"システム暗号化: 使用して FIPS 準拠アルゴリズムを暗号化、ハッシュ、署名の"Windows XP およびそれ以降のバージョンの Windows のセキュリティ設定の効果

適用対象: Windows Server 2008 EnterpriseWindows Server 2008 StandardWindows Server 2008 Enterprise without Hyper-V

概要


米国連邦情報処理規格 (FIPS) は、セキュリティおよび米国連邦政府によって使用されているコンピューター システムの相互運用性要件を定義します。FIPS 140 標準では、承認されている暗号化アルゴリズムを定義します。FIPS 140 標準も制定要件キー生成とキー管理のため。米国立研究所の標準とテクノロジ (NIST) は、暗号化アルゴリズムの特定の実装は、FIPS 140 標準に準拠しているかどうかを判断するのには暗号化モジュール検証プログラム (CMVP) を使用します。暗号化アルゴリズムの実装と見なされます FIPS 140 準拠用に送信されたことと、NIST の検証を経過している場合にのみ。送信されていないアルゴリズムは見なされない FIPS に準拠した場合でも、実装では、同じアルゴリズムの検証の実装と同一のデータが生成されます。

マイクロソフトのプロダクトとライブラリの FIPS 140 標準との準拠の詳細については、次のマイクロソフト web サイトを参照してください。シナリオによっては、アプリケーション可能性がありますを使用して、未承認のアルゴリズムまたはプロセス アプリケーションが FIPS 準拠モードで動作中に。たとえば、次のシナリオで未承認のアルゴリズムの使用を許可する可能性があります。
  • いくつかの内部プロセスは、コンピューター内に収める
  • FIPS に準拠した実装でさらに暗号化するのには、外部データの一部と

詳細


Windows XP およびそれ以降のバージョンの Windows では、ローカル セキュリティ ポリシーまたはグループ ポリシーの一部として、次のセキュリティ設定を有効にした場合に通知する暗号化のアルゴリズムは、FIPS 140 に準拠し、FIPS 準拠モードでの操作を承認する必要がありますのみ使用するアプリケーション。
システム暗号化: 使用して FIPS 準拠アルゴリズムを暗号化、ハッシュ、および署名のため
このポリシーは、アプリケーションにアドバイザリのみです。したがって、ポリシーを有効にした場合に行いませんすべてのアプリケーションが準拠していることを確認します。次のオペレーティング ・ システム内の領域は、この設定の影響を受けます。
  • この設定では、Schannel セキュリティ パッケージとトランスポート層セキュリティ (TLS) 1.0 プロトコルのみをネゴシエートするのには、Schannel セキュリティ パッケージをビルドするすべてのアプリケーションが発生します。IIS を実行しているサーバーでこの設定が有効の場合は、TLS 1.0 をサポートする Web ブラウザーのみが接続できます。 クライアントでこの設定が有効の場合、Microsoft Internet Explorer など、Schannel のすべてのクライアントは TLS 1.0 プロトコルをサポートしているサーバーにのみ接続できます。 設定が有効になっている場合にサポートされている暗号のリストは、Schannel のトピックの暗号を参照してください。

    詳細については、次の文書番号をクリックして、マイクロソフト サポート技術情報の資料をご参照ください。

    811834は、FIPS 準拠の暗号化を有効にした後に、SSL サイトにアクセスできません。

  • この設定は、ターミナル サービスが Windows Server 2003 およびそれ以降のバージョンの Windows にも影響します。効果は、サーバー認証に TLS が使用されているかどうかによって異なります。

    サーバー認証に TLS が使用されている場合この設定では、のみに TLS 1.0 を使用します。



    既定では、この設定が有効になっていないクライアントまたはサーバーで、TLS が使用されていない場合、キー長が 128 ビット RC4 アルゴリズムを使用して、サーバーとクライアント間のリモート デスクトップ プロトコル (RDP) チャネルが暗号化されます。Windows Server 2003 ベースのコンピューターでこの設定を有効にした後、次が成立します。
    • RDP チャネルは、暗号ブロック チェーン (CBC) モードは、168 ビット キーの長さと 3 des アルゴリズムを使用して暗号化されています。
    • Sha-1 アルゴリズムを使用して、メッセージ ダイジェストを作成します。
    • クライアントは、接続に、RDP 5.2 クライアント プログラムまたはそれ以降のバージョンを使用する必要があります。
    ターミナル サービスを構成する方法の詳細については、マイクロソフト サポート技術情報の記事を表示するのには次の資料番号をクリックします。

    814590の方法を有効にして、Windows Server 2003 で管理用リモート デスクトップを構成するのには

  • RDP 5.2 クライアント プログラムと RDP の以降のバージョンを使用する Windows XP クライアントは、このオプションを有効にすると、Windows Server 2003、Windows Vista または Windows Server 2008 のコンピューターに接続できます。ただし、クライアントまたはサーバーのいずれかでこのオプションを有効にすると、Windows XP コンピューターへのリモート デスクトップ接続は失敗します。
  • FIPS 設定を有効にする Windows クライアントは、Windows 2000 ターミナル サービスに接続できません。
  • この設定には、暗号化ファイル システム (EFS) で新しいファイルに使用される暗号化アルゴリズムが適用されます。既存のファイルは、影響を受けませんすると、もともと暗号化されたアルゴリズムを使用してアクセスできるように。


    注:
    • 既定では、EFS は Windows XP の rtm 版では DESX アルゴリズムを使用します。この設定を有効にした場合、EFS は 168 ビット 3 des 暗号化を使用します。
    • 既定では、Windows XP Service Pack 1 (SP1)、後で Windows XP service pack、および Windows Server 2003 で EFS アルゴリズムを使用して高度暗号化標準 (AES) 256 ビット キーの長さにします。ただし、EFS は、カーネル モードの AES の実装を使用します。この実装はこれらのプラットフォームで FIPS を検証します。これらのプラットフォームで FIPS 設定を有効にした場合、オペレーティング システムは 168 ビット キーの長さで 3 des アルゴリズムを使用します。
    • Windows Vista および Windows Server 2008 では、EFS は、256 ビット キーの AES アルゴリズムを使用します。この設定を有効にした場合は、AES の 256 が使用されます。
    • FIPS のローカル ポリシーは、パスワードのキーの暗号化には影響しません。
  • Microsoft ASP.NET などの Microsoft .NET Framework アプリケーションは、FIPS 140 に準拠するために NIST によって認定されているアルゴリズムの実装の使用のみを許可します。具体的には、のみの暗号化アルゴリズム クラスをインスタンス化することができますが、FIPS 準拠アルゴリズムを実装します。これらのクラスの名前の末尾には、"CryptoServiceProvider"または"Cng"にします。しようとする、他の暗号化アルゴリズム クラスのインスタンスを作成する「管理、」で終わる名前を持つクラスが発生する InvalidOperationException 例外が発生するようです。また、FIPS に準拠した、MD5 などではない暗号化アルゴリズムのインスタンスを作成しようも InvalidOperationException 例外が発生します。
  • FIPS 設定を有効にすると、クライアント コンピューターがインストールされている次のいずれかを持っていない限り、ClickOnce アプリケーションの検証が失敗します。
    • .NET Framework 3.5 またはそれ以降の.NET Framework のバージョン
    • .NET Framework 2.0 Service Pack 1 またはそれ以降のサービス パック
    注:
    • Visual Studio 2005 では、ClickOnce アプリケーションを上に構築されたまたは FIPS で必要なコンピューターから発行されたことはできません。 ただし、コンピューターには、.NET Framework 2.0 SP2 では、.NET Framework 3.5 sp1 では、インクルードされる場合は、Visual Studio 2005 は Winform または WPF アプリケーションを発行できます。
    • Visual Studio 2008 では、ClickOnce アプリケーションの構築または Visual Studio 2008 SP1 またはそれ以降のバージョンの Visual Studio がインストールされていない場合に発行することはできません。
  • 既定では、Windows Vista では、Windows Server 2008 で、BitLocker ドライブ暗号化機能は、他のディフューザーと 128 ビットの AES 暗号化を使用します。 この設定を有効にすると、BitLocker はディフューザーなしの 256 ビット AES 暗号化を使用します。さらに、回復パスワードを作成または Active Directory ディレクトリ サービスをバックアップできません。したがって、キーボードで回復パスワードを入力して、失われたピンやシステムの変更を回復できません。 回復パスワードを使用するには、代わりにバックアップすること回復キーをローカル ドライブまたはネットワーク共有にします。 回復キーを使用するには、USB デバイスのキーを配置します。次に、デバイスをコンピューターに接続します。
  • Windows Vista SP1 およびそれ以降のバージョンの Windows Vista および Windows Server 2008 では、暗号化オペレーター グループのメンバーのみが Windows ファイアウォールの IPsec ポリシーで暗号化の設定を編集できます。
注:
  • 有効または無効にした後、システム暗号化: 暗号化、ハッシュ、および署名のための FIPS 準拠アルゴリズムのセキュリティを設定するなど、アプリケーションで Internet Explorer の新しい設定を有効にするを再起動する必要があります。
  • このセキュリティ設定は、Windows Server 2008 と Windows Vista では、次のレジストリ値に影響します。
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
    このレジストリ値は、現在 FIPS 設定を反映します。この設定が有効の場合、値が 1 を使用します。この設定を無効にした場合、値は 0 になります。
  • このセキュリティ設定は、Windows XP および Windows Server 2003 では、次のレジストリ値に影響します。
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
    このレジストリ値は、現在 FIPS 設定を反映します。この設定が有効の場合、値が 1 を使用します。この設定を無効にした場合、値は 0 になります。