Criptografía de sistema: usar algoritmos que cumplan FIPS para cifrado, firma y operaciones hash
Se aplica a
- Windows10
En este tema de referencia de directiva de seguridad para el profesional de TI se describen los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las consideraciones de seguridad para esta configuración de directiva.
Referencia
El Estándar federal de procesamiento de información (FIPS) 140 es una implementación de seguridad diseñada para certificar software criptográfico. Windows implementa estos algoritmos certificados para cumplir los requisitos y estándares de los módulos criptográficos para su uso por parte de departamentos y agencias del Estados Unidos gobierno federal.
TLS/SSL
Esta configuración de directiva determina si el proveedor de seguridad TLS/SSL solo admite el conjunto de cifrado seguro compatible con FIPS conocido como TLS_RSA_WITH_3DES_EDE_CBC_SHA, lo que significa que el proveedor solo admite el protocolo TLS como equipo cliente y como servidor, si procede. Solo usa el algoritmo de cifrado estándar de cifrado de datos triple (3DES) para el cifrado de tráfico TLS, solo el algoritmo de clave pública Rivest-Shamir-Adleman (RSA) para el intercambio y autenticación de claves TLS y solo el algoritmo hash Secure Hash Algorithm versión 1 (SHA-1) para los requisitos de hash TLS.
Sistema de archivos de cifrado (EFS)
Para el servicio EFS, esta configuración de directiva admite los algoritmos de cifrado 3DES y Advanced Encryption Standard (AES) para cifrar los datos de archivo compatibles con el sistema de archivos NTFS. Para cifrar los datos de archivo, EFS usa de forma predeterminada el algoritmo Estándar de cifrado avanzado (AES) con una clave de 256 bits en Windows Server 2003, Windows Vista y versiones posteriores, y usa un algoritmo DESX en Windows XP.
Servicios de Escritorio remoto (RDS)
Si usa Servicios de Escritorio remoto, esta configuración de directiva solo debe estar habilitada si se admite el algoritmo de cifrado 3DES.
BitLocker
Para BitLocker, esta configuración de directiva debe habilitarse antes de generar cualquier clave de cifrado. Las contraseñas de recuperación creadas en Windows Server 2012 R2 y Windows 8.1 y versiones posteriores cuando esta directiva está habilitada son incompatibles con BitLocker en sistemas operativos antes de Windows Server 2012 R2 y Windows 8.1 ; BitLocker impedirá la creación o el uso de contraseñas de recuperación en estos sistemas, por lo que se deben usar las claves de recuperación en su lugar. Además, si una unidad de datos está protegida con contraseña, un equipo compatible con FIPS puede acceder a ella después de proporcionar la contraseña, pero la unidad será de solo lectura.
Posibles valores
- Habilitado
- Deshabilitado
- No definido
Procedimientos recomendados
Se recomienda que los clientes que esperan cumplir con FIPS 140-2 investiguen la configuración de las aplicaciones y protocolos que pueden usar para asegurarse de que sus soluciones se pueden configurar para usar la criptografía validada de FIPS 140-2 proporcionada por Windows cuando funciona en modo aprobado por FIPS 140-2.
Para obtener una lista completa de las opciones de configuración recomendadas por Microsoft, consulte Líneas base de seguridad de Windows. Para obtener más información sobre Windows y FIPS 140-2, vea Validación de FIPS 140.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad
Valores predeterminados
En la tabla siguiente se enumeran los valores predeterminados reales y efectivos de esta directiva. Los valores predeterminados también se enumeran en la página de propiedades de la directiva.
| Tipo de servidor o GPO | Valor predeterminado |
|---|---|
| Directiva de dominio predeterminada | No definido |
| Directiva de controlador de dominio predeterminada | No definido |
| configuración predeterminada del servidor de Stand-Alone | Deshabilitado |
| Configuración predeterminada efectiva de DC | Deshabilitado |
| Configuración predeterminada efectiva del servidor miembro | Deshabilitado |
| Configuración predeterminada efectiva del equipo cliente | Deshabilitado |
Diferencias de versión del sistema operativo
Cuando esta configuración está habilitada, el servicio Sistema de cifrado de archivos (EFS) solo admite el algoritmo de cifrado Triple DES para cifrar los datos de archivo. De forma predeterminada, la implementación de EFS de Windows Vista y Windows Server 2003 usa Advanced Encryption Standard (AES) con una clave de 256 bits. La implementación de Windows XP usa DESX.
Cuando esta configuración está habilitada, BitLocker genera la contraseña de recuperación o las claves de recuperación aplicables a las versiones siguientes:
| Sistemas operativos | Aplicabilidad |
|---|---|
| Windows 10, Windows 8.1 y Windows Server 2012 R2 | Cuando se crea en estos sistemas operativos, la contraseña de recuperación no se puede usar en otros sistemas enumerados en esta tabla. |
| Windows Server 2012 y Windows 8 | Cuando se crea en estos sistemas operativos, la clave de recuperación también se puede usar en otros sistemas enumerados en esta tabla. |
| Windows Server 2008 R2 y Windows 7 | Cuando se crea en estos sistemas operativos, la clave de recuperación también se puede usar en otros sistemas enumerados en esta tabla. |
| Windows Server 2008 y Windows Vista | Cuando se crea en estos sistemas operativos, la clave de recuperación también se puede usar en otros sistemas enumerados en esta tabla. |
Administración de directivas
En esta sección se describen las características y herramientas que están disponibles para ayudarle a administrar esta directiva.
Requisito de reinicio
Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan localmente o se distribuyen a través de directiva de grupo.
Directiva de grupo
La configuración e implementación de esta directiva mediante directiva de grupo tiene prioridad sobre la configuración en el dispositivo local. Si el directiva de grupo está establecido en No configurado, se aplicará la configuración local.
Consideraciones de seguridad
En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.
Vulnerabilidad
Puede habilitar esta configuración de directiva para asegurarse de que el dispositivo usa los algoritmos más eficaces que están disponibles para el cifrado digital, el hash y la firma. El uso de estos algoritmos minimiza el riesgo de peligro de que un usuario no autorizado cifre o firme digitalmente los datos.
Contramedida
Habilitar la criptografía del sistema: use algoritmos compatibles con FIPS para el cifrado, el hash y la configuración de firma .
Posible efecto
Los dispositivos cliente que tienen habilitada esta configuración de directiva no se pueden comunicar a través de protocolos cifrados digitalmente o firmados con servidores que no admiten estos algoritmos. Los clientes de red que no admiten estos algoritmos no pueden usar servidores que los requieran para las comunicaciones de red. Por ejemplo, muchos servidores web basados en Apache no están configurados para admitir TLS. Si habilita esta configuración, también debe configurar Internet Explorer® para usar TLS. Esta configuración de directiva también afecta al nivel de cifrado que se usa para el Protocolo de Escritorio remoto (RDP). La herramienta Conexión a Escritorio remoto usa el protocolo RDP para comunicarse con servidores que ejecutan Terminal Services y equipos cliente configurados para el control remoto; Se produce un error en las conexiones RDP si ambos dispositivos no están configurados para usar los mismos algoritmos de cifrado.
Temas relacionados
Comentarios
Enviar y ver comentarios de