"Crittografia di sistema: utilizza algoritmi FIPS algoritmi compatibili per crittografia, hash e firma" effetti di impostazione di protezione in Windows XP e versioni successive di Windows

Il supporto per Windows XP è terminato

Il supporto Microsoft per Windows XP è terminato l'8 aprile 2014. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 811833
Sommario
Negli Stati Uniti Federal Information Processing Standard (FIPS) definisce i requisiti di interoperabilità per i sistemi di computer che vengono utilizzati dal governo federale degli Stati Uniti e protezione. Lo standard FIPS 140 definisce gli algoritmi di crittografia approvati. Lo standard FIPS 140 inoltre definisce i requisiti per la generazione delle chiavi e per la gestione delle chiavi. Il National Institute of Standards and Technology (NIST) utilizza il programma di convalida crittografia modulo (CMVP) per determinare se una particolare implementazione di un algoritmo di crittografia è compatibile con lo standard FIPS 140. Un'implementazione di un algoritmo di crittografia è considerata conforme a 140 FIPS solo se è stata inviata per e ha superato la convalida di NIST. Un algoritmo che non è stato inviato non può essere considerato conforme a FIPS, anche se l'implementazione produce dati identici come convalidata implementazione dell'algoritmo stesso.

Per ulteriori informazioni su come è conforme con lo standard FIPS 140 librerie e i prodotti Microsoft, visitare il seguente sito Web Microsoft:In alcuni scenari, un'applicazione può utilizzare algoritmi non approvati o processi mentre l'applicazione opera in modalità compatibile con FIPS. Ad esempio, l'utilizzo di algoritmi non approvati ammessi negli scenari seguenti:
  • Quando alcuni processi interni rimangono all'interno del computer
  • Quando sono necessario crittografare inoltre da un'implementazione conforme a FIPS alcuni dati esterni
Informazioni
In Windows XP e versioni successive di Windows, se si attiva la seguente impostazione di protezione in Criteri di protezione locali o come parte dei criteri di gruppo, informare le applicazioni che utilizzano solo gli algoritmi di crittografia compatibile con FIPS 140 e conformità FIPS approvato le modalità operative:
Crittografia di sistema: utilizza algoritmi FIPS compatibili per crittografia, hash e firma hash
Questo criterio è solo consultivo per le applicazioni. Pertanto, se si attiva il criterio, non assicurarsi che tutte le applicazioni saranno conformi. Nell'esempio di aree del sistema operativo interessati da questa impostazione:
  • Questa impostazione, il pacchetto di protezione Schannel e tutte le applicazioni basate su pacchetto di protezione Schannel di negoziare solo il protocollo Transport Layer Security (TLS) 1.0. Se questa impostazione è attivata su un server che esegue IIS, è possono connettere solo i browser che supportano TLS 1.0. Se questa impostazione è attivata su un client, tutti i client di Schannel, come Microsoft Internet Explorer, possono connettersi solo a server che supportano il protocollo TLS 1.0. Per un elenco delle suite di cifratura supportata quando è attivata l'impostazione vedere pacchetti di crittografia Schannel argomento.

    Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
    811834 Impossibile visitare siti SSL dopo aver attivato la crittografia FIPS compatibile
  • Questa impostazione influisce anche su Servizi Terminal in Windows Server 2003 e nelle versioni successive di Windows. L'effetto dipende se TLS è usata per l'autenticazione server.

    Se viene utilizzato TLS per l'autenticazione server, questa impostazione, solo TLS 1.0 da utilizzare.

    Per impostazione predefinita, non viene utilizzato TLS, se questa impostazione non è abilitata sul client o sul server, il canale di Remote Desktop Protocol (RDP) tra il server e client crittografato utilizzando l'algoritmo RC4 con una lunghezza della chiave a 128 bit. Dopo aver attivato questa impostazione su un computer basato su Windows Server 2003, si verifica quanto segue:
    • Il canale RDP viene crittografato utilizzando l'algoritmo 3DES in modalità Cipher Block Chaining (CBC) con una lunghezza della chiave a 168 bit.
    • L'algoritmo SHA-1 viene utilizzato per creare il digest di messaggio.
    • Per la connessione, i client devono utilizzare il programma client RDP 5.2 o versione successiva.
    Per ulteriori informazioni su come configurare Servizi terminal, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    814590 Come attivare e configurare Desktop remoto per amministrazione in Windows Server 2003
  • Client Windows XP che utilizzano il programma client RDP 5.2 e versioni successive del protocollo RDP può connettersi al computer Windows Server 2003, Windows Vista o Windows Server 2008 quando si attiva questa opzione. Tuttavia, le connessioni di desktop remoto a computer Windows XP non quando si attiva questa opzione sul client o server.
  • Client Windows che è abilitata l'impostazione FIPS Impossibile connettersi a Servizi terminal di Windows 2000.
  • Questa impostazione si applica l'algoritmo di crittografia utilizzato per i nuovi file mediante crittografia File System (EFS). I file esistenti non vengono influenzati e continuano a accedere utilizzando gli algoritmi con cui essi sono stati crittografati.

    Note
    • Per impostazione predefinita, EFS in Windows XP RTM utilizza l'algoritmo DESX. Se si attiva questa impostazione, EFS utilizza la crittografia 3DES a 168 bit.
    • Per impostazione predefinita, in Windows XP Service Pack 1 (SP1), Windows XP service pack successivi e in Windows Server 2003, EFS utilizza l'algoritmo Advanced Encryption Standard (AES) con una lunghezza della chiave a 256 bit. Tuttavia, EFS utilizza l'implementazione di AES in modalità kernel. Questa implementazione non è convalidato FIPS su queste piattaforme. Se si attiva l'impostazione FIPS su queste piattaforme, il sistema operativo utilizza l'algoritmo 3DES con una lunghezza della chiave a 168 bit.
    • In Windows Vista e Windows Server 2008, EFS utilizza l'algoritmo AES con chiavi a 256 bit. Se si attiva questa impostazione, verrà utilizzato AES-256.
    • Criteri locali FIPS esegue notaffect password keyencryption.
  • Le applicazioni i.NET Framework Microsoft come i ASP.NET Microsoft consentono solo per l'utilizzo di implementazioni di algoritmi che sono certificate dal NIST per essere compatibile con FIPS 140. In particolare, le classi di algoritmo di crittografia solo che è possono creare istanze sono quelli che implementano gli algoritmi FIPS compatibili. I nomi di queste classi terminano con "CryptoServiceProvider" o "Cng". Qualsiasi tentativo di creare un'istanza di altre classi di algoritmi di crittografia, ad esempio le classi con nomi che terminano con "Managed", causare un'eccezione InvalidOperationException. Inoltre, qualsiasi tentativo di creare un'istanza di un algoritmo di crittografia che non sia FIPS compatibile, ad esempio MD5, comporta un'eccezione InvalidOperationException.
  • Se l'impostazione FIPS è attivata, la verifica delle applicazioni ClickOnce non riesce se non è uno dei seguenti installato sul computer client:
    • Di 3.5 di.NET Framework o una versione successiva di.NET Framework
    • .NET Framework 2.0 Service Pack 1 o service pack successivo
    Note
    • Con Visual Studio 2005, le applicazioni ClickOnce basate su o sono pubblicate da un computer obbligatori FIPS. Tuttavia, se il computer dispone di.NET Framework 2.0 SP2, è incluso in.NET Framework 3.5 SP1, Visual Studio 2005 può pubblicare applicazioni Windows Forms/WPF.
    • Con Visual Studio 2008, le applicazioni ClickOnce Impossibile da generare o pubblicate se non è installata Visual Studio 2008 SP1 o versione successiva di Visual Studio.
  • Per impostazione predefinita, in Windows Vista e Windows Server 2008, la funzionalità Crittografia unità BitLocker utilizza crittografia AES a 128 bit con un'ulteriore diffusione. Quando questa impostazione è attivata, BitLocker utilizza la crittografia AES 256 bit senza una diffusione. Inoltre, le password di ripristino non create o al servizio directory Active Directory di backup. Pertanto, non sarà possibile recuperare dal pin perse o da modifiche di sistema digitando una password di ripristino sulla tastiera. Invece di utilizzare una password di ripristino, è possibile backup una chiave di ripristino su un'unità locale o in una condivisione di rete. Per utilizzare la chiave di ripristino, inserire la chiave di un dispositivo USB. Quindi, collegare il dispositivo al computer.
  • In Windows Vista SP1 e versioni successive di Windows Vista e Windows Server 2008, solo i membri del gruppo di operatori crittografia possono modificare le impostazioni di crittografia nel criterio IPsec di Windows Firewall.
Note
  • Dopo che si attiva o disattiva il crittografia di sistema: gli algoritmi di utilizza algoritmi FIPS compatibili per crittografia, hash e firma protezione impostazione, è necessario riavviare l'applicazione, ad esempio Internet Explorer, per le nuove impostazioni abbiano effetto.
  • Questa impostazione di protezione riguarda il seguente valore del Registro di sistema in Windows Server 2008 e Windows Vista:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
    Questo valore riflette l'impostazione corrente di FIPS. Se questa impostazione è attivata, il valore è 1. Se questa impostazione è disattivata, il valore è 0.
  • Questa impostazione di protezione riguarda il seguente valore del Registro di sistema in Windows Server 2003 e Windows XP:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
    Questo valore riflette l'impostazione corrente di FIPS. Se questa impostazione è attivata, il valore è 1. Se questa impostazione è disattivata, il valore è 0.
FIPSAlgorithmPolicy

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 811833 - Ultima revisione: 01/02/2016 08:07:00 - Revisione: 3.0

Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Standard without Hyper-V, Windows Vista Home Basic 64-bit edition, Windows Vista Enterprise 64-bit edition, Windows Vista Home Premium 64-bit edition, Windows Vista Ultimate 64-bit edition, Windows Vista Business, Windows Vista Business 64-bit edition, Windows Vista Enterprise, Windows Vista Home Basic, Windows Vista Home Premium, Windows Vista Starter, Windows Vista Ultimate, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Windows 7 Enterprise, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Starter, Windows 7 Ultimate, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Web Server 2008 R2

  • kbhowto kbinfo kbmt KB811833 KbMtit
Feedback