Conformità FIPS 140-2 con aggiornamento cumulativo 12 Microsoft Dynamics CRM 2011

Questo articolo descrive i requisiti per la conformità FIPS (Federal Information Processing Standard) 140-2 con Microsoft Dynamics CRM 2011.

Si applica a: Microsoft Dynamics CRM 2011
Numero KB originale: 2784079

Introduzione

Federal Information Processing Standard (FIPS) 140 - Requisiti di sicurezza per i moduli di crittografia [FIPS 140] è uno standard del governo federale degli Stati Uniti che definisce un set minimo di requisiti di sicurezza per i prodotti che implementano la crittografia. Lo standard è progettato per i moduli di crittografia usati per proteggere le informazioni sensibili, ma non classificate.

FIPS 140-1, la versione di lavoro originale dello standard, divenne ufficiale l'11 gennaio 1994 e rimase in vigore fino al 25 maggio 2002, quando FIPS 140-2 divenne lo standard obbligatorio per i nuovi prodotti. I test rispetto allo standard FIPS 140 vengono gestiti dal Cryptographic Module Validation Program (CMVP), uno sforzo congiunto tra il National Institute of Standards (NIST) e il Communications Security Establishment of Canada (CSEC).

Microsoft Windows ha una lunga storia di partecipazione al CVMP in FIPS 140-2.

Nota

Per altre informazioni sui dettagli della partecipazione di Microsoft al programma, vedere l'articolo tecnico FIPS 140 Evaluation at FIPS 140-2 Validation.For more information about the details of Microsoft's participation in the program, see the Technical Article FIPS 140 Evaluation at FIPS 140-2 Validation.

Nella maggior parte dei casi, cmvp non certifica l'intero spazio dell'applicazione, ma solo i componenti critici del servizio di crittografia. Di conseguenza, i moduli specifici che hanno completato correttamente il programma di test possono richiedere la certificazione FIPS. Tutte le altre applicazioni di livello superiore che usano questi componenti certificati possono essere dichiarate conformi a FIPS o funzionano in modalità FIPS o usano la tecnologia FIPS.

Requisiti per la conformità FIPS 140-2 con Microsoft Dynamics CRM

Per configurare un ambiente operativo conforme a FIPS è necessario eseguire quanto segue:

• Windows Server 2008 R2 SP1 x64
• Microsoft Dynamics CRM 2011 UR3 o versione successiva
• Microsoft SQL Server 2008 R2 x64

Server Windows

Il primo passaggio nella configurazione di un ambiente operativo conforme a FIPS 140-2 consiste nel configurare il computer che esegue Windows Server 2008 R2 SP1 x64 abilitando l'impostazione di sicurezza FIPS. Per abilitare l'impostazione di sicurezza FIPS di Windows Server nei criteri di sicurezza locali o come parte di Criteri di gruppo, seguire questa procedura:

1. Usando un account con credenziali amministrative, accedere a un computer che esegue Windows Server 2008 R2 SP1 x64 in cui è installato uno dei ruoli del server CRM.

2. Fare clic su Start, fare clic su Esegui, digitare gpedit.msce quindi premere INVIO.

3. Nell'Editor Criteri di gruppo locale fare doppio clic su Impostazioni di Windows nel nodo Configurazione computer e quindi fare doppio clic su Impostazioni di sicurezza.

4. Nel nodo Impostazioni di sicurezza fare doppio clic su Criteri locali e quindi su Opzioni di sicurezza.

5. Nel riquadro dei dettagli fare doppio clic su Crittografia di sistema: usare algoritmi conformi a FIPS per la crittografia, l'hash e la firma.

6. Nella finestra di dialogo Crittografia di sistema: usare algoritmi conformi a FIPS per la crittografia, l'hash e la firma , fare clic su Abilitato e quindi su OK per chiudere la finestra di dialogo.

7. Chiudere l'Editor Criteri di gruppo locali.

   Per altre informazioni, vedere Convalida FIPS 140-2.

Microsoft SQL Server

Quando il servizio SQL Server 2008 rileva che la modalità FIPS è abilitata all'avvio, SQL Server 2008 registra il messaggio seguente nel log degli errori SQL Server:

Il trasporto di Service Broker è in esecuzione in modalità di conformità FIPS

Inoltre, nel log dell'applicazione potrebbe essere registrato il messaggio seguente:

Il trasporto del mirroring del database è in esecuzione in modalità di conformità FIPS

Per assicurarsi che il server sia in esecuzione in modalità conforme a FIPS, individuare e verificare l'esistenza del primo (e possibilmente del secondo) messaggio.

Considerazioni speciali per le distribuzioni con il bilanciamento del carico di rete di Windows

Per le distribuzioni di Microsoft Dynamics CRM 2011 con Bilanciamento carico di rete di Windows, la conformità con FIPS 140-2 richiede la modifica della configurazione al file del computer .NET config.xml nei server Web CRM.

Per garantire la compatibilità di FIPS per le implementazioni di Microsoft Dynamics CRM 2011 che sfruttano Bilanciamento carico di rete, seguire questa procedura:

1. Usando un account con credenziali amministrative, accedere a un computer che funge da server Web CRM.

2. Passare alla cartella C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Confige quindi aprire il file denominato machine.config.

3. Nel file, in qualsiasi .....< mscorlib> esistente <Gli elementi /mscorlib>, tra gli <elementi /system.web> e </configuration>, aggiungono il testo seguente:

   <mscorlib>
   <cryptographySettings>
   <cryptoNameMapping>
   <cryptoClasses>
   <cryptoClass
   SHA256CSP="System.Security.Cryptography.SHA256CryptoServiceProvider, System.Core, Version=4.0.0.0, Culture=neutral,
   PublicKeyToken=b77a5c561934e089" />
   <cryptoClass
   RijndaelCSP="System.Security.Cryptography.AesCryptoServiceProvider, System.Core, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" />
   </cryptoClasses>
   <nameEntry
   name="SHA256"
   class="SHA256CSP" />
   <nameEntry
   name="https://www.w3.org/2001/04/xmlenc#aes256-cbc"
   class="RijndaelCSP" />
   </cryptoNameMapping>
   </cryptographySettings>
   </mscorlib>
   

router Microsoft Dynamics CRM Email

Aggiungere il valore HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM Email\MSCRMFIPSCompliance = del Registro di sistema 1 (Dword) nel server router Email, quindi installare Email Router.

Ulteriori informazioni

Se la piattaforma Microsoft Dynamics CRM 2011 è configurata usando le procedure riportate di seguito, Microsoft Dynamics CRM 2011 userà esclusivamente algoritmi e componenti certificati FIPS per tutte le funzioni crittografiche coperte e pertanto funzionerà in modalità conforme a FIPS 140-2.