Instruções de utilização do SQL Server 2014 no modo FIPS 140-2-compatível

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

3141890
Introdução
Este artigo aborda as instruções para Federal de processamento padrão publicação de informação 140-2 (FIPS 140-2) e como utilizar o Microsoft SQL Server 2014 no modo FIPS 140-2-compatíveis.

Notas

  • Os termos "FIPS 140-2, compatíveis com" "Conformidade FIPS 140-2" e "FIPS 140-2 compatíveis com o modo" são definidos aqui para utilização e de clareza. Estes termos não são reconhecidos ou definição de termos de governo. Os Governos dos Estados Unidos e Canadá reconhecem a validação de módulos criptográficos contra normas como FIPS 140-2, mas não a utilização de módulos criptográficos especificado ou de forma compatível. Neste artigo, utilizamos "FIPS 140-2, compatíveis com" "Conformidade com FIPS 140-2," e "FIPS 140-2 compatíveis com o modo" no sentido dessa 2014 de servidor SQL utiliza apenas FIPS 140-2-validado as instâncias de algoritmos e funções hash em todas as instâncias em que os dados encriptados ou hash são importados para ou exportados do SQL Server 2014. Além disso, isto significa que o SQL Server 2014 gere chaves de uma forma segura, como exigido de módulos criptográficos de 140-2-validados FIPS. O processo de gestão de chaves também inclui a geração de chaves e armazenamento de chaves.
  • Utilizamos "certificados" aqui entende-se que a instância do algoritmo é FIPS 140-2 – validados ou que o sistema operativo contenha FIPS 140-2 – validados instâncias algoritmos.

O que é FIPS?

Federal Information Processing Standard (FIPS) é um padrão desenvolvido pelos organismos de duas administração seguintes:

  • O nacional Institute of Standards and Technology (NIST) nos Estados Unidos
  • O estabelecimento de segurança de comunicações (CSE) no Canadá

Normas FIPS são recomendadas ou mandatadas para utilização em sistemas de TI-Governo federal explorados nos Estados Unidos e Canadá.

O que é o FIPS 140-2?

FIPS 140-2 é uma declaração com o título "Security Requirements for Cryptographic Modules." Especifica os algoritmos de encriptação e quais os algoritmos hash podem ser utilizados e como chaves de encriptação devem ser gerados e geridos. Algum hardware, software e processos que contenham os algoritmos podem ser considerados FIPS 140-2 certificadas e outro hardware, software e processos que chamam os algoritmos correctos podem ser FIPS 140-2 compatíveis.

O que é a diferença entre o FIPS 140-2 compatíveis e FIPS 140-2 certificados?

2014 do SQL Server pode ser configurado e executar de forma que seja compatível com FIPS 140-2. Para configurar o SQL Server 2014 desta forma, 2014 do SQL Server tem de executar um sistema operativo que é o FIPS 140-2 certificadas ou num sistema operativo que fornece os módulos criptográficos certificadas. A diferença entre a conformidade e certificação não é subtil. Podem ser certificados algoritmos. É insuficiente para utilizar um algoritmo de apenas uma vez que está listado nas listas aprovadas no FIPS 140-2. Em vez disso, tem de utilizar uma instância de um algoritmo que seja certificado. Isto significa que a instância é validado de governo. Certificação necessita de ensaios e verificações por um laboratório de avaliação aprovado pelo Governo dos Estados Unidos ou Canadá. Windows Server 2012 e versões posteriores e também para o Windows 8 e versões posteriores contêm a instância autenticada do cada algoritmos permitido. Mais importante, uma chamada para cada um destes algoritmos fornece apenas a instância autenticada.

Os produtos de aplicação podem ser FIPS 140-2 compatíveis?

Todas as aplicações que efectuam a encriptação ou criação de algoritmos hash e que são executados numa versão certificada do Windows pode estar em conformidade utilizando apenas as instâncias certificadas dos algoritmos aprovadas e satisfazem os requisitos de geração de chave e gestão de chaves. Poderá fazê-lo por um dos seguintes métodos:

  • Utilizando a função do Windows para geração de chaves e gestão de chaves
  • Estando em conformidade com os requisitos de geração de chave e gestão de chaves da aplicação

Tenha em atenção que uma aplicação compatível com FIPS pode conter áreas em que os algoritmos compatíveis ou processos estão activados. Por exemplo, alguns processos internos que permanecem no âmbito do sistema e alguns dados externos que está para além disso ser encriptado por uma instância do algoritmo autenticadas são permitidos.

É o SQL Server 2014 sempre FIPS 140-2 compatíveis?

N. º 2014 do SQL Server pode ser FIPS 140-2 compatível porque pode ser configurado e executar de modo a que utiliza apenas as FIPS 140-2-certificadas algoritmo instâncias que são chamadas utilizando CryptoAPI para encriptação ou criação de algoritmos hash em todas as instâncias em que a conformidade com FIPS 140-2 é necessária.

Como pode ser configurado 2014 do SQL Server para ser FIPS 140-2 compatíveis?

Requisitos de sistema operativo

Tem de instalar o SQL Server 2014 num servidor que é baseado dos seguintes sistemas operativos:

  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows 8
  • Windows 8.1
  • Windows 10

Requisito de administração do sistema Windows

O modo FIPS tem de ser definido antes de 2014 do SQL Server é iniciado. SQL Server lê a definição no arranque. Para definir o modo FIPS, siga estes passos:

  1. Inicie sessão no Windows como um administrador de sistema do Windows.
  2. Clique em Iniciar.
  3. Clique em Painel de controlo.
  4. Clique em Ferramentas administrativas. (Poderá ter de mudar para Ícones grandes para o próximo passo.)
  5. Clique em política de segurança Local. O Definições de segurança local Aparece a janela.
  6. No painel de navegação, clique em Políticas locaise, em seguida, clique em Opções de segurança.
  7. No painel da direita, faça duplo clique em criptografia do sistema: algoritmos utilização – compatível com FIPS para encriptação, criação de algoritmos hash e assinatura.
  8. Na caixa de diálogo que aparece, clique em activadoe, em seguida, clique em Aplicar.
  9. Clique em OK.
  10. Fechar o Definições de segurança local janela.

Requisito de administrador do SQL Server

  • Quando o serviço SQL Server (quando um ponto final está configurado para facilitador de serviços ou espelhamento da base de dados) detecta que o modo FIPS está activado no arranque, o SQL Server regista a seguinte mensagem no registo de erros do SQL Server:

    Transporte Service Broker está em execução no modo de conformidade FIPS.

    Além disso, pode localizar a seguinte mensagem de registados no registo de eventos do Windows:

    Transporte de espelhamento da base de dados está em execução no modo de – conformidade com FIPS.

    Pode verificar que o servidor está a ser executado no modo FIPS procurando estas mensagens.

  • Para segurança de diálogo (entre serviços), a encriptação utiliza a instância certificada pela FIPS da norma AES (Advanced Encryption) se estiver activado o modo FIPS. Se o modo FIPS estiver desactivado, a encriptação utiliza o RC4.
  • Quando configura um ponto final de Mediador de serviço no modo FIPS, o administrador tem de especificar "AES" para o facilitador de serviços. Se o ponto final está configurado para RC4, SQL Server irá gerar um erro. Por conseguinte, a camada de transporte não será iniciado.

Como é explorado 2014 do SQL Server no modo FIPS 140-2 compatíveis?

  • Com o modo FIPS no Windows activada, em todas as áreas em que o utilizador não tem nenhuma escolha sobre se deve encriptar ou hash e sobre como será realizada, SQL Server 2014 será executada em conformidade com FIPS 140-2. (SQL Server 2014 utilizará CryptoAPI no Windows e utilizará apenas as instâncias certificadas dos algoritmos.)
  • Com o modo FIPS no Windows activada, em todas as áreas em que o utilizador tem uma escolha se pretende utilizar a encriptação, SQL Server 2014 quer irá activar a encriptação de 140-2 compatível com FIPS apenas ou não permitirá que qualquer encriptação.
  • Informações importantes para os programadores de software em todas as áreas em que o programador ou o utilizador escreve próprio código para a encriptação ou criação de algoritmos hash devem ser instruídos para utilizar apenas CryptoAPI (e, portanto, apenas as instâncias certificadas) e para especificar apenas os algoritmos que são permitidos pelo FIPS 140-2. Para a lista oficial National Institute of Standards and Technology (NIST) de FIPS 140-2 aprovado algoritmos criptográficos, vá para os anexos A, C e D http://csrc.nist.gov/Groups/stm/cmvp/Standards.HTML.

O que é o efeito de 2014 do SQL Server a ser executado no modo FIPS 140-2 compatíveis?

  • A utilização de encriptação mais forte pode ter um efeito pequeno no desempenho para os processos para os quais a encriptação inferior a forte é permitida quando o processo não está a funcionar como FIPS 140-2 compatíveis.
  • A selecção de encriptação para SSIS (UseEncryption = True) irá gerar uma mensagem de erro que indica que a encriptação disponível não é compatível com conformidade com FIPS e não é permitida. Por outras palavras, é efectuada sem encriptação do processo de mensagem.
  • A utilização da encriptação com DTS legado não é compatível com FIPS 140-2. Tenha em atenção que para DTS, o modo FIPS no Windows não está seleccionado. Por conseguinte, é da responsabilidade do utilizador para seleccionar sem encriptação para manter a conformidade.
  • Uma vez que a maior parte dos SQL Server 2014 encriptação e hash processos já são FIPS 140-2 compatíveis, em execução em total conformidade (isto é, com o modo FIPS no Windows activada) terão pouco ou nenhum efeito sobre a utilização ou desempenho do produto.

Onde posso obter mais informações sobre o FIPS 140-2?

Para mais informações sobre a norma FIPS 140-2, consulte a publicação do NIST seguinte:

Referências
Exclusão de responsabilidade de informações de outros fabricantes

A Microsoft fornece informações de contacto de outros fabricantes para ajudar a encontrar suporte técnico. Estas informações de contacto podem ser alteradas sem aviso prévio. A Microsoft não garante a exatidão destas informações de contacto destes fabricantes.

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 3141890 - Última Revisão: 02/13/2016 02:10:00 - Revisão: 2.0

  • Microsoft SQL Server 2014 Business Intelligence
  • Microsoft SQL Server 2014 Developer
  • Microsoft SQL Server 2014 Enterprise
  • Microsoft SQL Server 2014 Enterprise Core
  • Microsoft SQL Server 2014 Express
  • Microsoft SQL Server 2014 Standard
  • Microsoft SQL Server 2014 Web
  • kbhowto kbexpertiseadvanced kbinfo kbmt KB3141890 KbMtpt
Esta informação foi útil?