Instrukcje dotyczące korzystania z programu SQL Server 2014 w trybie FIPS 140-2-zgodnych

Wprowadzenie

W tym artykule omówiono instrukcje dotyczące Federalnej przetwarzania standardowych publikowanie informacji 140-2 (FIPS 140-2) i jak używać 2014 Microsoft SQL Server w trybie FIPS 140-2-zgodnych.

Uwagi

  • Terminy "FIPS 140-2 zgodnych z" "Zgodność ze standardem FIPS 140-2" i "Tryb FIPS 140-2-zgodnych" są zdefiniowane w tym miejscu użytkowania i przejrzystości. Niniejsze warunki nie są rozpoznawane lub określone warunki rządu. Rząd Stanów Zjednoczonych i Kanady rozpoznaje sprawdzania poprawności modułów kryptograficznych przeciwko standardów, takich jak FIPS 140-2, lecz nie dotyczą stosowania modułów kryptograficznych w określonym lub sposób zgodność. W tym artykule używamy "Ze standardem FIPS 140-2 zgodnych z" "Zgodność ze standardem FIPS 140-2," i "FIPS 140-2 – zgodny z trybu" w tym sensie, że 2014 SQL Server używa tylko FIPS 140-2-sprawdzone wystąpień algorytmów i funkcje mieszania we wszystkich przypadkach, w których dane zaszyfrowane lub mieszanych jest przywożonych lub eksportowane z programu SQL Server 2014. Ponadto oznacza to, że program SQL Server 2014 zarządza klucze w bezpieczny sposób, zgodnie z wymaganiami FIPS 140-2-sprawdzone modułów kryptograficznych. Proces zarządzania kluczami obejmuje również magazynu kluczy i generowania kluczy.

  • Używamy "kwalifikowany" w tym polu oznacza, że wystąpienie algorytmu FIPS 140-2-sprawdzone lub że system operacyjny zawiera FIPS 140-2-sprawdzone wystąpień algorytmy.


Co to jest FIPS?

Federalny informacji Processing Standard (FIPS) to standard opracowany przez Rząd dwóch następujących organów:

  • Państwowy Instytut norm i technologii (NIST) w Stanach Zjednoczonych

  • Ustanowienie zabezpieczeń komunikacji (rozszerzenie klienta) w Kanadzie


Standardy FIPS są zalecane lub upoważnione do użytku w obsługiwane Rząd Federalny systemów informatycznych w Stanach Zjednoczonych i Kanadzie.

Co to jest FIPS 140-2?

FIPS 140-2 jest stwierdzenie, że jest zatytułowany "Wymagania zabezpieczeń modułów kryptograficznych." Określa, które algorytmy szyfrowania i które algorytmy mieszania może służyć i jak klucze szyfrowania są generowane i zarządzane. Niektóre sprzętu, oprogramowania i procesów, które zawierają algorytmów można uznać za FIPS 140-2 certified i innego sprzętu, oprogramowania i procesy, które wywołują odpowiednie algorytmy mogą być FIPS 140-2-zgodnych.

Jaka jest różnica między jest zgodny z FIPS 140-2-zgodnych i jest zgodny z FIPS 140-2 certified?

SQL Server 2014 można konfigurować i działać w sposób, który jest zgodny z FIPS 140-2. Aby skonfigurować SQL Server 2014 w ten sposób, SQL Server 2014 należy uruchomić system operacyjny, który jest FIPS 140-2 certified lub systemu operacyjnego, który zawiera moduły kryptograficzne, które są autoryzowane jako zgodne. Różnica między zgodności i certyfikacji nie jest subtelne. Algorytmy mogą być certyfikowane. Jest niewystarczająca używać algorytmu, po prostu dlatego, że wymienione na listach zatwierdzonych w FIPS 140-2. Zamiast tego należy użyć wystąpienia takich algorytm, który posiada certyfikat. Oznacza to, że wystąpienie jest Rząd sprawdzania poprawności. Certyfikacja wymaga testowania i weryfikacji przez laboratorium oceny zatwierdzony przez Rząd Stanów Zjednoczonych lub Kanady. Windows Server 2012 i nowszych wersjach i również Windows 8 i nowsze wersje zawierają uwierzytelnione wystąpienie każdego dozwolonych algorytmów. Co najważniejsze, tylko uwierzytelnione wystąpienie zawiera wywołanie każdej z tych algorytmów.

Stosowanie produktów, które mogą być FIPS 140-2-zgodnych?

Wszystkie aplikacje, które szyfrowania lub mieszania i uruchomić na certyfikowanych wersji systemu Windows może być zgodny z przy użyciu certyfikowanego wystąpień algorytmy zatwierdzonych i spełniających wymagania generowanie klucza i zarządzania. Można to zrobić przez jedną z następujących metod:

  • Za pomocą funkcji Windows na generowanie kluczy i zarządzania kluczami

  • Spełniających wymagania generowanie klucza i zarządzania w aplikacji


Należy pamiętać, że zgodne ze standardem FIPS aplikacji mogą zawierać obszary, w których niezgodnych algorytmów lub procesy są włączone. Na przykład niektóre wewnętrzne procesy, które pozostają w ramach systemu i niektórych danych zewnętrznych, który ma być ponadto zaszyfrowane przez wystąpienie kwalifikowanego algorytmu są dozwolone.

SQL Server 2014 jest zawsze FIPS 140-2-zgodnych?

Nie. SQL Server 2014 mogą być zgodne z FIPS 140-2, ponieważ mogą być skonfigurowane i uruchamiane w taki sposób, że używa tylko FIPS 140-2 certified algorytm wystąpienia, które są wywoływane za pomocą interfejsu CryptoAPI szyfrowania lub mieszania w każdym przypadku, w którym jest wymagana zgodność ze standardem FIPS 140-2.

Jak SQL Server 2014 mogą być skonfigurowane jako FIPS 140-2-zgodnych?

Wymagania systemu operacyjnego

SQL Server 2014 należy zainstalować na serwerze, na którym jest oparty na jednym z następujących systemów operacyjnych:

  • Windows Server 2012

  • Windows Server 2012 R2

  • Windows 8

  • Windows 8.1

  • Windows 10


Wymaganie administracji systemu Windows

Tryb FIPS musi być ustawiona przed 2014 serwera SQL jest uruchomiona. SQL Server odczytuje ustawienia podczas uruchamiania. Aby ustawić tryb FIPS, wykonaj następujące kroki:

  1. Zaloguj się do systemu Windows jako administrator systemu Windows.

  2. Kliknij przycisk Start.

  3. Kliknij polecenie Panel sterowania.

  4. Kliknij ikonę Narzędzia administracyjne. (Należy przełączyć się do Dużych ikon na kolejny krok.)

  5. Kliknij polecenie Zasady zabezpieczeń lokalnych. Zostanie wyświetlone okno Ustawienia zabezpieczeń lokalnych .

  6. W okienku nawigacji kliknij węzeł Zasady lokalne, a następnie kliknij przycisk Opcje zabezpieczeń.

  7. W okienku po prawej stronie kliknij dwukrotnie Kryptografia systemu: algorytmy użycia – zgodny z FIPS dla celów szyfrowania, mieszania i podpisywania.

  8. W wyświetlonym oknie dialogowym kliknij opcję włączone, a następnie kliknij przycisk Zastosuj.

  9. Kliknij przycisk OK.

  10. Zamknij okno Ustawienia zabezpieczeń lokalnych .


Wymaganie administratora programu SQL Server

  • Gdy usługa SQL Server (jeśli punktem końcowym jest skonfigurowany dla Service Broker lub dublowania bazy danych) wykryje, że podczas uruchamiania jest włączony tryb FIPS, SQL Server rejestruje następujący komunikat w dzienniku błędów programu SQL Server:

    Transport Service Broker jest uruchomiony w trybie zgodności z FIPS.


    Ponadto może znaleźć następujący komunikat rejestrowane w dzienniku zdarzeń systemu Windows:

    Transport lustrzane bazy danych jest uruchomiony w trybie FIPS — zgodności.


    Można sprawdzić, czy serwer działa w trybie FIPS szukając tych komunikatów.

  • W oknie dialogowym zabezpieczeń (między służbami) szyfrowanie używa wystąpienia certyfikatem FIPS z Advanced Encryption Standard (AES), jeśli włączony jest tryb FIPS. Jeśli tryb FIPS jest wyłączony, szyfrowanie używa RC4.

  • Podczas konfigurowania punktu końcowego usługi broker w trybie FIPS, administrator musi określić "AES" dla service broker. Jeśli punkt końcowy jest skonfigurowany do szyfrowania RC4, program SQL Server wygeneruje błąd. W związku z tym Warstwa transportu nie zostanie uruchomiona.

Jak działa program SQL Server 2014 w trybie FIPS 140-2-zgodnych

  • W trybie FIPS Windows włączone we wszystkich obszarach, w których użytkownik nie ma wyboru o tym, czy do szyfrowania lub mieszania i jak to zrobić, SQL Server 2014 będzie działał zgodnie z FIPS 140-2. (SQL Server 2014 będzie używać interfejsu CryptoAPI w systemie Windows i będzie używać certyfikowanego wystąpień algorytmy).

  • W trybie FIPS Windows włączone, we wszystkich obszarach, w których użytkownik ma do wyboru czy użyć szyfrowania, SQL Server 2014 będzie albo włączyć tylko FIPS 140-2 – szyfrowanie zgodne ze standardem lub nie umożliwia szyfrowania.

  • Ważne informacje dla deweloperów oprogramowania we wszystkich obszarach, w których dewelopera użytkownik zapisuje lub ich własnych kod szyfrowania lub mieszania, musi być wyznaczeni do używać tylko CryptoAPI (i dlatego kwalifikowanego wystąpień) i określić algorytmy, które są dozwolone przez FIPS 140-2. Do urzędowego wykazu National Institute of Standards and Technology (NIST) FIPS 140-2 zatwierdzone algorytmy kryptograficzne, przejdź do załączników A, C i D w http://csrc.nist.gov/groups/STM/cmvp/standards.html.

Co to jest uruchomiony program SQL Server 2014 w trybie FIPS 140-2-zgodnych efekt?

  • Wykorzystanie silniejsze szyfrowanie może mieć niewielki wpływ na wydajność tych procesów, dla których mniej silne szyfrowanie jest dozwolone, gdy proces nie działa jako FIPS 140-2-zgodnych.

  • Wybór szyfrowania dla SSIS (UseEncryption = True) wygeneruje komunikat o błędzie, informujący, że dostępne szyfrowania nie jest zgodna z FIPS zgodności i nie jest dozwolone. Innymi słowy odbywa się bez szyfrowania proces wiadomości.

  • Korzystanie z szyfrowania z DTS starszych nie jest zgodny z FIPS 140-2. Należy pamiętać, że dla DTS, tryb FIPS w systemie Windows nie jest zaznaczone. Dlatego odpowiedzialność użytkownika, wybierz opcję bez szyfrowania, aby zachować zgodność.

  • Ponieważ większość SQL Server 2014 szyfrowania i mieszania procesy są już FIPS 140-2-zgodnych, działa przy pełnej zgodności (to jest w trybie FIPS Windows włączona) będzie miał niewielki lub żaden wpływ na wykorzystywania lub funkcjonowania produktu.

Gdzie można dowiedzieć się więcej na temat FIPS 140-2?

Aby uzyskać więcej informacji o standard FIPS 140-2 Zobacz po opublikowaniu NIST:

Wymagania zabezpieczeń modułów kryptograficznych

Powiązane artykuły

Firma Microsoft udostępnia informacje kontaktowe innych firm, aby ułatwić uzyskanie niezbędnej pomocy technicznej. Niniejsze informacje kontaktowe mogą ulec zmianie bez powiadomienia. Microsoft nie gwarantuje poprawności niniejszych informacji kontaktowych innych firm.

Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów firmy Microsoft

Czy te informacje były pomocne?

Dziękujemy za opinię!

Dziękujemy za opinię! Wygląda na to, że połączenie Cię z jednym z naszych agentów pomocy technicznej pakietu Office może być pomocne.

×