Instruções para o uso de 2014 SQL Server no modo FIPS 140-2-compatível

IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.

Clique aqui para ver a versão em Inglês deste artigo: 3141890
Introdução
Este artigo discute as instruções para federais de processamento padrão publicação das informações 140-2 (FIPS 140-2) e como usar o Microsoft SQL Server 2014 no modo FIPS 140-2-compatível.

Observações:

  • Os termos "FIPS 140-2 compatível com," "Conformidade com FIPS 140-2" e "FIPS 140-2 – modo compatível com" são definidos aqui para fins de esclarecimento e uso. Estes termos não são reconhecidos ou definido termos do governo. Os governos dos Estados Unidos e do Canadá reconhecem a validação dos módulos criptográficos contra padrões como FIPS 140-2, mas não o uso de módulos de criptografia em um especificado ou maneira compatível. Neste artigo, nós usamos "FIPS 140-2 compatível com," "Conformidade com FIPS 140-2," e "FIPS 140-2 – modo compatível com" no sentido de que 2014 do SQL Server usa apenas FIPS 140-2-validado instâncias de algoritmos e as funções de hash em todas as instâncias de dados criptografados ou hash são importados ou exportados do SQL Server de 2014. Além disso, isso significa que o SQL Server 2014 gerencia chaves de maneira segura, conforme a necessidade de módulos criptográficos da FIPS 140-2-validados. O processo de gerenciamento de chaves também inclui a geração de chaves e o armazenamento de chave.
  • Nós usamos "certificação" aqui significa que a instância do algoritmo é FIPS 140-2 – validado ou que o sistema operacional contém instâncias FIPS 140-2 – validadas de algoritmos.

O que é FIPS?

Federal Information Processing Standard (FIPS) é um padrão desenvolvido pelos órgãos do dois governo seguintes:

  • O Instituto Nacional de padrões e tecnologia (NIST) nos Estados Unidos
  • O estabelecimento de segurança de comunicações (CSE) no Canadá

Os padrões FIPS são recomendados ou obrigatórios para uso em sistemas de TI operado para governo federal nos Estados Unidos e no Canadá.

O que é o FIPS 140-2?

FIPS 140-2 é uma instrução que é intitulada "Requisitos de segurança para módulos de criptografia". Especifica quais algoritmos de criptografia e os algoritmos de hash podem ser usados e como as chaves de criptografia devem ser gerados e gerenciados. Alguns hardwares, softwares e processos que contenham os algoritmos podem ser considerados FIPS 140-2 certified e outros hardwares, softwares e processos que chamam os algoritmos corretos podem ser FIPS 140-2 – compatível.

Qual é a diferença entre sendo FIPS 140-2 – conformidade e sendo FIPS 140-2 certificados?

2014 do SQL Server podem ser configurados e executados de uma maneira que seja compatível com FIPS 140-2. Para configurar o SQL Server 2014 dessa maneira, 2014 do SQL Server deve ser executado em um sistema operacional que é FIPS 140-2 certified ou em um sistema operacional que fornece módulos criptográficos certificados. A diferença entre a conformidade e certificação não é sutil. Algoritmos podem ser certificados. É insuficiente para usar um algoritmo só porque está listado nas listas de aprovados no FIPS 140-2. Em vez disso, você precisa usar uma instância de um algoritmo que é certificada. Isso significa que a instância é validado do governo. A certificação requer testes e verificação de um laboratório de avaliação aprovado pelo governo dos Estados Unidos ou Canadá. Windows Server 2012 e versões posteriores e também para o Windows 8 e versões posteriores contêm a instância certificada de cada algoritmos permitidos. Mais importante, uma chamada para cada um desses algoritmos fornece apenas a ocorrência de certificados.

Quais produtos de aplicativo podem ser FIPS 140-2 – compatível?

Todos os aplicativos que executam criptografia ou hash e que são executados em uma versão de certificados do Windows pode ser compatível usando somente as certificado instâncias de algoritmos aprovados e em conformidade com os requisitos de gerenciamento de chaves e a geração de chave. Você pode fazer isso por um dos seguintes métodos:

  • Usando a função do Windows para geração de chave e gerenciamento de chaves
  • Conformidade com requisitos de geração de chave e gerenciamento de chaves dentro do aplicativo

Lembre-se de que um aplicativo compatível com FIPS pode conter áreas em que os algoritmos ou processos estão habilitados. Por exemplo, alguns processos internos que permanecem no sistema e alguns dados externos Além disso será criptografado por uma instância do algoritmo certificados são permitidos.

É SQL Server 2014 sempre FIPS 140-2 – compatível?

Não. SQL Server 2014 pode ser FIPS 140-2 compatível porque podem ser configurado e executado de forma que ele usa apenas as instâncias de 140-2-certified algoritmo FIPS são chamadas usando CryptoAPI para criptografia ou hash em cada instância em que a conformidade com FIPS 140-2 é necessária.

Como 2014 do SQL Server pode ser configurado para ser FIPS 140-2 – compatível?

Requisitos do sistema operacional

Você deve instalar o SQL Server 2014 em um servidor baseado em um dos seguintes sistemas operacionais:

  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows 8
  • Windows 8.1
  • Windows 10

Necessidade de administração de sistema do Windows

O modo FIPS deve ser definido antes de 2014 SQL Server é iniciado. SQL Server lê a configuração na inicialização. Para definir o modo FIPS, siga estas etapas:

  1. Faça logon Windows como um administrador de sistema do Windows.
  2. Clique em Iniciar.
  3. Clique em Painel de controle.
  4. Clique em Ferramentas administrativas. (Talvez você precise alternar para Ícones grandes para a próxima etapa.)
  5. Clique em diretiva de segurança Local. O Configurações locais de segurança janela é exibida.
  6. No painel de navegação, clique em Diretivas locaise, em seguida, clique em Opções de segurança.
  7. No painel à direita, clique duas vezes em criptografia de sistema: algoritmos de uso – compatíveis com FIPS para criptografia, hash e assinatura.
  8. Na caixa de diálogo que aparece, clique em ativadoe, em seguida, clique em Aplicar.
  9. Clique em OK.
  10. Fechar o Configurações locais de segurança janela.

Requisito de administrador do SQL Server

  • Quando o serviço SQL Server (quando um ponto de extremidade está configurado para espelhamento de banco de dados ou o Service Broker) detecta que o modo FIPS é ativado durante a inicialização, o SQL Server registra a seguinte mensagem no log de erros do SQL Server:

    Transporte do agente de serviços está sendo executado no modo de conformidade FIPS.

    Além disso, você verá a seguinte mensagem registrada no log de eventos do Windows:

    Transporte de espelhamento de banco de dados está sendo executado no modo – conformidade com FIPS.

    Você pode verificar se o servidor está executando no modo FIPS procurando por essas mensagens.

  • Para segurança de diálogo (entre serviços), a criptografia usa a instância certificados pelo FIPS do AES Advanced Encryption Standard () se o modo FIPS é ativado. Se o modo FIPS estiver desabilitado, a criptografia usa RC4.
  • Quando você definir um ponto de extremidade do service broker no modo FIPS, o administrador deve especificar "AES" para o agente de serviços. Se o ponto de extremidade é configurado para RC4, o SQL Server irá gerar um erro. Portanto, a camada de transporte não será iniciado.

Como o SQL Server 2014 for operado em FIPS 140-2 – modo compatível com?

  • Com o modo FIPS no Windows ativado, em todas as áreas nas quais o usuário não tem nenhuma opção sobre se deve criptografar ou aplicar hash e como será feito, SQL Server 2014 será executado em conformidade com FIPS 140-2. (SQL Server 2014 usará CryptoAPI no Windows e usará apenas as certificados instâncias dos algoritmos de.)
  • Com o modo FIPS no Windows ativado, em todas as áreas nas quais o usuário tem a opção de se usar a criptografia, SQL Server 2014 ou permitirá apenas FIPS 140-2 – criptografia compatível com ou não permitirá qualquer criptografia.
  • Informações importantes para os desenvolvedores de software em todas as áreas em que o desenvolvedor ou o usuário grava seu próprio código de criptografia ou hash deve ser instruídos a usar somente CryptoAPI (e, portanto, apenas as instâncias de certificados) e para especificar apenas os algoritmos que são permitidos pelo FIPS 140-2. Da lista oficial de Instituto Nacional de padrões e tecnologia (NIST) de FIPS 140-2 aprovado algoritmos criptográficos, vá para anexos A, C e D no http://csrc.nist.gov/Groups/STM/cmvp/Standards.HTML.

Qual é o efeito de usar o FIPS 140-2 – modo compatível com SQL Server 2014?

  • O uso de criptografia de alta segurança pode ter um pequeno impacto no desempenho para esses processos para que menos forte criptografia é permitida quando o processo não está operando como FIPS 140-2 – compatível.
  • A seleção de criptografia para SSIS (UseEncryption = True) irá gerar uma mensagem de erro afirmando que a criptografia disponível é incompatível com conformidade com FIPS e não é permitida. Em outras palavras, é executada sem criptografia do processo de mensagem.
  • O uso de criptografia com o DTS herdado não é compatível com FIPS 140-2. Lembre-se de que para DTS, modo FIPS no Windows não é verificado. Portanto, é responsabilidade do usuário para não selecionar nenhuma criptografia permaneçam compatíveis.
  • Como a maioria dos SQL Server 2014 criptografia e hash processos já são FIPS 140-2 – compatível, funcionando em conformidade total (isto é, com o modo FIPS no Windows ativado) terá pouco ou nenhum efeito sobre o uso ou desempenho do produto.

Onde posso aprender mais sobre o FIPS 140-2?

Para obter mais informações sobre o padrão FIPS 140-2, veja a seguinte publicação do NIST:

Referências
Aviso de isenção de informações de terceiros

A Microsoft fornece informações de contato de terceiros para ajudá-lo a encontrar suporte técnico. Essas informações de contato podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão dessas informações de contato de terceiros.

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 3141890 - Última Revisão: 02/13/2016 02:10:00 - Revisão: 2.0

Microsoft SQL Server 2014 Business Intelligence, Microsoft SQL Server 2014 Developer, Microsoft SQL Server 2014 Enterprise, Microsoft SQL Server 2014 Enterprise Core, Microsoft SQL Server 2014 Express, Microsoft SQL Server 2014 Standard, Microsoft SQL Server 2014 Web

  • kbhowto kbexpertiseadvanced kbinfo kbmt KB3141890 KbMtpt
Comentários