداد FIPS على تلك الأنظمة الأساسية، يستخدم نظام التشغيل خوارزمية 3DES بطول مفتاح بت 168.
    • في نظام التشغيل Windows Vista و Windows Server 2008، يستخدم EFS خوارزمية AES مع مفاتيح 256 بت. في حال تمكين هذا الإعداد، سيتم استخدام 256 الخدمات المعمارية والهندسية.
    • لا يؤثر نهج محلي FIPS مفتاح تشفير كلمة المرور.
  • تطبيقات Microsoft.NET Framework مثل Microsoft ASP.NET تسمح فقط باستخدام تطبيقات خوارزمية معتمدة من قبل NIST أن المتوافقة مع FIPS 140. الفئات خوارزمية التشفير فقط التي يمكن إنشاء مثيل بشكل خاص تلك التي تقوم بتطبيق الخوارزميات المتوافقة مع FIPS. إنهاء أسماء هذه الفئات في "كريبتوسيرفيسيبروفيدير" أو "Cng." أي محاولة إنشاء مثيل للفئات الأخرى خوارزمية التشفير، مثل الفئات التي تنتهي أسماؤها ب "الإدارة"، يؤدي حدوث استثناء InvalidOperationException. بالإضافة إلى ذلك، أي محاولة لإنشاء مثيل من خوارزمية تشفير غير متوافقة، مثل MD5، FIPS أيضا إلى حدوث استثناء InvalidOperationException.
  • إذا تم تمكين الإعداد FIPS، يفشل تحقق تطبيقات ClickOnce إلا إذا كان جهاز الكمبيوتر العميل أحد الإجراءات التالية مثبتة:
    • .NET Framework 3.5 أو إصدار أحدث من برنامج.NET Framework
    • في.NET Framework 2.0 Service Pack 1 أو حزمة خدمة أحدث
    ملاحظات
    • باستخدام Visual Studio 2005، لا تستند إلى تطبيقات ClickOnce أو نشرها من كمبيوتر مطلوب FIPS. ومع ذلك، إذا كان الكمبيوتر يحتوي.NET Framework 2.0 SP2 الذي تم تضمينه مع.NET Framework 3.5 SP1، Visual Studio 2005 نشر تطبيقات Winforms/WPF.
    • باستخدام Visual Studio 2008، لا يمكن بناء تطبيقات ClickOnce أو نشرها إلا إذا تم تثبيت Visual Studio 2008 SP1 أو إصدار أحدث من Visual Studio.
  • بشكل افتراضي، في نظام التشغيل Windows Vista و Windows Server 2008، تستخدم ميزة "تشفير محرك BitLocker" تشفير 128-بت AES جنبا إلى جنب مع مخرج هواء إضافية. عند تمكين هذا الإعداد، يستخدم BitLocker تشفير AES 256 بت دون الناشر. بالإضافة إلى ذلك، كلمات مرور الاسترداد غير إنشاء أو نسخ احتياطي إلى خدمة دليل "Active Directory". ولذلك، لا يمكنك استرداد من فقدان الأطراف أو من تغييرات النظام بكتابة كلمة مرور استرداد على لوحة المفاتيح. بدلاً من استخدام كلمة مرور استرداد، قد احتياطياً مفتاح استرداد على محرك أقراص محلي أو مشاركة شبكة اتصال. لاستخدام مفتاح الاسترداد، وضع المفتاح على جهاز USB. قم بتوصيل الجهاز بالكمبيوتر.
  • في Windows Vista SP1 والإصدارات الأحدث من نظام التشغيل Windows Vista و Windows Server 2008، أعضاء مجموعة "عوامل تشغيل التشفير" فقط تحرير إعدادات التشفير في نهج IPsec لجدار حماية Windows.
ملاحظات
  • بعد تمكين أو تعطيل تشفير النظام: استخدام المتوافقة مع fips من أجل التشفير, والتجزئة، والتوقيع الأمان، يجب إعادة تشغيل التطبيق الخاص بك، مثل Internet Explorer للإعداد الجديد نافذ المفعول.
  • يؤثر إعداد الأمان هذا على قيمة التسجيل التالية في Windows Server 2008 و Windows Vista:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
    يعكس قيمة التسجيل هذه الإعداد FIPS الحالي. إذا تم تمكين هذا الإعداد، كانت القيمة 1. إذا تم تعطيل هذا الإعداد، كانت القيمة 0.
  • يؤثر إعداد الأمان هذا على قيمة التسجيل التالية في Windows Server 2003 وفي نظام التشغيل Windows XP:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
    يعكس قيمة التسجيل هذه الإعداد FIPS الحالي. إذا تم تمكين هذا الإعداد، كانت القيمة 1. إذا تم تعطيل هذا الإعداد، كانت القيمة 0.