KB2733626: instructies voor het gebruik van SQL Server 2012 in de modus FIPS 140-2-compatibel

Inleiding

In dit artikel worden de instructies voor FIPS 140-2 beschreven en wordt uitgelegd hoe u Microsoft SQL Server 2012 gebruikt in de FIPS 140-2-modus.Opmerkingen

  • De voorwaarden "FIPS 140-2 compliant," "FIPS 140-2 compliance" en "FIPS 140-2-compliantiemodus" worden hier beschreven voor gebruik en duidelijkheid. Deze voorwaarden worden niet herkend of zijn voorwaarden van de overheid vastgesteld. De Verenigde Staten en de Canadese overheid erkennen de validatie van cryptografische modules met standaarden zoals FIPS 140-2 en niet voor het gebruik van cryptografische modules in een gespecificeerde of niet-gestandaardiseerde vorm. In dit artikel wordt gebruikgemaakt van ' FIPS 140-2-compatibel ', ' FIPS 140-2 compliance ' en ' FIPS 140-2-compatibele modus ', in de zin dat SQL Server 2012 alleen gebruikmaakt van een FIPS--gevalideerde sessie van algoritmen en hashing-functies in alle gevallen waarin gecodeerde of gehasheerde gegevens worden geïmporteerd in of geëxporteerd van SQL 140-2 server-gegevens. Dit houdt in dat SQL Server 2012 op een veilige manier de toetsen beheert, als dit vereist is voor FIPS 140-2-gevalideerde cryptografische modules. Het proces voor sleutelbeheer omvat ook de sleutel generatie en de opslag van sleutel.

  • We gebruiken ' gecertificeerd ' om te betekenen dat het exemplaar van het algoritme FIPS 140-2 gevalideerd is of dat het besturingssysteem FIPS 140-2-gevalideerde exemplaren van algoritmen bevat.

Meer informatie

Wat is FIPS?

FIPS (Federal Information Processing Standard) is een standaard die wordt ontwikkeld door de volgende twee overheidsinstanties:

  • De National Institute of Standards and Technology (NIST) in de Verenigde Staten

  • De beveiligingsinrichting voor communicatie beveiliging (CSE) in Canada

FIPS-standaarden worden aanbevolen of wettelijk geadviseerd voor gebruik in overheids systemen die in de Verenigde Staten en Canada worden geëxploiteerd.

Wat is FIPS 140-2?

FIPS 140-2 is een statement met de naam ' beveiligingsvereisten voor cryptografische modules '. Hiermee wordt aangegeven welke versleutelingsalgoritmen en welke hash-algoritmen worden gebruikt en hoe versleutelingssleutels worden gegenereerd en beheerd. Sommige hardware, software en processen kunnen FIPS 140-2-gecertificeerd zijn en bepaalde hardware, software en processen kunnen FIPS 140-2-compatibel zijn.

Wat is het verschil tussen de FIPS 140-2-normen en de FIPS 140-2-gecertificeerd?

SQL Server 2012 kan geconfigureerd en uitvoeren op een wijze die compatibel is met FIPS 140-2. Als u SQL Server 2012 op deze manier wilt configureren, moet SQL Server 2012 worden uitgevoerd op een besturingssysteem dat is gecertificeerd met FIPS 140-2, of op een besturingssysteem dat een cryptografische module levert die is gecertificeerd. Het verschil tussen naleving en certificering is niet subtiel. Algoritmen kunnen gecertificeerd zijn. Het is onvoldoende om een algoritme van de goedgekeurde lijsten in FIPS 140-2 te gebruiken. In plaats hiervan dient u een exemplaar van zo'n algoritme te gebruiken dat is gecertificeerd. Voor de certificering zijn testen en verificatie vereist door een door de overheid goedgekeurd evaluatie lab. Windows Server 2003, Windows XP en Windows Server 2008 bevatten de toegestane algoritmen en een exemplaar van elk van deze besturingssystemen is evaluatie lab getest en Government Certified.

Welke toepassings producten kunnen compatibel zijn met FIPS 140-2?

Alle toepassingen die gebruikmaken van versleuteling of hashing en die worden uitgevoerd op een gecertificeerde versie van Windows, kunnen voldoen aan de certificeringsinstanties van de goedgekeurde algoritmen en voldoen aan de vereisten voor sleutel generatie en sleutelbeheer door de Windows-functie te gebruiken voor sleutel generatie en sleutelbeheer, of door te voldoen aan de vereisten voor sleutel generatie en sleutelbeheer in de toepassing. Houd er rekening mee dat gebieden met een FIPS-compatibele toepassing mogelijk bestaan waarbij niet-compatibele algoritmen of processen zijn ingeschakeld. Een aantal interne processen waarmee u binnen het systeem blijft, en bepaalde externe gegevens die worden versleuteld met een gecertificeerd algoritme van een exemplaar, zijn toegestaan.

Is SQL Server 2012 altijd compatibel met FIPS 140-2?

Nee. SQL Server 2012 kan geschikt zijn voor FIPS 140-2, omdat dit op een zodanige manier kan worden geconfigureerd, zodat alleen de algoritmen van FIPS 140-2-gecertificeerde algoritmen worden gebruikt die worden aangeroepen door CryptoAPI te gebruiken voor versleuteling of door hashing in elk exemplaar waarop FIPS 140-2 compliance is vereist.

Hoe kan SQL Server 2012 worden geconfigureerd voor FIPS 140-2?

  • Vereiste besturingssysteem: U moet SQL Server 2012 installeren op een server op basis van een van de volgende besturingssystemen:

    • Windows Server 2003

    • Windows XP

    • Windows Server 2008

  • Vereisten voor Windows System Administration: De FIPS-modus moet worden ingesteld voordat SQL Server 2012 wordt gestart. SQL Server leest de instelling bij opstarten. Voer de volgende stappen uit om de FIPS-modus in te stellen:

    1. Meld u aan bij Windows als Windows-systeembeheerder.

    2. Klik op Start.

    3. Klik op Configuratiescherm.

    4. Klik op Systeembeheer.

    5. Klik op lokaal beveiligingsbeleid. Het venster lokale beveiligingsinstellingen wordt weergegeven.

    6. Klik in het navigatiedeelvenster op lokale beleidsregelsen klik vervolgens op Beveiligingsopties.

    7. Dubbelklik in het deelvenster aan de rechterkant op Systeemcryptografie: FIPS-compliant algoritmen gebruiken voor versleuteling, hashing en ondertekening.

    8. In het dialoogvenster dat wordt weergegeven, klikt u op ingeschakelden klikt u vervolgens op toepassen.

    9. Klik op OK.

    10. Sluit het venster lokale beveiligingsinstellingen .

  • Vereiste SQL Server-beheerder

    • Wanneer de SQL Server-service detecteert dat de FIPS-modus is ingeschakeld bij het opstarten, registreert SQL Server het volgende bericht in het foutenlogboek van SQL Server:

      Service Broker transport wordt uitgevoerd in de FIPS-nalevingsmodus.Daarnaast kan het volgende bericht worden geregistreerd in het Windows-logboek met gebeurtenissen:

      Als u wilt controleren of de server wordt uitgevoerd in de FIPS-modus, kunt u dit op de volgende berichten zoeken.

    • Voor dialoogvenster Beveiliging (tussen services) gebruikt de versleuteling het FIPS-gecertificeerde exemplaar van AES als de FIPS-modus is ingeschakeld. Als de FIPS-modus is uitgeschakeld, wordt RC4 gebruikt door de versleuteling.

    • Wanneer u het eindpunt van een Service Broker configureert in de FIPS-modus, moet de beheerder ' AES ' voor de Service Broker opgeven. Als het eindpunt is geconfigureerd voor RC4, wordt er een fout gegenereerd door SQL Server. Daarom wordt de transportlaag niet gestart.

Hoe wordt SQL Server 2012 beheerd in de FIPS 140-2-modus voor FIPS?

  • Wanneer de FIPS-modus is ingeschakeld in Windows, wordt in alle gebieden waarbij de gebruiker geen keuze maakt voor het versleutelen/versleutelen van een hash en hoe deze worden uitgevoerd, SQL Server 2012 uitgevoerd met behulp van FIPS 140-2. (SQL Server 2012 wordt CryptoAPI in Windows gebruikt en zal alleen de gecertificeerde exemplaren van de algoritmen gebruiken.)

  • Wanneer de FIPS-modus is ingeschakeld in Windows, wordt in alle gebieden waarvan de gebruiker of deze gebruikmaakt van versleuteling 2012, alleen FIPS 140-2-compatibele versleuteling ingeschakeld of worden versleuteling niet ingeschakeld.

  • Belangrijke informatie voor softwareontwikkelaarsOp alle gebieden waar de ontwikkelaar of de gebruiker zijn of haar eigen code voor versleuteling of hashing schrijft, moet ze worden geïnstrueerd uitsluitend CryptoAPI (en dus alleen de gecertificeerde exemplaren) te gebruiken en alleen de algoritmen te specificeren die zijn toegestaan door FIPS 140-2. Specifiek moeten ze alleen Triple DES (3DES) of AES voor versleuteling opgeven en alleen SHA-1 voor hashing.

Wat is het effect van het uitvoeren van SQL Server 2012 in de modus voor FIPS 140-2-compatibel?

  • Het gebruik van een sterkere versleuteling kan een klein effect hebben op de prestaties van processen waarvoor minder sterke versleuteling is toegestaan wanneer het proces niet wordt uitgevoerd als FIPS 140-2-compatibel.

  • De selectie van versleuteling voor SSIS (UseEncryption = True) genereert een foutbericht waarin staat dat de beschikbare versleuteling niet compatibel is met FIPS complianc en niet is toegestaan. Met andere woorden: er wordt geen versleuteling van het bericht proces uitgevoerd.

  • Het gebruik van versleuteling samen met oudere DTS is niet compatibel met FIPS 140-2. Houd er rekening mee dat de FIPS-modus van Windows niet is ingeschakeld voor DTS. Daarom is het de verantwoordelijkheid van de gebruiker om te selecteren dat de gebruiker geen versleuteling moet selecteren om deze compatibel te blijven.

  • Aangezien de meeste SQL Server 2012-versleutelings-en hashing-processen al compatibel zijn met FIPS 140-2, wordt het gebruik van de functie of het gebruik van het product niet geheel of niet beïnvloed.

Waar vind ik meer informatie over FIPS 140-2?

Voor meer informatie over de FIPS 140-2-standaard en hoe u deze kunt downloaden, gaat u naar de volgende website van NIST:

http://csrc.nist.gov/cryptval/140-2.htmMicrosoft verstrekt deze contactinformatie om u te helpen bij het aanvragen van technische ondersteuning. Deze contactinformatie kan zonder voorafgaande kennisgeving worden gewijzigd. Microsoft kan niet instaan voor de juistheid van deze contactinformatie.

Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Bedankt voor uw feedback.

Hartelijk dank voor uw feedback! Het lijkt ons een goed idee om u in contact te brengen met een van onze Office-ondersteuningsagenten.

×