"Sistemos kriptografija: naudoti FIPS suderinamas algoritmai ?ifravimo, mai?ymo ir pasira?ymas" saugumo aplinkoje poveikis Windows XP ir v?lesn?mis Windows versijomis

Straipsni? vertimai Straipsni? vertimai
Straipsnio ID: 811833 - Per?i?r?ti ?iame straipsnyje minimus produktus.
I?pl?sti visus | Sutraukti visus

Santrauka

? Jungtini? Amerikos Valstij? federalin?s informacijos tvarkymo standartas (FIPS) apibr??ia saugumo ir kompiuterin?s sistemos, kurios naudoja JAV federalin?s vyriausyb?s nustatytus s?veikos reikalavimus. FIPS 140 standartas apibr??ia patvirtint? kriptografinius algoritmus. FIPS 140 standartas taip pat i?d?stytos reikalavimus pagrindin?s gamybos ir rakt? paskirstymo. National Institute of Standards and Technology (NIST) naudoja ?ifravimo modulio tikrinimo programa (CMVP) nustatyti, ar konkre?i? ?gyvendinimo kriptografinis algoritmas yra suderinamas su FIPS 140 standartas. Kriptografinis algoritmas ?gyvendinta laikomas FIPS 140-reikalavimus tik tada, jei ji buvo pateikta ir pra?jo NIST tikrinimo. Pat algoritmas, kuris nebuvo pateiktas negali b?ti laikomas FIPS suderinamoms net jei ?gyvendinimo gamina tie patys duomenys kaip patvirtint? ?gyvendinimas tok? pat? algoritm?.

Daugiau informacijos apie kaip Microsoft produktai ir bibliotek? atitikti FIPS 140 standart?, apsilankykite ?ioje "Microsoft" svetain?je:
http://technet.Microsoft.com/en-us/library/cc750357.aspx
Kai kuriuose scenarijuose parai?k? gali naudoti nepatvirtint? algoritmai ar proces? o taikymas veikia FIPS suderinamoms re?imu. Pvz., naudoti nepatvirtint? algoritmai gali b?ti leid?iami ?iais atvejais:
 • Kada kai kurie vidaus proces? vie?butyje per kompiuter?
 • Kada kai kuri? i?orini? duomen? turi b?ti papildomai u??ifruojami FIPS reikalavim? ?gyvendinimo

Daugiau informacijos

Windows XP ir v?lesn?mis Windows versijomis, jei ?ie saugos parametr? vietos saugumo politikos arba grup?s politik?, jums informuoti taikom?sias programas, kurios jie tur?t? naudoti tik ?ifravimo algoritmus, kurie yra FIPS 140 reikalavimus ir laikantis FIPS patvirtint? veiklos r??i?:
Sistemos kriptografija: naudoti FIPS suderinamas algoritmai ?ifravimo, mai?ymo ir pasira?ymas
?i politika yra tik patariamojo parai?koms. Tod?l, jei turite ?galinti strategij?, tai nerei?kia, kad tikri, kad visos parai?kos bus ?gyvendinti. ?ios sritys operacin?s sistemos bus paveikti ?? parametr?:
 • ?is parametras sukelia SKANALO saugumo paketo ir vis? parai?k?, kurios remiasi SKANALO saugumo paketo der?tis tik transportavimo lygmens sauga (TLS) 1,0 protokolo. Jei ?is parametras ?galintas serveryje, kuriame paleista IIS, tik TLS 1.0 palaikan?iose ?iniatinklio nar?ykl?se gali prisijungti. Jei ?is parametras ?galintas klientams, visi SKANALO Klientai, pvz., Microsoft Internet Explorer, gali tik prisijungti prie serveriai, palaikantys TLS 1.0 protokolo. ?ifro suites palaiko ?galinus parametr? s?ra?? rasite ?ifro Suites SKANALO temoje.

  Nor?dami gauti daugiau informacijos, spustel?kite toliau straipsnio numer? ir per?i?r?kite straipsn? Microsoft ?ini? baz?je:
  811834Negalima aplankyti SSL svetaini? ?jungus compliant FIPS ?ifravimo
 • ?is nustatymas taip pat paveikia terminal? tarnybos Windows Server 2003 ir v?lesn?s versijos Windows. Poveikis priklauso ar TLS naudojamas serverio autentifikavimo.

  Jei TLS naudojamas serverio autentifikavimo, ?is parametras sukelia tik TLS 1.0 naudoti.

  Pagal numatytuosius nustatymus, jei TLS n?ra naudojamas, ir ?is parametras ?galintas ne kliento arba serverio, nuotolinio darbalaukio protokol? (RDP) kanalas tarp serverio ir kliento yra u??ifruotas naudojant RC4 algoritmas su 128 bit? rakto ilg?. ?jungus ?? parametr? kompiuteryje, yra Windows Server 2003, ?i? yra tiesa:
  • KPP kanalas yra u??ifruotas naudojant 3DES algoritmas ?ifro blokas susiejami (CBC) re?imu su 168 bit? rakto ilg?.
  • SHA-1 algoritmas naudojamas sukurti prane?im? nuos?dos.
  • Klientams prisijungti naudoti KPP 5.2 kliento programa arba naujesn? versija.
  Daugiau informacijos apie tai, kaip sukonfig?ruoti terminal? tarnyb?, spustel?kite toliau straipsnio numer? ir per?i?r?kite straipsn? Microsoft ?ini? baz?je:
  814590Kaip ?galinti ir konfig?ruoti nuotolinio darbalaukio administravimo Windows Server 2003
 • Windows XP klientuose, kuriuose naudojamas RDP 5.2 kliento program? ir v?lesnes KPP gali prisijungti prie Windows Server 2003, Windows Vista ar Windows Server 2008 kompiuteri? ?galinus ?i? parinkt?. Ta?iau nuotolinio darbalaukio ry?? su Windows XP kompiuteri? nepavyksta ?galinus ?i? parinkt? klientas arba serveris.
 • Windows programos, kad ?jungtas FIPS parametras negali prisijungti prie Windows 2000 terminal? tarnybos.
 • ?is parametras turi ?takos ?ifravimo algoritmas, naudojamas i? Koduojam?j? fail? sistemos (EFS) nauj? fail?. Esamus failus netur?jo ?takos ir toliau turi b?ti pasiekiamos naudojan algoritmai, kuriuos jie i? prad?i? buvo u??ifruotas.

  Pastabos
  • Pagal numatytuosius nustatymus EFS ant Windows XP RTM naudoja DESX algoritmas. Jei ?galinsite ?? parametr?, EFS naudoja 168-bitai 3DES ?ifravimo.
  • Kaip numatyta, Windows XP Service Pack 1 (SP1), v?liau Windows XP pakeitim? paketai ir Windows Server 2003, EFS naudoja Advanced Encryption Standard (AES) algoritmas su 256-bit? rakto ilg?. Ta?iau EFS naudoja branduolio re?imo AES ?gyvendinimo. Tai ?gyvendinti n?ra FIPS patvirtintas ?i? platform?. Jei ?jungsite FIPS nustatymas ant ?ios platformos, operacin?s sistemos naudoja 3DES algoritmas su 168 bit? rakto ilg?.
  • Windows Vista ir Windows Server 2008, EFS naudoja AES algoritmas su 256-bit? raktus. Jei ?galinsite ?? parametr?, bus naudojamas AES-256.
  • FIPS vietos politika neturi ?takos slapta?od?io rakto ?ifravimo.
 • Microsoft .NET strukt?ros programas pvz., Microsoft ASP.NET leid?ia tik naudojant algoritm? diegimai, kurie yra sertifikuoti pagal NIST b?ti FIPS 140 suderinamas. Tiksliau, tik kriptografinis algoritmas klases, kad gali b?ti instantiated yra tie, kurie ?gyvendinti FIPS suderinamoms algoritmai. ?i? klasi? pavadinimai baigiasi "CryptoServiceProvider" arba "Cng." Bet koks bandymas sukurti kriptografinis algoritmas klas?s, toki? kaip klas?s pavadinimai baigiasi "Valdom?," sukelti InvalidOperationException i?im?i? pasitaiko. Be to, bet koks bandymas sukurti kriptografinis algoritmas, kuris n?ra su, pvz., MD5, FIPS taip pat sukelia InvalidOperationException i?imtis.
 • ?galinus parametr? FIPS, patikra "ClickOnce" taikomosios programos nepavyksta jei kliento kompiuteryje ?diegta veiksm?:
  • .NET Framework 3.5 ar naujesn?s versijos .NET Framework
  • .NET pagrind? 2.0 Service Pack 1 arba naujesniu pakeitim? paketu
  Pastabos
  • Su Visual Studio 2005, "ClickOnce" taikomosios programos negalima pastatyti ar leid?iamas nuo FIPS reikalingas kompiuteris. Ta?iau, jei kompiuteryje yra .NET pagrind? 2.0 SP2, kuris yra ?trauktas su .NET pagrind? 3.5 SP1, Visual Studio 2005 gali skelbti Winforms/WPF parai?kas.
  • Su Visual Studio 2008, "ClickOnce" taikomosios programos negali b?ti pastatytas arba skelbiami jeigu ?diegtas Visual Studio 2008 SP1 ar v?lesn? versij? Visual Studio.
 • Pagal numatytuosius nustatymus ? Windows Vista ir Windows Server 2008, "BitLocker" disko ?ifravimo funkcija naudoja 128 bit? AES ?ifravim? kartu su papildom? difuzorius. Kai ?is parametras ?galintas, "BitLocker" naudoja 256-bit? AES ?ifravim? be difuzorius. Be to, atk?rimo slapta?od?iai n?ra sukurta ar paremti, kad katalog? tarnybos Active Directory. Tod?l negalima susigr??inti prarastas smeigtukai arba sistemos pakeitim? ?vesdami atk?rimo slapta?od?io klaviat?ra. Nenaudojant atk?rimo slapta?od?, jums gali atsargines kopijas atk?rimo rakt? vietiniame diske arba bendrai naudojamame tinkle. Naudoti atk?rimo rakt?, raktas ant USB ?rengin?. ?junkite prietais? ? kompiuter?.
 • Windows Vista SP1 ir naujesnes versijas Windows Vista ir Windows Server 2008, tik kriptografijos ?kio subjekt? grup?s nariai gali redaguoti kriptografijos IPsec politikos Windows u?kardos parametrus.
Pastabos
 • Po to, galite ?jungti arba i?jungti su sistemos kriptografija: suderinamas naudoti FIPS algoritmus ?ifravimui, mai?ymo ir pasira?ymas saugumo aplinkoje, privalote paleisti savo programa, pvz., Internet Explorer, ?veskite naujojo parametro ?sigaliot?.
 • ?is saugos parametras ?takoja ?i? registro reik?m? Windows Server 2008 ir Windows Vista:
  HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
  ?i registro reik?m? atspindi dabartin? FIPS parametr?. Jei ?is parametras ?galintas, vert? yra 1. Jei parametras i?jungtas, reik?m? yra 0.
 • ?is saugos parametras ?takoja ?i? registro reik?m? Windows Server 2003 ir Windows XP:
  HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
  ?i registro reik?m? atspindi dabartin? FIPS parametr?. Jei ?is parametras ?galintas, vert? yra 1. Jei parametras i?jungtas, reik?m? yra 0.

Savyb?s

Straipsnio ID: 811833 - Paskutin? per?i?ra: 2013 m. bir?elio 7 d. - Per?i?ra: 1.0
Taikoma:
 • Windows Server 2008 Enterprise
 • Windows Server 2008 Standard
 • Windows Server 2008 Enterprise without Hyper-V
 • Windows Server 2008 Datacenter without Hyper-V
 • Windows Server 2008 Datacenter
 • Windows Server 2008 for Itanium-Based Systems
 • Windows Server 2008 Standard without Hyper-V
 • Windows Vista Home Basic 64-bit edition
 • Windows Vista Enterprise 64-bit edition
 • Windows Vista Home Premium 64-bit edition
 • Windows Vista Ultimate 64-bit edition
 • Windows Vista Business
 • Windows Vista Business 64-bit edition
 • Windows Vista Enterprise
 • Windows Vista Home Basic
 • Windows Vista Home Premium
 • Windows Vista Starter
 • Windows Vista Ultimate
 • Microsoft Windows XP leidimas profesionalams
 • Microsoft Windows XP Home Edition
 • Microsoft Windows Server 2003 Datacenter Edition
 • Microsoft Windows Server 2003 Enterprise Edition
 • Microsoft Windows Server 2003 Standard Edition
 • Windows 7 Enterprise
 • Windows 7 Home Basic
 • Windows 7 Home Premium
 • Windows 7 Professional
 • Windows 7 Starter
 • Windows 7 Ultimate
 • Windows Server 2008 R2 Datacenter
 • Windows Server 2008 R2 Enterprise
 • Windows Server 2008 R2 Standard
 • Windows Web Server 2008 R2
Rakta?od?iai: 
kbhowto kbinfo kbmt KB811833 KbMtlt
Atliktas automatinis vertimas
SVARBU: ?is straipsnis i?verstas naudojant ?Microsoft? ma?ininio vertimo programin? ?rang? ir gali b?ti pataisytas naudojant ?Community Translation Framework? (CTF) technologij?. ?Microsoft? si?lo ma?inos i?verstus ir po to bendruomen?s suredaguotus straipsnius, taip pat ?mogaus i?verstus straipsnius siekdama suteikti prieig? prie vis? savo ?ini? baz?s straipsni? daugeliu kalb?. Ma?inos i?verstuose ir v?liau paredaguotuose straipsniuose gali b?ti ?odyno, sintaks?s ir / arba gramatikos klaid?. ?Microsoft? neatsako u? jokius netikslumus, klaidas arba ?al?, patirt? d?l neteisingo turinio vertimo arba m?s? klient? naudojimosi juo. Daugiau apie CTF ?r. http://support.microsoft.com/gp/machine-translation-corrections.
Spustel?kite ?ia, nor?dami pamatyti ?io straipsnio versij? angl? kalba: 811833

Pateikti atsiliepim?

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com