Bỏ qua để tới nội dung chính
Hỗ trợ
Đăng nhập
Đăng nhập với Microsoft
Đăng nhập hoặc tạo một tài khoản.
Xin chào,
Chọn một tài khoản khác.
Bạn có nhiều tài khoản
Chọn tài khoản bạn muốn đăng nhập.

Giới thiệu

Bài viết này thảo luận về hướng dẫn về FIPS 140-2 và cách sử dụng Microsoft SQL Server 2012 trong chế độ phù hợp với FIPS 140-2.Lưu ý́

  • Thuật ngữ "FIPS 140-2 compliant", "" FIPS 140-2 tuân thủ "và chế độ tuân thủ FIPS 140-2-compliant" được xác định ở đây để sử dụng và rõ ràng. Những điều khoản này không được nhận diện hoặc điều khoản của chính phủ. Hoa Kỳ và các chính phủ Canada nhận ra xác thực các mô-đun mã hóa so với các tiêu chuẩn như FIPS 140-2 và không sử dụng mô-đun mã hóa trong một cách nhất quán hoặc chỉ định. Trong bài viết này, chúng tôi sử dụng "FIPS 140-2-compliant," "FIPS 140-2 tuân thủ" và "FIPS 140-2-compliant Mode" trong ý nghĩa là SQL Server 2012 chỉ sử dụng FIPS 140-2-xác thực các phiên bản của các thuật toán và hashing trong mọi trường hợp được mã hóa hoặc hashed dữ liệu được nhập vào hoặc xuất từ SQL Server 2012. Ngoài ra, điều này có nghĩa là SQL Server 2012 sẽ quản lý các phím theo một cách an toàn, theo yêu cầu của FIPS 140-2-mô-đun mã hóa được xác thực. Quy trình quản lý khóa cũng bao gồm cả thế hệ chính và dung lượng lưu trữ khóa.

  • Chúng tôi sử dụng "được chứng nhận" ở đây để có nghĩa là thể hiện của thuật toán là FIPS 140-2 được xác thực hoặc hệ điều hành chứa FIPS 140-2-các phiên bản của thuật toán xác thực.

Thông tin Bổ sung

FIPS là gì?

Tiêu chuẩn xử lý thông tin liên bang (FIPS) là một tiêu chuẩn được phát triển bởi hai cơ quan chính phủ sau đây:

  • Viện tiêu chuẩn và công nghệ quốc gia (NIST) tại Hoa Kỳ

  • Thiết lập bảo mật liên lạc (CSE) tại Canada

Các tiêu chuẩn FIPS đều được đề xuất hoặc được ủy nhiệm để sử dụng trong các hệ thống CNTT của chính phủ liên bang-đã vận hành tại Hoa Kỳ và Canada.

FIPS 140-2 là gì?

FIPS 140-2 là một câu lệnh có tiêu đề "yêu cầu bảo mật cho mô-đun mã hóa." Nó xác định các thuật toán mã hóa nào và có thể sử dụng các thuật toán hashing và cách các phím mã hóa được tạo và quản lý. Một số phần cứng, phần mềm và quy trình có thể là FIPS 140-2 được chứng nhận, và một số phần cứng, phần mềm và quy trình có thể là phù hợp với FIPS 140-2.

Điểm khác biệt giữa là FIPS 140-2 tuân thủ và đang được chứng nhận FIPS 140-2 là gì?

SQL Server 2012 có thể được cấu hình và chạy theo cách hợp nhất với FIPS 140-2. Để cấu hình SQL Server 2012 theo cách này, SQL Server 2012 phải chạy trên hệ điều hành là FIPS 140-2 được chứng nhận hoặc trên hệ điều hành cung cấp mô-đun mã hóa được chứng nhận. Sự khác biệt giữa việc tuân thủ và chứng nhận không phải là tinh tế. Các thuật toán có thể được chứng nhận. Không đủ để sử dụng một thuật toán từ các danh sách được phê duyệt trong FIPS 140-2. Thay vào đó, bạn phải sử dụng một ví dụ về thuật toán đó được chứng nhận. Chứng chỉ yêu cầu kiểm tra và xác nhận bởi một phòng thí nghiệm đánh giá chính phủ phê duyệt. Windows Server 2003, Windows XP và Windows Server 2008 có chứa các thuật toán được phép, và một phiên bản của mỗi hệ điều hành này là phòng thí nghiệm đánh giá kiểm tra và chính phủ được chứng nhận.

Các sản phẩm ứng dụng nào có thể phù hợp với FIPS 140-2?

Tất cả các ứng dụng thực hiện việc mã hóa hoặc băm và chạy trên một phiên bản Windows được chứng nhận có thể được tuân thủ bằng cách chỉ sử dụng các trường hợp được chứng nhận của các thuật toán được phê duyệt và bằng cách tuân theo các yêu cầu quản lý chính-thế hệ và quản lý chính trong ứng dụng. Hãy lưu ý rằng các khu vực trong một ứng dụng phù hợp với FIPS có thể tồn tại trong đó các thuật toán không tuân thủ hoặc quy trình được bật. Ví dụ, một số quy trình nội bộ được giữ lại trong hệ thống và một số dữ liệu bên ngoài vốn được phép thêm được mã hóa bởi một phiên bản thuật toán được chứng nhận.

SQL Server 2012 luôn phù hợp với FIPS 140-2?

Không. SQL Server 2012 có thể là FIPS 140-2 tuân thủ vì nó có thể được cấu hình và chạy theo cách như vậy mà nó chỉ sử dụng các trường hợp thuật toán FIPS 140-2-được gọi bằng cách dùng CryptoAPI cho mã hóa hoặc bằng cách băm trong mọi trường hợp trong đó có yêu cầu phải tuân thủ khóa của 140-2 FIPS.

SQL Server 2012 được cấu hình như thế nào để phù hợp với FIPS 140-2?

  • Yêu cầu hệ điều hành: Bạn phải cài đặt SQL Server 2012 trên một máy chủ Dựa trên một trong các hệ điều hành sau đây:

    • Windows Server 2003

    • Windows XP

    • Windows Server 2008

  • Yêu cầu quản trị hệ thống Windows: Chế độ FIPS phải được đặt trước khi SQL Server 2012 bắt đầu. SQL Server sẽ đọc các thiết đặt khi khởi động. Để đặt chế độ FIPS, hãy làm theo các bước sau đây:

    1. Đăng nhập vào Windows với tư cách là người quản trị hệ thống Windows.

    2. Bấm Bắt đầu.

    3. Bấm Pa-nen điều khiển.

    4. Bấm công cụ quản trị.

    5. Bấm chính sách bảo mật cục bộ. Cửa sổ thiết đặt bảo mật cục bộ xuất hiện.

    6. Trong ngăn dẫn hướng, bấm vào chính sách cục bộ, rồi bấm tùy chọn bảo mật.

    7. Trong ngăn bên phải, bấm đúp vào mật mã hệ thống: sử dụng các thuật toán phù hợp với FIPS để mã hóa, băm và ký.

    8. Trong hộp thoại xuất hiện, hãy bấm bật, rồi bấm áp dụng.

    9. Bấm OK.

    10. Đóng cửa sổ thiết đặt bảo mật cục bộ .

  • Yêu cầu người quản trị SQL Server

    • Khi dịch vụ SQL Server phát hiện rằng chế độ FIPS được kích hoạt khi khởi động, Nhật ký Nhật ký SQL Server thông báo sau đây trong Nhật ký lỗi SQL Server:

      Vận tải môi giới dịch vụ đang chạy ở chế độ tuân thủ FIPS.Ngoài ra, bạn có thể tìm thấy thông báo sau đây được đăng nhập vào Nhật ký sự kiện Windows:

      Bạn có thể xác nhận rằng máy chủ đang chạy trong chế độ FIPS bằng cách tìm kiếm các thư này.

    • Đối với bảo mật hộp thoại (giữa các dịch vụ), mã hóa sử dụng mẫu xác nhận FIPS của AES nếu chế độ FIPS được bật. Nếu chế độ FIPS bị tắt, việc mã hóa sử dụng RC4.

    • Khi bạn cấu hình một điểm cuối của nhà môi giới dịch vụ trong chế độ FIPS, người quản trị phải xác định "AES" cho nhà môi giới dịch vụ. Nếu điểm cuối được cấu hình thành RC4, SQL Server sẽ tạo ra lỗi. Do đó, tầng giao thông sẽ không khởi động.

SQL Server 2012 hoạt động như thế nào trong chế độ tuân thủ của FIPS 140-2?

  • Với chế độ FIPS trong Windows bật, trong tất cả các khu vực mà người dùng không có lựa chọn nào để mã hóa/băm và cách thức đó sẽ được thực hiện, SQL Server 2012 sẽ thực thi tuân thủ với FIPS 140-2. (SQL Server 2012 sẽ sử dụng CryptoAPI trong Windows và sẽ chỉ sử dụng các phiên bản được chứng nhận của các thuật toán.)

  • Với chế độ FIPS trong Windows đã bật, trong tất cả các khu vực mà người dùng có một lựa chọn có sử dụng mã hóa, SQL Server 2012 sẽ chỉ bật mã hóa phù hợp với FIPS 140-2 hoặc sẽ không kích hoạt bất kỳ mã hóa nào.

  • Thông tin quan trọng cho các nhà phát triển phần mềmTrong tất cả các khu vực mà nhà phát triển hoặc người dùng viết mã riêng của họ cho mã hóa hoặc băm, họ phải được hướng dẫn để chỉ sử dụng CryptoAPI (và do đó chỉ có các phiên bản được chứng nhận) và chỉ định các thuật toán được cho phép bởi FIPS 140-2. Cụ thể, họ chỉ có thể chỉ định ba DES (3DES) hoặc AES cho mã hóa và chỉ có SHA-1 cho hashing.

Có hiệu lực gì khi chạy SQL Server 2012 trong chế độ tương thích của FIPS 140-2 là gì?

  • Việc sử dụng mã hóa mạnh hơn có thể có hiệu ứng nhỏ về hiệu suất đối với những quy trình này mà ít được phép mã hóa mạnh hơn khi quy trình không hoạt động như tuân thủ FIPS 140-2.

  • Lựa chọn mã hóa cho SSIS (UseEncryption = True) sẽ tạo ra một thông báo lỗi cho biết rằng mã hóa sẵn có không tương thích với tuân thủ FIPS và không được phép. Nói cách khác, không có mã hóa quy trình thư nào được thực hiện.

  • Việc sử dụng mã hóa cùng với kế thừa DTS không tuân thủ với FIPS 140-2. Hãy lưu ý rằng đối với DTS, chế độ FIPS trong Windows không được chọn. Do đó, đó là trách nhiệm của người dùng để chọn không mã hóa để duy trì tuân thủ.

  • Vì hầu hết các quy trình SQL Server 2012 và mã hóa đã được xử lý trong FIPS 140-2, hãy thực hiện tại tuân thủ đầy đủ (nghĩa là, với chế độ FIPS trong Windows đã bật) sẽ có ít hoặc không có hiệu lực nào khi sử dụng hoặc hiệu suất của sản phẩm.

Tôi có thể tìm hiểu thêm về FIPS 140-2 ở đâu?

Để biết thêm thông tin về tiêu chuẩn FIPS 140-2 và cách tải xuống, hãy đi tới trang web NIST sau đây:

http://csrc.nist.gov/cryptval/140-2.htm Microsoft cung cấp thông tin liên hệ của bên thứ ba để giúp bạn tìm kiếm hỗ trợ kỹ thuật. Thông tin liên hệ này có thể thay đổi mà không cần thông báo. Microsoft không đảm bảo độ chính xác của thông tin liên hệ của bên thứ ba này.

Facebook LinkedIn Email
ĐĂNG KÝ NGUỒN CẤP DỮ LIỆU RSS

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá Cộng đồng

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Lợi ích đăng ký Microsoft 365

Nội dung đào tạo về Microsoft 365

Bảo mật Microsoft

Trung tâm trợ năng

Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.

Hỏi Cộng đồng Microsoft

Cộng đồng Kỹ thuật Microsoft

Người dùng Nội bộ Windows

Người dùng nội bộ Microsoft 365

Thông tin này có hữu ích không?

Bạn hài lòng đến đâu với chất lượng dịch thuật?
Điều gì ảnh hưởng đến trải nghiệm của bạn?
Khi nhấn gửi, phản hồi của bạn sẽ được sử dụng để cải thiện các sản phẩm và dịch vụ của Microsoft. Người quản trị CNTT của bạn sẽ có thể thu thập dữ liệu này. Điều khoản về quyền riêng tư.

Cảm ơn phản hồi của bạn!

×