Compatibilité FIPS 140-2 avec Microsoft Dynamics CRM correctif cumulatif 2011 12

Cet article décrit les exigences de conformité fiPS (Federal Information Processing Standard) 140-2 avec Microsoft Dynamics CRM 2011.

S’applique à : Microsoft Dynamics CRM 2011
Numéro de la base de connaissances d’origine : 2784079

Introduction

La norme FIPS (Federal Information Processing Standard) 140 - Exigences de sécurité pour les modules de chiffrement [FIPS 140] est une norme du gouvernement fédéral des États-Unis qui définit un ensemble minimal d’exigences de sécurité pour les produits qui implémentent le chiffrement. La norme est conçue pour les modules de chiffrement utilisés pour sécuriser des informations sensibles, mais non classifiées.

FIPS 140-1, la version opérationnelle d’origine de la norme, est devenue officielle le 11 janvier 1994 et était en vigueur jusqu’au 25 mai 2002, date à laquelle FIPS 140-2 est devenue la norme obligatoire pour les nouveaux produits. Les tests par rapport à la norme FIPS 140 sont gérés par le Programme de validation de module de chiffrement (CMVP), un effort conjoint du National Institute of Standards (NIST) et du Centre canadien de la sécurité des communications (CSTC).

Microsoft Windows a une longue histoire de participation au CVMP sous FIPS 140-2.

Remarque

Pour plus d’informations sur la participation de Microsoft au programme, consultez l’article technique FIPS 140 Evaluation at FIPS 140-2 Validation.

Dans la plupart des cas, le CMVP ne certifie pas l’ensemble de l’espace d’application, mais uniquement les composants critiques du service de chiffrement. Par conséquent, les modules spécifiques qui ont terminé avec succès le programme de test peuvent prétendre être certifiés FIPS. Toutes les autres applications de couche supérieure qui utilisent ces composants certifiés peuvent être dites conformes FIPS ou fonctionnant en mode FIPS ou utilisent la technologie FIPS.

Conditions requises pour la conformité FIPS 140-2 avec Microsoft Dynamics CRM

La configuration d’un environnement d’exploitation conforme FIPS nécessite l’exécution des opérations suivantes :

• Windows Server 2008 R2 SP1 x64
• Microsoft Dynamics CRM 2011 UR3 ou version ultérieure
• Microsoft SQL Server 2008 R2 x64

Windows Server

La première étape de la configuration d’un environnement d’exploitation conforme à FIPS 140-2 consiste à configurer l’ordinateur qui exécute Windows Server 2008 R2 SP1 x64 en activant le paramètre de sécurité FIPS. Pour activer le paramètre de sécurité FIPS Windows Server dans la stratégie de sécurité locale ou dans le cadre de stratégie de groupe, procédez comme suit :

1. À l’aide d’un compte disposant d’informations d’identification d’administration, connectez-vous à un ordinateur exécutant Windows Server 2008 R2 SP1 x64 sur lequel l’un des rôles crm Server est installé.

2. Cliquez sur Démarrer, sur Exécuter, tapez gpedit.msc, puis appuyez sur Entrée.

3. Dans l’Éditeur de stratégie de groupe local, sous le nœud Configuration de l’ordinateur, double-cliquez sur Paramètres Windows, puis double-cliquez sur Paramètres de sécurité.

4. Sous le nœud Paramètres de sécurité , double-cliquez sur Stratégies locales, puis cliquez sur Options de sécurité.

5. Dans le volet d’informations, double-cliquez sur Chiffrement système : utiliser des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature.

6. Dans la boîte de dialogue Chiffrement système : Utiliser des algorithmes conformes FIPS pour le chiffrement, le hachage et la signature , cliquez sur Activé, puis sur OK pour fermer la boîte de dialogue.

7. Fermez lʼÉditeur de stratégie de groupe locale.

   Pour plus d’informations, consultez Validation FIPS 140-2.

Microsoft SQL Server

Lorsque le service SQL Server 2008 détecte que le mode FIPS est activé au démarrage, SQL Server 2008 enregistre le message suivant dans le journal des erreurs SQL Server :

Le transport Service Broker s’exécute en mode de conformité FIPS

En outre, le message suivant peut être enregistré dans le journal des applications :

Le transport de mise en miroir de bases de données s’exécute en mode de conformité FIPS

Pour vous assurer que le serveur s’exécute en mode conforme FIPS, recherchez et vérifiez l’existence du premier (et éventuellement du deuxième) message.

Considérations spéciales pour les déploiements avec l’équilibrage de charge réseau Windows

Pour les déploiements Microsoft Dynamics CRM 2011 avec l’équilibrage de la charge réseau (NLB) Windows, la conformité avec FIPS 140-2 nécessite la modification de la configuration de l’ordinateur .NET config.xml fichier sur les serveurs web CRM.

Pour garantir la compatibilité FIPS pour les implémentations Microsoft Dynamics CRM 2011 tirant parti de l’équilibrage de la charge réseau, procédez comme suit :

1. À l’aide d’un compte disposant d’informations d’identification d’administration, connectez-vous à un ordinateur servant de serveur web CRM.

2. Accédez au dossier C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config, puis ouvrez le fichier nommé machine.config.

3. Dans le fichier, sous une .....< mscorlib> existante <Les éléments /mscorlib>, entre les <éléments /system.web> et </configuration>, ajoutez le texte suivant :

   <mscorlib>
   <cryptographySettings>
   <cryptoNameMapping>
   <cryptoClasses>
   <cryptoClass
   SHA256CSP="System.Security.Cryptography.SHA256CryptoServiceProvider, System.Core, Version=4.0.0.0, Culture=neutral,
   PublicKeyToken=b77a5c561934e089" />
   <cryptoClass
   RijndaelCSP="System.Security.Cryptography.AesCryptoServiceProvider, System.Core, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" />
   </cryptoClasses>
   <nameEntry
   name="SHA256"
   class="SHA256CSP" />
   <nameEntry
   name="https://www.w3.org/2001/04/xmlenc#aes256-cbc"
   class="RijndaelCSP" />
   </cryptoNameMapping>
   </cryptographySettings>
   </mscorlib>
   

routeur Microsoft Dynamics CRM Email

Ajoutez la valeur HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM Email\MSCRMFIPSCompliance = de Registre 1 (Dword) sur Email serveur routeur, puis installez Email Router.

Informations supplémentaires

Si la plateforme Microsoft Dynamics CRM 2011 est configurée à l’aide des procédures ici, Microsoft Dynamics CRM 2011 utilise exclusivement des algorithmes et des composants certifiés FIPS pour toutes les fonctions de chiffrement couvertes et fonctionne donc en mode conforme FIPS 140-2.