「 系統密碼編譯︰ 使用 FIPS 相容演算法於加密,雜湊,以及簽章 」 安全性設定會影響在 Windows XP 和 Windows 的更新版本

適用於: Windows Server 2008 EnterpriseWindows Server 2008 StandardWindows Server 2008 Enterprise without Hyper-V

摘要


美國聯邦資訊處理標準 (FIPS) 定義安全性和交互操作性需求,由美國聯邦政府的電腦系統。FIPS 140 標準會定義已核准的密碼編譯演算法。FIPS 140 標準也會設定需求對於金鑰產生和金鑰管理。國家標準與技術研究院 (NIST) 會使用密碼編譯的模組驗證程式 (CMVP) 來判斷是否符合 FIPS 140 標準特定實作的密碼編譯演算法。密碼編譯演算法的實作會被視為 FIPS 140 相容只有當它會在送出,而且已經通過 NIST 驗證。尚未送出的演算法,才能算是 FIPS 相容即使實作會為已驗證的實作相同的演算法來產生相同的資料。

如需有關如何 Microsoft 產品和文件庫符合 FIPS 140 標準的詳細資訊,請造訪下列 Microsoft 網站︰在某些情況下,應用程式使用未經核准的演算法或處理程序時在 FIPS 相容模式下運作的應用程式。例如,可能會允許未經核准的演算法使用在下列情況︰
  • 有些內部的處理程序保持電腦中的時
  • 當某些外部的資料是要另外加密,FIPS 相容的實作

更多的資訊


在 Windows XP 和更新版本的 Windows 中,如果您啟用下列的安全性設定在 [本機安全性原則或群組原則的一部分您通知使用者他們應該只使用密碼編譯演算法 FIPS 140 相容且符合 FIPS 核准的作業模式的應用程式︰
系統密碼編譯︰ 使用 FIPS 相容演算法於加密,雜湊,以及簽章
這個原則才摘要報告,以應用程式。因此,如果您啟用此原則,它不會不確定所有的應用程式將會符合。下列作業系統內的區域會受到這項設定︰
  • 此設定會使 Schannel 安全性套件和 Schannel 安全性封裝交涉傳輸層安全性 (TLS) 1.0 通訊協定所建置的所有應用程式。如果在執行 IIS 的伺服器上啟用此設定,則只有支援 TLS 1.0 的網頁瀏覽器可以連線。 如果用戶端上啟用此設定,則所有的 Schannel 用戶端,例如 Microsoft Internet Explorer,只能連接到支援 TLS 1.0 通訊協定的伺服器。 當啟用了設定時,支援的加密套件的清單,請參閱 Schannel 主題中的加密套件。

    如需詳細資訊,按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:

    811834無法造訪 SSL 網站之後您啟用 FIPS 相容密碼編譯

  • 此設定也會影響 「 終端機服務在 Windows Server 2003 和更新版本的 Windows。效果,取決於是否使用 TLS 進行伺服器驗證。

    如果正在使用 TLS 進行伺服器驗證,這項設定會使只用於 TLS 1.0。



    根據預設,如果沒有使用 TLS,而且在用戶端,或在伺服器上,不會啟用此設定伺服器和用戶端之間的遠端桌面通訊協定 (RDP) 通道加密 RC4 演算法使用 128 位元的金鑰長度。您啟用這個設定,Windows Server 2003 電腦上的之後,下列條件為真︰
    • 在以 168 位元的金鑰長度的加密區塊鏈結 (CBC) 模式中使用 3DES 演算法加密 RDP 通道。
    • Sha-1 演算法用來建立訊息摘要。
    • 用戶端必須使用 RDP 5.2 的用戶端程式或更新版本,來連線。
    如需有關如何設定 [終端機服務的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件︰

    814590如何啟用及設定 [Windows Server 2003 中的 [系統管理遠端桌面

  • 使用 RDP 5.2 用戶端程式及更新版本的 RDP 的 Windows XP 用戶端可以連線到 Windows Server 2003、 Windows Vista 中或 Windows Server 2008 的電腦中,當您啟用這個選項。不過,遠端桌面] 連線到 Windows XP 電腦時啟用此選項,用戶端或伺服器上的失敗。
  • 已啟用 FIPS 設定的 Windows 用戶端無法連線到 Windows 2000 終端機服務。
  • 這個設定會影響新檔案使用由加密檔案系統 (EFS) 加密演算法。現有的檔案不會受到影響,並且繼續使用與他們原本加密演算法來存取。


    注意事項
    • 根據預設,在 Windows XP 的 RTM EFS 使用 DESX 演算法。如果您啟用此設定時,EFS 會使用 168 位元的 3DES 加密。
    • 根據預設,Windows XP Service Pack 1 (SP1)、 更新版本的 Windows XP service pack 和 Windows Server 2003,EFS 使用進階加密標準 (AES) 演算法與 256 位元的金鑰長度。不過,EFS 會使用核心模式的 AES 實作。這個實作不 FIPS 驗證在這些平台上。如果您啟用 FIPS 設定,在這些平台上的,作業系統會使用 3DES 演算法以 168 位元的金鑰長度。
    • 在 Windows Vista 和 Windows Server 2008 中,EFS 會使用 AES 演算法搭配 256 位元機碼。如果您啟用這個設定,將會使用 AES 256。
    • FIPS 本機原則不會影響密碼金鑰加密。
  • Microsoft.NET Framework 應用程式,例如 Microsoft ASP.NET 只允許使用由 NIST 是相容的 FIPS 140 所認證的演算法實作。具體來說,只有密碼編譯演算法類別執行個體化是指實作 FIPS 相容演算法。這些類別的名稱結尾在"CryptoServiceProvider"或"Cng"。任何嘗試建立執行個體的其他的密碼編譯演算法類別,例如類別名稱結尾 「 受管理 」 會造成 InvalidOperationException 例外狀況發生。此外,若嘗試建立不是 FIPS 相容的例如 MD5 」 的密碼編譯演算法的執行個體也會造成 InvalidOperationException 例外狀況。
  • 如果啟用 FIPS 設定時,ClickOnce 應用程式的驗證就會失敗,除非用戶端電腦也有安裝下列其中一項︰
    • .NET Framework 3.5 或較新版的.NET Framework
    • .NET Framework 2.0 的 Service Pack 1 或更新版本的 service pack
    注意事項
    • 有了 Visual Studio 2005,ClickOnce 應用程式無法上建置或發行從 FIPS 所需的電腦。 不過,如果電腦有.NET Framework 2.0 SP2,也就是隨附於.NET Framework 3.5 SP1,Visual Studio 2005年可以將發佈 Winforms/WPF 應用程式。
    • Visual Studio 2008 中,無法建置或發行除非 Visual Studio 2008 SP1 或更新版本的 Visual Studio 安裝,否則 ClickOnce 應用程式。
  • 根據預設,Windows Server 2008,和 Windows Vista 中 「 BitLocker 磁碟機加密 」 功能會使用 128 位元 AES 加密,以及其他的擴散器。 當啟用此設定時,BitLocker 會使用 256 位元 AES 加密,而不需擴散器。此外,修復密碼不會建立或備份到 Active Directory 目錄服務。因此,您無法復原從遺失的 Pin 或系統變更,只要在鍵盤上的修復密碼。 請不要使用修復密碼,您可以備份修復金鑰在本機磁碟機或網路共用上。 若要使用修復金鑰,請將索引鍵放 USB 裝置。然後,將裝置插入電腦。
  • 在 Windows Vista SP1 和更新版本的 Windows Vista 中,並在 Windows Server 2008 中,只有 「 密碼編譯操作員 」 群組的成員可以編輯 「 Windows 防火牆的 IPsec 原則中的密碼編譯設定。
注意事項
  • 在您啟用或停用之後系統密碼編譯︰ 使用 fips 相容方法於加密,雜湊,以及簽章安全性設定,您必須重新啟動您的應用程式,例如 Internet Explorer,新的設定才會生效。
  • 此安全性設定會影響 Windows Server 2008 中,Windows Vista 中的下列登錄值︰
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
    此登錄值會反映目前的 FIPS 設定。如果啟用此設定,則值為 1。如果停用此設定,則值為 0。
  • 此安全性設定會影響 Windows Server 2003 中,在 Windows XP 中的下列登錄值︰
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
    此登錄值會反映目前的 FIPS 設定。如果啟用此設定,則值為 1。如果停用此設定,則值為 0。