Istruzioni per l'utilizzo di SQL Server 2014 in modalità FIPS 140-2-compatibile

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 3141890
Introduzione
In questo articolo vengono illustrate le istruzioni per federale elaborazione Standard pubblicazione 140-2 (FIPS 140-2) e come utilizzare Microsoft SQL Server 2014 in modalità FIPS 140-2-compatibile.

Note

  • I termini "FIPS 140-2 compatibile," "Conformità FIPS 140-2" e "Modalità FIPS 140-2 compatibile" sono definiti qui per utilizzare e la chiarezza. Queste condizioni non vengono riconosciute o governo termini definiti. I governi degli Stati Uniti e Canada riconoscono la convalida dei moduli di crittografia in base a standard quali FIPS 140-2, ma non l'utilizzo di moduli di crittografia in un oggetto specificato o modo conforme. In questo articolo utilizziamo "FIPS 140-2 compatibile," "Conformità FIPS 140-2," e "FIPS 140-2 compatibile in modalità" nel senso che 2014 di SQL Server utilizza solo FIPS 140-2-convalidare le istanze di algoritmi e funzioni di hash in tutte le istanze in cui sono importati o esportati da SQL Server 2014 dati crittografati o con hash. Inoltre, questo significa che SQL Server 2014 gestisce le chiavi in modo sicuro, in base alle esigenze dei moduli di FIPS 140-2-convalidato crittografia. Il processo di gestione delle chiavi inoltre include sia la generazione delle chiavi e l'archiviazione delle chiavi.
  • Utilizziamo "certificato" qui per indicare che l'istanza dell'algoritmo FIPS 140-2 – convalidato o che il sistema operativo contiene istanze FIPS 140-2: convalida di algoritmi.

Che cos'è FIPS?

Federal Information Processing Standard (FIPS) è uno standard sviluppato da governativo due seguenti:

  • Il National Institute of Standards e Technology (NIST) negli Stati Uniti
  • Lo stabilimento di protezione delle comunicazioni (CSE) in Canada

Standard FIPS vengono consigliate o obbligatorie per l'utilizzo in sistemi azionata dal governo federale degli Stati Uniti e Canada.

Che cos'è FIPS 140-2?

FIPS 140-2 è un'istruzione intitolato "Requisiti di protezione per i moduli di crittografia". Specifica quali algoritmi di crittografia e gli algoritmi hash possono essere utilizzati e come chiavi di crittografia devono essere generati e gestiti. Alcuni componenti hardware, software e i processi che contengono gli algoritmi possono essere considerati FIPS 140-2 certificate e altro hardware, software e i processi che chiamano gli algoritmi corretti possono essere FIPS 140-2 compatibile.

Qual è la differenza tra la FIPS 140-2 compatibile e da FIPS 140-2 certificati?

2014 di SQL Server possono essere configurate ed eseguite in modo che sia compatibile con FIPS 140-2. Per configurare SQL Server 2014 in questo modo, è necessario eseguire 2014 di SQL Server in un sistema operativo che FIPS 140-2 certificate o su un sistema operativo che fornisce i moduli crittografici Certificate. La differenza tra la conformità e certificazione risulta immediatamente evidente. Gli algoritmi possono essere certificati. Non sarà sufficiente utilizzare un algoritmo solo perché compaia negli elenchi approvati FIPS 140-2. Al contrario, è necessario utilizzare un'istanza di un tale algoritmo certificato. Ciò significa che l'istanza è governo convalidato. Certificazione richiede test e verifiche da un laboratorio di valutazione approvato al governo degli Stati Uniti o Canada. Windows Server 2012 e versioni successive, anche con Windows 8 e versioni successive contengono l'istanza certificata di ogni algoritmi consentiti. Più importante, una chiamata a ciascuno di questi algoritmi fornisce solo l'istanza di certificati.

I prodotti di applicazione possono essere FIPS 140-2 compatibile?

Tutte le applicazioni che eseguono la crittografia o hashing e in esecuzione su una versione di certificati di Windows può essere compatibile utilizzando solo le istanze Certificate degli algoritmi approvati e conformi ai requisiti di generazione delle chiavi e gestione delle chiavi. Tale operazione può essere eseguita da uno dei seguenti metodi:

  • Utilizzando la funzione di Windows per la generazione delle chiavi e gestione delle chiavi
  • La conformità ai requisiti di generazione delle chiavi e gestione delle chiavi all'interno dell'applicazione

Si tenga presente che un'applicazione compatibile con FIPS può contenere aree in cui sono abilitati gli algoritmi conformi o processi. Ad esempio, alcuni processi interni che rimangono all'interno del sistema e alcuni dati esterni che deve inoltre essere crittografato da un'istanza dell'algoritmo certificate sono consentiti.

SQL Server 2014 è sempre FIPS 140-2 compatibile?

No. SQL Server 2014 può essere FIPS 140-2 perché possono essere configurato ed eseguito in modo che utilizza solo le istanze di algoritmo 140-2-certificata FIPS che vengono chiamate utilizzando CryptoAPI per la crittografia o hashing in ogni istanza in cui è necessaria la conformità FIPS 140-2.

Come è possibile configurare SQL Server 2014 a FIPS 140-2 compatibile?

Requisiti del sistema operativo

È necessario installare SQL Server 2014 su un server basato su uno dei seguenti sistemi operativi:

  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows 8
  • Windows 8.1
  • Windows 10

Requisiti di amministrazione di sistema di Windows

Prima dell'avvio di SQL Server 2014, è necessario impostare la modalità FIPS. SQL Server legge l'impostazione all'avvio. Per impostare la modalità FIPS, attenersi alla seguente procedura:

  1. L'accesso a Windows come amministratore di sistema Windows.
  2. Fare clic su Start.
  3. Fare clic su Pannello di controllo.
  4. Fare clic su Strumenti di amministrazione. (Potrebbe essere necessario passare a Icone grandi per il passaggio successivo.)
  5. Fare clic su criteri di protezione locali. Il Impostazioni di protezione locali verrà visualizzata la finestra.
  6. Nel riquadro di spostamento, fare clic su Criteri localie quindi fare clic su Opzioni di protezione.
  7. Nel riquadro di destra fare doppio clic su crittografia di sistema: gli algoritmi di utilizzo FIPS compatibili per crittografia, hash e firma.
  8. Nella finestra di dialogo visualizzata, selezionare Attivae quindi fare clic su Applica.
  9. Fare clic su OK.
  10. Chiudi il Impostazioni di protezione locali finestra.

Requisito di amministratore di SQL Server

  • Quando il servizio di SQL Server (quando un endpoint configurato per Service Broker o il mirroring del Database) rileva che la modalità FIPS è attivata all'avvio, SQL Server registrato il seguente messaggio nel log degli errori di SQL Server:

    Trasporto Service Broker è in esecuzione in modalità di conformità FIPS.

    Inoltre, è possibile che il seguente messaggio registrato nel registro eventi di Windows:

    Trasporto di Mirroring del database è in esecuzione in modalità FIPS: la conformità.

    È possibile verificare che il server sia in esecuzione in modalità FIPS ricercando questi messaggi.

  • Per la protezione del dialogo (tra i servizi), la crittografia utilizza l'istanza di certificazione FIPS, di crittografia Standard AES (Advanced), se è attivata la modalità FIPS. Se la modalità FIPS è disattivata, la crittografia utilizza RC4.
  • Quando si configura un endpoint di service broker in modalità FIPS, l'amministratore deve specificare "AES" per service broker. Se l'endpoint è configurato per RC4, SQL Server verrà generato un errore. Pertanto, non verrà avviato il livello di trasporto.

Come è operato 2014 di SQL Server in modalità FIPS 140-2-compatibile

  • Con la modalità FIPS attivata di Windows, in tutte le aree in cui l'utente non dispone di alcuna scelta su se si desidera crittografare o generare un hash e come ciò avrà luogo, SQL Server 2014 verranno eseguiti in conformità con FIPS 140-2. (2014 di SQL Server utilizzerà CryptoAPI in Windows e verranno utilizzate solo le istanze Certificate degli algoritmi).
  • Con la modalità FIPS in Windows è attivata, tutte le aree in cui l'utente dispone di una scelta di utilizzare la crittografia, 2014 di SQL Server sia consentirà sola FIPS 140 2 – la crittografia compatibile o non consentirà di qualsiasi tipo di crittografia.
  • Informazioni importanti per gli sviluppatori di software in tutte le aree in cui lo sviluppatore o l'utente scrive il proprio codice per la crittografia o hashing, è necessario affinché utilizzi solo CryptoAPI (e pertanto solo le istanze Certificate) e di specificare solo gli algoritmi che sono consentiti da FIPS 140-2. Per l'elenco ufficiale di National Institute of Standards and Technology (NIST) di FIPS 140-2 approvato gli algoritmi di crittografia, Vai agli allegati a, C e D http://csrc.nist.gov/Groups/stm/cmvp/standards.HTML.

Che cos'è l'effetto dell'esecuzione di SQL Server 2014 in modalità FIPS 140-2 – compatibile?

  • L'utilizzo di funzioni di crittografia potrebbe essere un piccolo impatto sulle prestazioni per i processi per i quali è consentita la crittografia avanzata a meno quando il processo non opera come FIPS 140-2 compatibile.
  • La selezione di crittografia per SSIS (UseEncryption = True) verrà generato un messaggio di errore indicante che la crittografia disponibile è compatibile con conformità FIPS e non è consentita. In altre parole, non viene eseguita crittografia del processo di messaggio.
  • L'utilizzo della crittografia con DTS legacy non è compatibile con FIPS 140-2. Si tenga presente che per DTS, la modalità FIPS in Windows non sia selezionata. Pertanto, è la responsabilità dell'utente di non selezionare Nessuna crittografia rimanga compatibile.
  • Poiché la maggior parte la crittografia di SQL Server 2014 e processi di hash sono già FIPS 140-2 compatibile, esecuzione in piena conformità (che, con la modalità FIPS in Windows sia attivo) avranno effetto minimo o nullo di utilizzo o le prestazioni del prodotto.

Dove posso reperire ulteriori informazioni sul FIPS 140-2?

Per ulteriori informazioni sullo standard FIPS 140-2, vedere la seguente pubblicazione NIST:

Riferimenti
Declinazione di responsabilità di informazioni di terze parti

Microsoft fornisce informazioni di contatto di terze parti per facilitare l'individuazione del supporto tecnico. Tali informazioni potrebbero cambiare senza preavviso. Microsoft non garantisce l'accuratezza delle informazioni per contattare altri produttori.

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 3141890 - Ultima revisione: 02/13/2016 01:17:00 - Revisione: 2.0

Microsoft SQL Server 2014 Business Intelligence, Microsoft SQL Server 2014 Developer, Microsoft SQL Server 2014 Enterprise, Microsoft SQL Server 2014 Enterprise Core, Microsoft SQL Server 2014 Express, Microsoft SQL Server 2014 Standard, Microsoft SQL Server 2014 Web

  • kbhowto kbexpertiseadvanced kbinfo kbmt KB3141890 KbMtit
Feedback