FIPS 140-2 兼容模式中使用 SQL Server 2014年的说明

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 3141890
简介
本文讨论了联邦信息处理标准发布 140-2 (FIPS 140-2) 的说明和如何使用 Microsoft SQL Server 2014 FIPS 140-2 兼容模式中。

备注:

  • 术语"FIPS 140-2 – 符合标准,""FIPS 140-2 法规遵从性"和"FIPS 140-2 – 兼容模式"此处定义了使用和清晰度。这些条款不能识别或定义政府条款。美国和加拿大政府认识如 FIPS 140-2 而不是使用指定的加密模块的标准或一致的方式对加密模块的验证。在本文中,我们使用"FIPS 140-2 – 符合标准,""FIPS 140-2 法规遵从性,"并"FIPS 140-2 – 兼容模式"在这个意义上该 SQL Server 2014年使用仅 FIPS 140-2 验证的实例算法和哈希函数在所有情况下的导入或导出从 SQL Server 2014年加密或散列数据。此外,这意味着 SQL Server 2014年以安全的方式,根据需要的 FIPS 140-2 验证加密模块管理密钥。密钥管理过程还包括密钥生成和密钥存储。
  • 此处我们使用"认证"来表示的算法实例是 FIPS 140-2 – 验证或者操作系统包含 FIPS 140-2 – 验证算法的实例。

FIPS 是什么?

联邦信息处理标准 (FIPS) 是由以下两个政府机构制定的标准:

  • 国家标准和技术 (NIST) 在美国
  • 加拿大在通信安全机构 (CSE)

FIPS 标准被建议或强制要求的使用在美国和加拿大联邦政府运行 IT 系统中。

FIPS 140-2 是什么?

FIPS 140-2 是一种声明,标题为"加密模块的安全要求"。它指定的加密算法和可以使用的哈希算法和加密密钥的生成和管理方式。某些硬件、 软件和过程包含算法可被视为 FIPS 140-2 认证,并且其他硬件、 软件和调用正确的算法的流程可以 FIPS 140-2 – 兼容。

FIPS 140-2 – 兼容并正在 FIPS 140-2 认证之间的区别是什么?

可以配置 SQL Server 2014年和符合 FIPS 140-2 的方式运行。要以这种方式配置 SQL Server 2014年,SQL Server 2014年必须运行 fips 140-2 认证的操作系统上,或提供经认证的加密模块的操作系统上。法规遵从性和认证的区别不是微妙的。可以认证算法。只是因为它将列在 FIPS 140-2 中的已审核列表使用一种算法不足。相反,您必须使用经认证的这种算法的实例。这意味着该实例验证的政府。认证要求由一个美国或加拿大政府批准评估实验室测试和验证。Windows Server 2012 和更高版本并且还 Windows 8 及更高版本包含认证每个允许的算法实例。最重要的是,对每种算法提供只有经过认证的实例。

哪些应用程序产品可以 FIPS 140-2 – 兼容?

所有的应用程序,可以执行加密或散列和经认证的 Windows 版本上运行,可以是符合通过只认证的批准算法实例,并遵守的密钥生成和密钥管理的需求。你可以通过以下方法之一:

  • 通过使用窗口函数的密钥生成和密钥管理
  • 通过遵守在应用程序内的密钥生成和密钥管理要求

请注意与 FIPS 兼容应用程序可能包含不兼容的算法或进程已启用的区域。例如,允许一些保持系统内的内部流程和另外加密认证的算法实例就是某些外部数据。

是 SQL Server 2014年始终 FIPS 140-2 – 兼容吗?

否。SQL Server 2014年可能 FIPS 140-2 标准,因为它可以配置和运行方式,它使用仅使用 CryptoAPI 的加密或散列的 FIPS 140-2,则要求遵守每个实例中调用的 FIPS 140-2 认证算法实例。

如何可以 SQL Server 2014年可配置成与 FIPS 140-2 – 兼容?

操作系统要求

您必须基于以下操作系统之一的服务器上安装 SQL Server 2014年:

  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows 8
  • Windows 8.1
  • Windows 10

Windows 系统管理要求

开始 SQL Server 2014年之前,必须设置 FIPS 模式。SQL Server 将读取在启动时设置。若要设置 FIPS 模式下,请执行以下步骤:

  1. Windows 系统管理员身份登录到 Windows。
  2. 单击开始
  3. 单击控制面板
  4. 单击管理工具。(您可能需要切换到 大图标 下一步。)
  5. 单击本地安全策略。" 本地安全设置 显示窗口。
  6. 在导航窗格中,单击本地策略,然后单击安全选项
  7. 在右侧窗格中,双击系统加密: 使用 FIPS – 兼容的算法来加密、 哈希和签名
  8. 在出现的对话框中,单击已启用,然后单击应用
  9. 单击确定
  10. 关闭 本地安全设置 窗口。

SQL Server 管理员要求

  • 当 SQL Server 服务 (服务中介程序或数据库镜像配置终结点) 时检测到在启动时启用了 FIPS 模式下时,SQL Server 会在 SQL Server 错误日志中记录以下消息:

    服务中介程序传输在 FIPS 遵从性模式下运行。

    此外,您可能会发现 Windows 事件日志中记录以下消息:

    在 FIPS – 兼容性模式下运行数据库镜像传输。

    您可以验证服务器正在运行在 FIPS 模式下通过查看这些消息。

  • 对话框 (服务) 之间的安全,加密使用 FIPS 认证实例的高级加密标准 (AES),如果已启用 FIPS 模式。如果禁用了 FIPS 模式,加密使用 RC4。
  • 在 FIPS 模式下配置的服务代理终结点时,管理员必须指定服务中介程序"AES"。如果终结点配置为 RC4,则 SQL Server 将生成一个错误。因此,不会启动传输层。

SQL Server 2014 FIPS 140-2 – 兼容模式中如何操作?

  • 在 Windows 中启用 FIPS 模式下,用户在其中的所有方面具有有关是否加密或哈希处理和完成方式没有选择,SQL Server 2014年将运行符合 FIPS 140-2。(SQL Server 2014年将在 Windows 中使用 CryptoAPI 和将使用只认证算法的实例)
  • 与 FIPS 模式窗口打开,在所有领域中的用户可以选择是否使用加密,SQL Server 2014年或者将启用仅 FIPS 140-2 – 兼容加密或将不会启用任何加密。
  • 软件开发人员的开发人员或用户编写自己的加密或哈希代码必须指示他们使用仅 CryptoAPI 的所有方面的重要信息 (因此只有经过认证的实例),以及指定允许的 FIPS 140-2 算法。官方的国家标准和技术协会 (NIST) 列出的 FIPS 140-2 批准的加密算法,请转到附录 A、 C 和 D 中 http://csrc.nist.gov/groups/STM/cmvp/standards.html.

FIPS 140-2 – 兼容模式下运行 SQL Server 2014年的效果是什么?

  • 使用更强的加密可能不作为 FIPS 140-2 – 兼容运行过程时,允许较强加密的那些进程的性能很小的影响。
  • SSIS 的加密的选项 (UseEncryption = True) 将生成一条错误消息,指出使用可用的加密与 FIPS 兼容性,并且不允许。换句话说,执行没有加密的邮件的过程。
  • 不符合 FIPS 140-2 加密和传统 DTS 的使用。请注意,对于 DTS,Windows 在 FIPS 模式下不检查。因此,它是用户可以选择不加密保持兼容的责任。
  • 因为大多数 SQL Server 2014年加密和哈希进程已经 FIPS 140-2 – 兼容,以完整的法规遵从性 (即,在 Windows 在 FIPS 模式下打开的) 将有很少或不会影响的使用或性能的产品。

其中了解 FIPS 140-2 有关的详细信息?

FIPS 140-2 标准的详细信息,请参阅下列 NIST 发布:

参考
第三方信息免责声明

Microsoft 提供的第三方联系人信息,以帮助您查找技术支持。此联系信息如有更改,恕不另行通知。Microsoft 不能保证第三方联系信息的准确性。

属性

文章 ID:3141890 - 上次审阅时间:02/13/2016 02:21:00 - 修订版本: 2.0

Microsoft SQL Server 2014 Business Intelligence, Microsoft SQL Server 2014 Developer, Microsoft SQL Server 2014 Enterprise, Microsoft SQL Server 2014 Enterprise Core, Microsoft SQL Server 2014 Express, Microsoft SQL Server 2014 Standard, Microsoft SQL Server 2014 Web

  • kbhowto kbexpertiseadvanced kbinfo kbmt KB3141890 KbMtzh
反馈