Instruções para usar o SQL Server 2012 no modo FIPS 140-2-compatível

IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.

Clique aqui para ver a versão em Inglês deste artigo: 2733626
Introdução
Este artigo discute as instruções do FIPS 140-2 e como usar o Microsoft SQL Server 2012 no modo FIPS 140-2-compatível.

Observações:
  • Os termos "FIPS 140-2 compatível com," "Conformidade com FIPS 140-2" e "FIPS 140-2-modo compatível com" são definidos aqui para fins de esclarecimento e uso. Estes termos não são reconhecidos ou definido termos do governo. Os governos dos Estados Unidos e do Canadá reconhecem a validação dos módulos criptográficos contra padrões como FIPS 140-2 e não o uso de módulos de criptografia em um especificado ou maneira compatível. Neste artigo, nós usamos "FIPS 140-2-compatível," "Conformidade com FIPS 140-2," e "FIPS 140-2-modo compatível com" no sentido de que 2012 do SQL Server usa apenas FIPS 140-2-validado instâncias de algoritmos e as funções de hash em todas as instâncias de dados criptografados ou hash são importados ou exportados do SQL Server 2012. Além disso, isso significa que o SQL Server 2012 gerenciar chaves de maneira segura, como é necessária para módulos criptográficos da FIPS 140-2-validados. O processo de gerenciamento de chaves também inclui a geração de chaves e o armazenamento de chave.
  • Nós usamos "certificação" aqui significa que a instância do algoritmo é FIPS 140-2 validado ou que o sistema operacional contém instâncias FIPS 140-2-validadas dos algoritmos.
Mais Informações

O que é FIPS?

Federal Information Processing Standard (FIPS) é um padrão desenvolvido pelos órgãos do dois governo seguintes:
  • O Instituto Nacional de padrões e tecnologia (NIST) nos Estados Unidos
  • O estabelecimento de segurança de comunicações (CSE) no Canadá
Os padrões FIPS são recomendados ou obrigatórios para uso em sistemas de TI operado para governo federal nos Estados Unidos e no Canadá.

O que é o FIPS 140-2?

FIPS 140-2 é uma instrução que é intitulada "Requisitos de segurança para módulos de criptografia". Especifica quais algoritmos de criptografia e os algoritmos de hash podem ser usados e como as chaves de criptografia devem ser gerados e gerenciados. Alguns processos, o software e o hardware podem ser FIPS 140-2 certified e alguns hardwares, softwares e processos podem ser FIPS 140-2 compatível.

Qual é a diferença entre sendo compatível com o FIPS 140-2 e sendo FIPS 140-2 certificados?

SQL Server 2012 podem ser configurados e executados de uma maneira que seja compatível com FIPS 140-2. Para configurar o SQL Server 2012 dessa maneira, o SQL Server 2012 deve executar em um sistema operacional que é FIPS 140-2 certified ou em um sistema operacional que fornece um módulo de criptografia é certificado. A diferença entre a conformidade e certificação não é sutil. Algoritmos podem ser certificados. É insuficiente para usar um algoritmo de listas aprovadas no FIPS 140-2. Em vez disso, você precisa usar uma instância de um algoritmo que é certificada. A certificação requer testes e verificação de um laboratório de avaliação aprovado pelo governo. Windows Server 2003, Windows XP e Windows Server 2008 contêm os algoritmos permitidos e uma instância de cada um desses sistemas operacionais é o laboratório de avaliação testada e certificada do governo.

Quais produtos de aplicativo podem ser FIPS 140-2 compatível?

Todos os aplicativos que executam criptografia ou hash que e executado em um certificado pode ser compatível com versão do Windows, usando apenas as instâncias certificadas dos algoritmos aprovados por cumprir com os requisitos de gerenciamento de chaves e a geração de chave usando o Windows funcionará para geração de chave e chave managementor, cumprir com os requisitos dos aplicativos de geração de chave e gerenciamento de chaves. Lembre-se de que áreas em um aplicativo compatível com FIPS podem existir onde os algoritmos não compatíveis ou processos são ativados. Por exemplo, alguns processos internos que permanecem no sistema e alguns dados externos Além disso será criptografado por uma instância do algoritmo certificados são permitidos.

É o SQL Server 2012 sempre FIPS 140-2 compatível?

Não. SQL Server 2012 pode ser FIPS 140-2 compatível porque podem ser configurado e executado de forma que ele usa apenas as instâncias de 140-2-certified algoritmo FIPS são chamadas usando CryptoAPI para criptografia ou hash em cada instância em que a conformidade com FIPS 140-2 é necessária.

Como o SQL Server 2012 pode ser configurado para ser FIPS 140-2 compatível?

  • Requisitos do sistema operacional: Você deve instalar o SQL Server 2012 em um servidor baseado em um dos seguintes sistemas operacionais:
    • Windows Server 2003
    • Windows XP
    • Windows Server 2008
  • Necessidade de administração de sistema do Windows: O modo FIPS deve ser definido antes de iniciar o SQL Server 2012. SQL Server lê a configuração na inicialização. Para definir o modo FIPS, siga estas etapas:
    1. Faça logon Windows como um administrador de sistema do Windows.
    2. Clique em Iniciar.
    3. Clique em Painel de controle.
    4. Clique em Ferramentas administrativas.
    5. Clique em diretiva de segurança Local. É exibida a janela de Configurações locais de segurança .
    6. No painel de navegação, clique em Diretivas locaise, em seguida, clique em Opções de segurança.
    7. No painel à direita, clique duas vezes emcriptografia de sistema: usar compatível com algoritmos FIPS para criptografia, hash e assinatura.
    8. Na caixa de diálogo que aparece, clique em ativadoe, em seguida, clique em Aplicar.
    9. Clique em OK.
    10. Feche a janela de Configurações locais de segurança .
  • Requisito de administrador do SQL Server
    • Quando o serviço SQL Server detecta que o modo FIPS é ativado durante a inicialização, o SQL Server registra a seguinte mensagem no log de erros do SQL Server:
      Transporte do agente de serviços está sendo executado no modo de conformidade FIPS.

      Além disso, você verá a seguinte mensagem registrada no log de eventos do Windows:

      Transporte de espelhamento de banco de dados está sendo executado no modo de conformidade FIPS.

      Você pode verificar se o servidor está executando no modo FIPS procurando por essas mensagens.
    • Para segurança de diálogo (entre serviços), a criptografia usa a instância do AES certificada pelo FIPS se o modo FIPS é ativado. Se o modo FIPS estiver desabilitado, a criptografia usa RC4.
    • Quando você definir um ponto de extremidade do service broker no modo FIPS, o administrador deve especificar "AES" para o agente de serviços. Se o ponto de extremidade é configurado para RC4, o SQL Server irá gerar um erro. Portanto, a camada de transporte não será iniciado.

Como o SQL Server 2012 for operado em FIPS 140-2-modo compatível com?

  • Com o modo FIPS no Windows ativado em todas as áreas em que o usuário não tem nenhuma opção de criptografar/hash e como isso será feito, o SQL Server 2012 executará em conformidade com FIPS 140-2. (O SQL Server 2012 usará CryptoAPI no Windows e usará apenas as certificados instâncias dos algoritmos de.)
  • Com o modo FIPS no Windows ativado em todas as áreas em que o usuário tem a opção de se usar a criptografia, SQL Server 2012, permitirá que somente FIPS 140-2 compatível com criptografia ou não permitirá qualquer criptografia.
  • Informações importantes para os desenvolvedores de softwareEm todas as áreas em que o desenvolvedor ou o usuário grava seu próprio código de criptografia ou hash, eles devem ser instruídos para usar somente CryptoAPI (e, portanto, apenas as instâncias de certificados) e para especificar apenas os algoritmos que são permitidos pelo FIPS 140-2. Especificamente, eles devem especificar apenas Triple DES (3DES) ou AES para criptografia e apenas SHA-1 para o hash.

Qual é o efeito de usar FIPS 140-2-modo compatível com o SQL Server 2012?

  • O uso de criptografia de alta segurança pode ter um pequeno impacto no desempenho para esses processos para que menos forte criptografia é permitida quando o processo não está operando como FIPS 140-2 compatível.
  • A seleção de criptografia para SSIS (UseEncryption = True) irá gerar uma mensagem de erro afirmando que a criptografia disponível é incompatível com conformidade com FIPS e não é permitida. Em outras palavras, é executada sem criptografia do processo de mensagem.
  • O uso de criptografia com o DTS herdado não é compatível com FIPS 140-2. Lembre-se de que para DTS, modo FIPS no Windows não é verificado. Portanto, é responsabilidade do usuário para não selecionar nenhuma criptografia permaneçam compatíveis.
  • Como a maioria dos SQL Server 2012 criptografia e hash processos já são FIPS 140-2 compatível, em execução a total conformidade (isto é, com o modo FIPS no Windows ativada) terá pouco ou nenhum efeito sobre o uso ou desempenho do produto.

Onde posso aprender mais sobre o FIPS 140-2?

Para obter mais informações sobre o FIPS 140-2 padrão e como baixá-lo, vá para o seguinte site do NIST:A Microsoft fornece informações de contato de terceiros para ajudá-lo a encontrar suporte técnico. Essas informações de contato podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão dessas informações de contato de terceiros.

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 2733626 - Última Revisão: 01/10/2016 06:49:00 - Revisão: 2.0

  • kbtshoot kbexpertiseinter kbsurveynew kbmt KB2733626 KbMtpt
Comentários