Logga in med Microsoft
Logga in eller skapa ett konto.
Hej,
Välj ett annat konto.
Du har flera konton
Välj det konto som du vill logga in med.

Inledning

I den här artikeln beskrivs FIPS 140-2-instruktioner och hur du använder Microsoft SQL Server 2012 i FIPS 140-2-kompatibla läge.Kommentarer

  • Begreppen "FIPS 140-2-kompatibel", "FIPS 140-2-kompatibilitet" och "FIPS 140-2-kompatibla läge" definieras här för användning och klarhet. Dessa villkor känns inte igen eller definierade statliga villkor. Amerikas förenta stater och kanadensisk regeringar känner igen verifieringen av krypterade moduler mot standarder som FIPS 140-2 och inte användning av kryptografiska moduler på ett angivet eller följt sätt. I den här artikeln använder vi "FIPS 140-2-kompatibel", "FIPS 140-2-efterlevnad" och "FIPS 140-2-kompatibla lägen" i den mening som SQL Server 2012 endast använder FIPS-validerade instanser av algoritmer och hash-funktioner i alla instanser där krypterade eller hashade data importeras till eller exporteras från SQL Server 140-2. Det innebär också att SQL Server 2012 hanterar nycklar på ett säkert sätt, som krävs för FIPS 140-2-validerade kryptografiska moduler. Hanterings processen omfattar även både nycklar och nycklar.

  • Vi använder "certifierad" för att betyda att instansen av algoritmen är FIPS 140-2 som verifierats eller att operativ systemet innehåller FIPS 140-2-validerade instanser av algoritmer.

Mer information

Vad är FIPS?

FIPS (Federal Information Processing standard) är en standard som utvecklats av följande två myndigheter:

  • Central Institutet för standarder och teknologi (NIST) i USA

  • Kommunikations säkerhets upprättningen (CSE) i Kanada

FIPS-standarder rekommenderas eller bestäms för användning i federala IT-system i USA och Kanada.

Vad är FIPS 140-2?

FIPS 140-2 är en instruktion som heter "säkerhets krav för krypterade moduler". Det anger vilka krypteringsalgoritmer och vilka hash-algoritmer som kan användas och hur krypterings nycklar ska skapas och hanteras. Viss maskin vara, program vara och processer kan vara FIPS 140-2 Certified och viss maskin vara, program vara och processer kan vara FIPS 140-2-kompatibla.

Vad är skillnaden mellan att vara FIPS 140-2-kompatibel och är FIPS 140-2 Certified?

SQL Server 2012 kan konfigureras och köras på ett sätt som är kompatibelt med FIPS 140-2. För att kunna konfigurera SQL Server 2012 måste SQL Server 2012 på ett operativ system som är FIPS 140-2 Certified eller på ett operativ system som tillhandahåller en kryptografisk modul som är certifierad. Skillnaden mellan efterlevnad och certifiering är inte diskret. Algoritmer kan verifieras. Det är inte tillräckligt att använda en algoritm från de godkända listorna i FIPS 140-2. Istället måste du använda en instans av en sådan algoritm som är godkänd. Certifieringen kräver testning och kontroll av ett godkänt utvärderings laboratorium. Windows Server 2003, Windows XP och Windows Server 2008 innehåller de tillåtna algoritmerna och en instans av de här operativ systemen är utvärderings laboratoriet och myndighets certifierad.

Vilka program varor kan vara FIPS 140-2-kompatibla?

Alla program som utför kryptering eller mellanlagring och som körs på en certifierad version av Windows kan uppfylla kraven genom att bara använda de certifierade instanserna av de godkända algoritmerna och genom att uppfylla de krav för att skapa och hantera de grundläggande konfigurations-och hanterings kraven i programmet. Observera att områden i ett FIPS-kompatibelt program kan existera där icke-kompatibla algoritmer eller processer är aktiverade. Vissa interna processer som bevaras i systemet och vissa externa data som dessutom är krypterade av en instans av en certifierad algoritm är tillåtna.

Är SQL Server 2012 alltid FIPS 140-2-kompatibla?

Nej. SQL Server 2012 kan vara FIPS 140-2-kompatibla eftersom det kan konfigureras och köras på sådant sätt att det endast använder FIPS 140-2-certifierade algoritm instanser som anropas med CryptoAPI för kryptering eller genom hashing i varje instans där FIPS 140-2-efterlevnad krävs.

Hur kan SQL Server 2012 konfigureras för att vara FIPS 140-2-kompatibla?

  • Krav för operativ system: Du måste installera SQL Server 2012 på en server som är baserad på något av följande operativ system:

    • Windows Server 2003

    • Windows XP

    • Windows Server 2008

  • System administratörs krav för Windows: FIPS-läget måste vara inställt innan SQL Server 2012 startas. SQL Server läser upp inställningen vid start. Så här ställer du in FIPS-läget:

    1. Logga in i Windows som Windows-systemadministratör.

    2. Klicka på Start.

    3. Klicka på kontroll panelen.

    4. Klicka på administrations verktyg.

    5. Klicka på lokala säkerhets principer. Fönstret lokala säkerhets inställningar visas.

    6. I navigerings fönstret klickar du på lokala principeroch sedan på säkerhets alternativ.

    7. Dubbelklicka på system kryptografi i den högra rutan : Använd FIPS-kompatibla algoritmer för kryptering, hashing och signering.

    8. I dialog rutan som visas klickar du på aktive radoch sedan på Använd.

    9. Klicka på OK.

    10. Stäng fönstret lokala säkerhets inställningar .

  • Krav för SQL Server-administratör

    • När SQL Server-tjänsten upptäcker att FIPS-läget är aktiverat vid start loggar SQL Server följande meddelande i SQL Server-felloggen:

      Transporten för Service Broker körs i FIPS-kompatibilitetsläge.Dessutom kan du hitta följande meddelande som är inloggad i Windows-händelseloggen:

      Du kan kontrol lera att servern körs i FIPS-läge genom att leta efter dessa meddelanden.

    • För dialog säkerhet (mellan tjänster) använder krypteringen FIPS-certifierad instans av AES om FIPS-läget är aktiverat. Om FIPS-läget är inaktiverat använder kryptering RC4.

    • När du konfigurerar en slut punkt för Service Broker i FIPS-läge måste administratören ange "AES" för Service Broker. Om slut punkten är konfigurerad till RC4 genereras ett fel. Därför kommer transport lagret inte att starta.

Hur fungerar SQL Server 2012 i FIPS 140-2-kompatibelt läge?

  • När FIPS-läget i Windows är aktiverat i alla områden där användaren inte har möjlighet att välja om kryptering/hash och hur det ska göras kommer SQL Server 2012 att fungera med FIPS 140-2. (SQL Server 2012 kommer att använda CryptoAPI i Windows och kommer endast att använda de certifierade förekomsterna av algoritmerna.)

  • Med FIPS-läget i Windows aktiverat, i alla områden där användaren kan välja att använda kryptering, kommer SQL Server 2012 antingen att aktivera endast FIPS 140-2-kompatibel kryptering eller inte aktivera någon kryptering.

  • Viktig information för programutvecklareI alla områden där utvecklaren eller användaren skriver sin egen kod för kryptering eller hash måste de anges för att endast använda CryptoAPI (och därför bara de certifierade instanserna) och endast för att ange algoritmerna som tillåts av FIPS 140-2. Specifikt får de bara ange tredubbel DES (3DES) eller AES för kryptering och endast SHA-1 för hashing.

Vad händer med att köra SQL Server 2012 i FIPS 140-2-kompatibelt läge?

  • Användningen av starkare kryptering kan påverka prestanda i de processer för vilka mindre stark kryptering tillåts när processen inte fungerar som FIPS 140-2-kompatibla.

  • Valet av kryptering för SSIS (UseEncryption = true) ger upphov till ett fel meddelande som anger att den tillgängliga krypteringen är inkompatibel med FIPS-efterlevnad och att den inte är tillåten. Ingen kryptering av meddelande processen utförs med andra ord.

  • Användning av kryptering tillsammans med äldre DTS är inte kompatibelt med FIPS 140-2. Observera att FIPS-läget i Windows inte är markerat. Därför är det ansvarigt för användaren att välja ingen kryptering för att vara kompatibel.

  • Eftersom de flesta SQL Server 2012-krypterings-och hash-processerna redan är FIPS 140-2-kompatibla är det möjligt att köra full efterlevnad (med FIPS-läget i Windows aktiverat) för att få en liten eller ingen effekt på produktens användning eller prestanda.

Var kan jag läsa mer om FIPS 140-2?

Mer information om FIPS 140-2-standarden och hur du hämtar det finns på följande NIST webbplats:

http://csrc.nist.gov/cryptval/140-2.htm Kontaktinformationen för andra företag i denna artikel kan hjälpa dig att hitta den tekniska support du behöver. Denna kontaktinformation kan ändras utan föregående meddelande. Microsoft garanterar inte på något sätt att kontaktinformationen är korrekt.

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Upptäck Community

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.

Fråga Microsoft-communityn

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Hade du nytta av den här informationen?

Hur nöjd är du med språkkvaliteten?
Vad påverkade din upplevelse?
Genom att trycka på skicka, kommer din feedback att användas för att förbättra Microsofts produkter och tjänster. IT-administratören kan samla in denna data. Sekretesspolicy.

Tack för din feedback!

×