KB2733626-הוראות לשימוש ב-SQL Server 2012 במצב התואם ל-FIPS 140-2

מבוא

מאמר זה דן בהוראות FIPS 140-2 וכיצד להשתמש ב-Microsoft SQL Server 2012 במצב התואם ל-FIPS 140-2.הערות

  • התנאים "FIPS 140-2 תואמי", "FIPS 140-2 תאימות" ו-"FIPS 140-2-תואם מצב" מוגדרים כאן לשימוש ולבהירות. תנאים אלה אינם מזוהים או מוגדרים כתנאים ממשלתיים. ארצות הברית וממשלות קנדה מזהות את האימות של מודולי הצפנה נגד תקנים כגון FIPS 140-2, ולא את השימוש במודולי הצפנה באופן שצוין או מתאים. במאמר זה, אנו משתמשים ב-"FIPS 140-2-תואם", "" FIPS 140-2 תאימות "ו-" FIPS 140-2-תואם "במובן ש-SQL Server 2012 משתמש רק במופעים של FIPS 140-2-מאומתים של אלגוריתמים ופונקציות hashing בכל המופעים שבהם נתונים מוצפנים או מסוג hash מיובאים מ-SQL Server 2012. בנוסף, משמעות הדבר היא ש-SQL Server 2012 ינהל מקשים באופן מאובטח, כפי שנדרש ממודולים הצפנה מאומתים של FIPS 140-2. תהליך ניהול המפתחות כולל גם את מדור המפתח וגם את אחסון המפתחות.

  • אנו משתמשים ב-"מוסמך" כאן כדי לומר שהמופע של האלגוריתם מאומת ב-FIPS 140-2, או שמערכת ההפעלה מכילה מופעים מאומתים של FIPS 140-2 של אלגוריתמים.

מידע נוסף

מהו FIPS?

תקן עיבוד מידע פדרלי (FIPS) הוא תקן שפותח על-ידי שני הגופים הממשלתיים הבאים:

  • המכון הלאומי לתקנים וטכנולוגיה (NIST) בארצות הברית

  • מוסד אבטחת התקשורת (בריטניה) בקנדה

תקני FIPS מומלצים או מוסמכות לשימוש במערכות ה-IT הפדרליות המופעלות על-ידי ממשלה בארצות הברית ובקנדה.

מהו FIPS 140-2?

FIPS 140-2 הוא משפט שכותרתו "דרישות אבטחה עבור מודולי הצפנה". הוא מציין אילו אלגוריתמים של הצפנה ובאילו אלגוריתמים של hashing ניתן להשתמש וכיצד ליצור ולנהל את מפתחות ההצפנה. חלק מרכיבי החומרה, התוכנה והתהליכים יכולים להיות מוסמכים באמצעות FIPS 140-2, וחומרה, תוכנה ותהליכים עשויים להיות תואמי FIPS 140-2.

מה ההבדל בין היותה של FIPS 140-2 התואם להיות FIPS 140-2 מוסמך?

ניתן לקבוע את תצורת SQL Server 2012 ולפעול באופן התואם ל-FIPS 140-2. כדי לקבוע את תצורת SQL Server 2012 באופן זה, SQL Server 2012 חייב לפעול במערכת הפעלה שהיא FIPS 140-2 מאושרת או במערכת הפעלה המספקת מודול הצפנה המאושר. ההפרש בין תאימות והסמכה אינו עדין. אלגוריתמים ניתנים לאישור. לא מספיק להשתמש באלגוריתם מתוך הרשימות שאושרו ב-FIPS 140-2. במקום זאת, עליך להשתמש במופע של אלגוריתם כזה המאושר. הסמכה מחייבת בדיקות ואימות על-ידי מעבדת הערכה מאושרת על-ידי ממשלה. Windows Server 2003, Windows XP ו-Windows Server 2008 מכילים את האלגוריתמים המותרים, ומופע של כל אחת ממערכות ההפעלה האלה הוא מעבדת הערכה הנבדקת ואושרה על-ידי הממשלה.

אילו מוצרים של יישומים יכולים להיות תואמי FIPS 140-2?

כל היישומים המבצעים הצפנה או hashing ושפועלים בגירסה מאושרת של Windows יכולים להיות תואמים באמצעות המופעים המאושרים של האלגוריתמים המאושרים ולפי הדרישות של יצירת מפתח וניהול מפתחות באמצעות הפונקציה Windows לניהול מפתחות וניהול מפתחות בתוך היישום. שים לב שאזורים ביישום התואם ל-FIPS עשויים להתקיים כאשר אלגוריתמים או תהליכים שאינם תואמים זמינים. לדוגמה, תהליכים פנימיים מסוימים שנשארים בתוך המערכת וחלק מהנתונים החיצוניים שיש להצפין בנוסף על-ידי מופע אלגוריתם מוסמך מותרים.

האם SQL Server 2012 תמיד תואם FIPS 140-2?

לא. SQL Server 2012 יכול להיות תואם FIPS 140-2 מכיוון שניתן לקבוע את תצורתו ולפעול באופן שבו הוא משתמש רק במופעים של אלגוריתם מאושרים של FIPS 140-2 הנקראים על-ידי שימוש ב-CryptoAPI לצורך הצפנה או באמצעות hashing בכל מופע שבו נדרש תאימות של FIPS 140-2.

כיצד ניתן להגדיר את SQL Server 2012 להיות תואם FIPS 140-2?

  • דרישת מערכת ההפעלה: עליך להתקין את SQL Server 2012 בשרת המבוסס על אחת ממערכות ההפעלה הבאות:

    • Windows Server 2003

    • Windows XP

    • Windows Server 2008

  • דרישת ניהול המערכת של Windows: יש להגדיר את מצב FIPS לפני הפעלת SQL Server 2012. SQL Server קורא את ההגדרה בעת האתחול. כדי להגדיר את מצב FIPS, בצע את הפעולות הבאות:

    1. היכנס ל-Windows כמנהל מערכת של Windows.

    2. לחץ על התחל.

    3. לחץ על לוח הבקרה.

    4. לחץ על כלי ניהול.

    5. לחץ על מדיניות אבטחה מקומית. החלון ' הגדרות אבטחה מקומיות ' מופיע.

    6. בחלונית הניווט, לחץ על מדיניות מקומיתולאחר מכן לחץ על אפשרויות אבטחה.

    7. בחלונית השמאלית, לחץ פעמיים על קריפטוגרפיה של מערכת: השתמש באלגוריתמים תואמי FIPS עבור הצפנה, hashing וחתימה.

    8. בתיבת הדו שמופיעה, לחץ על זמיןולאחר מכן לחץ על החל.

    9. לחץ על אישור.

    10. סגור את החלון ' הגדרות אבטחה מקומיות '.

  • דרישת מנהל SQL Server

    • כאשר שירות SQL Server מזהה שמצב FIPS מופעל בעת האתחול, SQL Server מחבר את ההודעה הבאה ביומן השגיאות של SQL Server:

      התעבורה של ברוקר השירות פועלת במצב תאימות FIPS.בנוסף, אתה עשוי למצוא את ההודעה הבאה שנרשמת ביומן האירועים של Windows:

      באפשרותך לוודא שהשרת פועל במצב FIPS על-ידי חיפוש הודעות אלה.

    • עבור אבטחת תיבת הדו (בין שירותים), ההצפנה משתמשת במופע FIPS המאושר של AES אם מצב FIPS מופעל. אם מצב FIPS אינו זמין, ההצפנה משתמשת ב-RC4.

    • בעת קביעת התצורה של נקודת קצה של ברוקר שירות במצב FIPS, מנהל המערכת חייב לציין "AES" עבור סוכן השירות. אם נקודת הקצה מוגדרת ל-RC4, SQL Server יפיק שגיאה. לכן, שכבת התעבורה לא תופעל.

כיצד SQL Server 2012 מופעל במצב תואם FIPS 140-2?

  • כאשר מצב FIPS ב-Windows מופעל, בכל האזורים שבהם למשתמש אין אפשרות לבחור אם להצפין/לבצע hash וכיצד הוא ייעשה, SQL Server 2012 יבצע פעולה בהתאם ל-FIPS 140-2. (SQL Server 2012 ישתמש ב-CryptoAPI ב-Windows וישתמש רק במופעים המאושרים של האלגוריתמים.)

  • כאשר מצב FIPS ב-Windows מופעל, בכל האזורים שבהם למשתמש יש אפשרות לבחור אם להשתמש בהצפנה, SQL Server 2012 יאפשר הצפנה תואמת של FIPS 140-2 או לא תאפשר הצפנה.

  • מידע חשוב עבור מפתחי תוכנהבכל האזורים שבהם המפתח או המשתמש כותב קוד משלו עבור הצפנה או גיבוב, יש להורות להם להשתמש רק ב-CryptoAPI (ולכן רק המופעים המאושרים) ולציין רק את האלגוריתמים המותרים על-ידי FIPS 140-2. באופן ספציפי, עליהם לציין רק טריפל DES (3DES) או AES עבור הצפנה ורק SHA-1 for hash.

מהי ההשפעה של הפעלת SQL Server 2012 במצב תואם FIPS 140-2?

  • השימוש בהצפנה חזקה יותר עשוי לכלול אפקט קטן בביצועים עבור תהליכים אלה שעבורם הצפנה פחות חזקה מותרת כאשר התהליך אינו פועל כתואם FIPS 140-2.

  • הבחירה של ההצפנה עבור SSIS (UseEncryption = True) תפיק הודעת שגיאה המציינת כי ההצפנה הזמינה אינה תואמת לתאימות FIPS ואינה מותרת. במילים אחרות, לא מתבצעת הצפנה של תהליך ההודעה.

  • השימוש בהצפנה יחד עם מדור קודם של DTS אינו תואם ל-FIPS 140-2. שים לב שעבור DTS, מצב FIPS ב-Windows אינו מסומן. לכן, מדובר באחריות המשתמש לבחור ללא הצפנה כדי להישאר תואם.

  • מאחר שרוב תהליכי ההצפנה והhashing של SQL Server 2012 הם כבר FIPS 140-2, המתבצעים בהתאם לתאימות מלאה (כלומר, כאשר מצב FIPS ב-Windows מופעל) תהיה השפעה מועטה או לא על השימוש או הביצועים של המוצר.

היכן ניתן לקבל מידע נוסף אודות FIPS 140-2?

לקבלת מידע נוסף אודות תקן FIPS 140-2 וכיצד להוריד אותו, עבור אל אתר האינטרנט הבא של NIST:

http://csrc.nist.gov/cryptval/140-2.htm Microsoft מספקת פרטי קשר של ספקים חיצוניים כדי לסייע לך באיתור תמיכה טכנית. פרטי קשר אלו עשויים להשתנות ללא הודעה. Microsoft אינה ערבה לדיוקם של פרטי הקשר של הספק האמור.

זקוק לעזרה נוספת?

הרחב את הכישורים שלך
סייר בהדרכה
קבל תכונות חדשות לפני כולם
הצטרף למשתתפי Microsoft insider

האם מידע זה היה שימושי?

תודה על המשוב!

תודה על המשוב! נראה שכדאי לקשר אותך לאחד מנציגי התמיכה של Office.

×