FIPS 140-2-Konformität mit Microsoft Dynamics CRM 2011 Updaterollup 12

In diesem Artikel werden die Anforderungen für die Konformität des Federal Information Processing Standard (FIPS) 140-2 mit Microsoft Dynamics CRM 2011 beschrieben.

Gilt für: Microsoft Dynamics CRM 2011
Ursprüngliche KB-Nummer: 2784079

Einführung

FIPS 140 (Federal Information Processing Standard) – Sicherheitsanforderungen für kryptografische Module [FIPS 140] ist ein Us-Amerikanischer Standard der Bundesregierung, der eine Mindestmenge von Sicherheitsanforderungen für Produkte definiert, die Kryptografie implementieren. Der Standard ist für kryptografische Module konzipiert, die zum Schützen vertraulicher, aber nicht klassifizierter Informationen verwendet werden.

FIPS 140-1, die ursprüngliche Funktionierende Version des Standards, wurde am 11. Januar 1994 offiziell und war bis zum 25. Mai 2002 in Kraft, als FIPS 140-2 zur verbindlichen Norm für neue Produkte wurde. Tests mit dem FIPS 140-Standard werden vom Cryptographic Module Validation Program (CMVP) durchgeführt, einer gemeinsamen Anstrengung des National Institute of Standards (NIST) und des Communications Security Establishment of Canada (CSEC).

Microsoft Windows hat eine lange Geschichte der Teilnahme am CVMP unter FIPS 140-2.

Hinweis

Weitere Informationen zu den Details zur Teilnahme von Microsoft am Programm finden Sie im technischen Artikel FIPS 140 Evaluation at FIPS 140-2 Validation.

In den meisten Fällen zertifiziert das CMVP nicht den gesamten Anwendungsbereich, nur die kritischen Kryptografiedienstkomponenten. Daher können die spezifischen Module, die das Testprogramm erfolgreich abgeschlossen haben, als FIPS-zertifiziert gelten. Alle anderen Anwendungen höherer Ebenen, die diese zertifizierten Komponenten verwenden, können als FIPS-konform oder im FIPS-Modus betrieben werden oder fips-Technologie verwenden.

Anforderungen für die FIPS 140-2-Konformität mit Microsoft Dynamics CRM

Zum Einrichten einer FIPS-kompatiblen Betriebsumgebung muss Folgendes ausgeführt werden:

• Windows Server 2008 R2 SP1 x64
• Microsoft Dynamics CRM 2011 UR3 oder höher
• Microsoft SQL Server 2008 R2 x64

Windows Server

Der erste Schritt beim Konfigurieren einer FIPS 140-2-kompatiblen Betriebsumgebung besteht darin, den Computer zu konfigurieren, auf dem Windows Server 2008 R2 SP1 x64 ausgeführt wird, indem die FIPS-Sicherheitseinstellung aktiviert wird. Führen Sie die folgenden Schritte aus, um die Windows Server FIPS-Sicherheitseinstellung entweder in der lokalen Sicherheitsrichtlinie oder als Teil von Gruppenrichtlinie zu aktivieren:

1. Melden Sie sich mit einem Konto mit Administratoranmeldeinformationen bei einem Computer mit Windows Server 2008 R2 SP1 x64 an, auf dem eine der CRM-Serverrollen installiert ist.

2. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ein gpedit.msc, und drücken Sie dann die EINGABETASTE.

3. Doppelklicken Sie im Editor für lokale Gruppenrichtlinie unter dem Knoten Computerkonfiguration auf Windows-Einstellungen, und doppelklicken Sie dann auf Sicherheitseinstellungen.

4. Doppelklicken Sie unter dem Knoten Sicherheitseinstellungen auf Lokale Richtlinien, und klicken Sie dann auf Sicherheitsoptionen.

5. Doppelklicken Sie im Detailbereich auf Systemkryptografie: FiPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signierung verwenden.

6. Klicken Sie im Dialogfeld Systemkryptografie: FiPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signierung verwenden auf Aktiviert, und klicken Sie dann auf OK , um das Dialogfeld zu schließen.

7. Schließen Sie den Editor für lokale Gruppenrichtlinien.

   Weitere Informationen finden Sie unter FIPS 140-2-Validierung.

Microsoft SQL Server

Wenn der SQL Server 2008-Dienst erkennt, dass der FIPS-Modus beim Start aktiviert ist, protokolliert SQL Server 2008 die folgende Meldung im SQL Server Fehlerprotokoll:

Service Broker-Transport wird im FIPS-Konformitätsmodus ausgeführt

Darüber hinaus kann die folgende Meldung im Anwendungsprotokoll protokolliert werden:

Der Transport der Datenbankspiegelung wird im FIPS-Konformitätsmodus ausgeführt.

Um sicherzustellen, dass der Server im FIPS-kompatiblen Modus ausgeführt wird, suchen und überprüfen Sie, ob die erste (und möglicherweise die zweite) Nachricht vorhanden ist.

Besondere Überlegungen zu Bereitstellungen mit Windows-Netzwerklastenausgleich

Für Microsoft Dynamics CRM 2011-Bereitstellungen mit Windows-Netzwerklastenausgleich (Network Load Balancing, NLB) erfordert die Konformität mit FIPS 140-2 eine Konfigurationsänderung an der .NET-Computerdatei config.xml Auf den CRM-Webservern.

Führen Sie die folgenden Schritte aus, um die FIPS-Konformität für Microsoft Dynamics CRM 2011-Implementierungen mithilfe von NLB sicherzustellen:

1. Melden Sie sich mit einem Konto mit Administratoranmeldeinformationen bei einem Computer an, der als CRM-Webserver fungiert.

2. Navigieren Sie zum Ordner C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config, und öffnen Sie dann die Datei mit dem Namen machine.config.

3. In der Datei unter einem vorhandenen <mscorlib> -.....</mscorlib-Elemente> fügen zwischen den <Elementen /system.web> und </configuration> den folgenden Text hinzu:

   <mscorlib>
   <cryptographySettings>
   <cryptoNameMapping>
   <cryptoClasses>
   <cryptoClass
   SHA256CSP="System.Security.Cryptography.SHA256CryptoServiceProvider, System.Core, Version=4.0.0.0, Culture=neutral,
   PublicKeyToken=b77a5c561934e089" />
   <cryptoClass
   RijndaelCSP="System.Security.Cryptography.AesCryptoServiceProvider, System.Core, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" />
   </cryptoClasses>
   <nameEntry
   name="SHA256"
   class="SHA256CSP" />
   <nameEntry
   name="https://www.w3.org/2001/04/xmlenc#aes256-cbc"
   class="RijndaelCSP" />
   </cryptoNameMapping>
   </cryptographySettings>
   </mscorlib>
   

Microsoft Dynamics CRM Email Router

Fügen Sie den Registrierungswert HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM Email\MSCRMFIPSCompliance = 1 (Dword) auf Email Routerserver hinzu, und installieren Sie dann Email Router.

Weitere Informationen

Wenn die Microsoft Dynamics CRM 2011-Plattform mithilfe der hier beschriebenen Verfahren konfiguriert wird, verwendet Microsoft Dynamics CRM 2011 ausschließlich FIPS-zertifizierte Algorithmen und Komponenten für alle abgedeckten Kryptografiefunktionen und wird daher im FIPS 140-2-kompatiblen Modus ausgeführt.