"系统加密︰ 使用 FIPS 兼容的算法来加密、 哈希和签名"安全设置在 Windows XP 和更高版本的 Windows 中有效

适用于: Windows Server 2008 EnterpriseWindows Server 2008 StandardWindows Server 2008 Enterprise without Hyper-V

概要


美国联邦信息处理标准 (FIPS) 定义安全和计算机系统,由美国联邦政府的互操作性要求。FIPS 140 标准定义了已批准的加密算法。FIPS 140 标准还规定要求密钥生成和密钥管理。国家标准和技术协会 (NIST) 使用加密模块验证程序 (CMVP) 来确定特定加密算法的实现是否符合 FIPS 140 标准。加密算法的实现是只有被视为 FIPS 140 符合它已提交和已通过 NIST 验证。即使实现作为相同的算法验证的实现可生成完全相同的数据都不能视为一种算法,尚未提交符合 FIPS。

有关 Microsoft 产品和存储库如何符合 FIPS 140 标准的详细信息,请访问下面的 Microsoft 网站︰在某些情况下,应用程序可能使用未经批准的算法或流程在符合 FIPS 模式下应用程序的运行时。例如,在以下情况下可能允许使用未经批准的算法︰
  • 一些内部流程时保持计算机内
  • 某些外部数据时进行另外加密与 FIPS 兼容的实现

详细信息


在 Windows XP 和更高版本的 Windows 中,如果在本地安全策略中或作为组策略的一部分启用以下安全设置,您通知应用程序它们应仅使用符合 FIPS 140 和符合 FIPS 认可的操作模式的加密算法︰
系统加密︰ 使用 FIPS 兼容的算法来加密、 哈希和签名
此策略只是通知给应用程序。因此,如果您启用此策略,则不确保所有应用程序将遵循。在操作系统中的区域的下面将受此设置︰
  • 此设置会导致频道安全数据库和生成 Schannel 安全包进行协商只传输层安全 (TLS) 1.0 协议的所有应用程序。如果在运行 IIS 的服务器上启用了此设置,则只有支持 TLS 1.0 的 Web 浏览可以连接。 如果客户端上启用此设置,则所有频道客户端,如 Microsoft Internet Explorer,只能都连接到支持 TLS 1.0 协议的服务器。 设置被启用时,受支持的密码套件的列表请参阅频道主题中的密码套件。

    有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

    811834不能访问 SSL 站点启用 FIPS 兼容加密后

  • 此设置还会影响在 Windows Server 2003 及更高版本的 Windows 的终端服务。效果取决于是否使用服务器身份验证的 TLS。

    如果 TLS 用于服务器身份验证,此设置会导致仅 TLS 1.0 使用。



    默认情况下,如果不使用 TLS,并且不在客户端或服务器上启用该设置,则在服务器和客户机之间的远程桌面协议 (RDP) 通道加密使用密钥长度为 128 位的 RC4 算法。启用此设置基于 Windows Server 2003 的计算机上之后,满足以下条件︰
    • RDP 通道在 168 位的密钥长度的密码块链 (CBC) 模式下使用 3DES 算法进行加密。
    • Sha-1 算法用于创建消息摘要。
    • 客户端必须使用 RDP 5.2 客户端程序或更高版本进行连接。
    有关如何配置终端服务的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章︰

    814590如何启用和配置 Windows Server 2003 中的用于管理的远程桌面

  • 当您启用此选项时,使用 RDP 5.2 客户端程序和 RDP 的更高版本的 Windows XP 客户端可以连接到 Windows Server 2003 和 Windows Vista 和 Windows Server 2008 的计算机。但是,Windows XP 的计算机的远程桌面连接失败时启用此选项在客户端或服务器上。
  • 已启用 FIPS 设置的 Windows 客户端无法连接到 Windows 2000 终端服务。
  • 此设置会影响新文件使用加密文件系统 (EFS) 加密算法。现有的文件不会受到影响,并继续使用与最初加密算法进行访问。


    备注:
    • 默认情况下,在 Windows XP RTM 的 EFS 使用 DESX 算法。如果您启用此设置,则 EFS 使用 168 位 3DES 加密。
    • 默认情况下,Windows XP Service Pack 1 (SP1) 中,在更高版本的 Windows XP 服务包,和 Windows Server 2003,EFS 将 256 位的密钥长度使用高级加密标准 (AES) 算法。但是,EFS 使用内核模式 AES 实现。此实现不在这些平台上的 FIPS 验证。如果您启用 FIPS 设置在这些平台上的,操作系统将使用 3DES 算法密钥长度为 168 位。
    • 在 Windows Vista 和 Windows Server 2008 中,EFS 将使用具有 256 位密钥 AES 算法。如果您启用此设置,将使用 AES 256。
    • FIPS 本地策略不影响密码密钥加密。
  • Microsoft.NET Framework 应用程序,如 Microsoft ASP.NET 仅允许使用由 NIST 将符合 FIPS 140 认证的算法实现。具体来说,可以实例化仅加密算法类是指那些实施 FIPS 兼容的算法。这些类的名称以"CryptoServiceProvider"或"Cng。"结尾任何尝试创建实例的其他加密算法类,例如,类名称以"托管",使能反转异常发生。此外,任何尝试创建 fips 不兼容,例如,MD5,加密算法的实例也会导致异常能反转。
  • 如果启用 FIPS 设置,ClickOnce 应用程序的验证将会失败,除非客户端计算机已安装以下产品之一︰
    • .NET Framework 3.5 或更高版本的.NET Framework
    • .NET Framework 2.0 Service Pack 1 或更高版本的服务包
    备注:
    • 与 Visual Studio 2005 中,不能建立在或从 FIPS 所需计算机发布 ClickOnce 应用程序。 但是,如果计算机具有.NET Framework 2.0 SP2,它包含了.NET Framework 3.5 SP1,则 Visual Studio 2005年可以发布 Winforms/WPF 应用程序。
    • 与 Visual Studio 2008,不能生成或发布,除非安装了 Visual Studio 2008 SP1 或更高版本的 Visual Studio ClickOnce 应用程序。
  • 默认情况下,在 Windows Vista 和 Windows Server 2008 中,BitLocker 驱动器加密功能使用 128 位 AES 加密和其他的扩散器。 启用此设置时,BitLocker 使用 256 位 AES 加密没有扩散器。此外,恢复密码不创建或备份到 Active Directory 目录服务。因此,不能恢复从丢失的针脚或系统更改中恢复密码在键盘上键入。 而不是使用恢复密码,您可以备份恢复密钥的本地驱动器或网络共享上。 若要使用的恢复密钥,将密钥存储在 USB 设备。然后,将该设备插入计算机。
  • 在 Windows Vista SP1 和更高版本的 Windows Vista 和 Windows Server 2008 中,仅加密操作员组的成员可以编辑 IPsec 策略的 Windows 防火墙中的加密设置。
备注:
  • 启用或禁用后系统加密︰ 使用 FIPS 兼容的算法来加密、 哈希和签名安全设置,您必须重新启动您的应用程序,如 Internet Explorer,使新的设置才会生效。
  • 该安全设置将影响 Windows Server 2008 中和在 Windows Vista 中,以下注册表值︰
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
    此注册表值可以反映当前的 FIPS 设置。如果启用此设置,则值为 1。如果禁用此设置,则该值为 0。
  • 该安全设置会影响在 Windows Server 2003 和 Windows XP 中的以下注册表值:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
    此注册表值可以反映当前的 FIPS 设置。如果启用此设置,则值为 1。如果禁用此设置,则该值为 0。