システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使うSystem cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing

適用対象Applies to

  • Windows 10Windows 10

IT プロフェッショナル向けこのセキュリティ ポリシーリファレンス トピックでは、このポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。This security policy reference topic for the IT professional describes the best practices, location, values, policy management and security considerations for this policy setting.

リファレンスReference

連邦情報処理標準 (FIPS) 140 は、暗号化ソフトウェアを認証するために設計されたセキュリティ実装です。The Federal Information Processing Standard (FIPS) 140 is a security implementation that is designed for certifying cryptographic software. Windows では、これらの認定アルゴリズムを実装して、米国連邦政府の部門や機関が使用する暗号化モジュールの要件と基準を満たしています。Windows implements these certified algorithms to meet the requirements and standards for cryptographic modules for use by departments and agencies of the United States federal government.

TLS/SSLTLS/SSL

このポリシー設定は、TLS/SSL セキュリティ プロバイダーが TLS_RSA_WITH_3DES_EDE_CBC_SHA と呼ばれる FIPS 準拠の強力な暗号スイートのみをサポートするかどうかを決定します。つまり、プロバイダーはクライアント コンピューターとして、およびサーバーとしてのみ TLS プロトコルをサポートします (該当する場合)。This policy setting determines whether the TLS/SSL security provider supports only the FIPS-compliant strong cipher suite known as TLS_RSA_WITH_3DES_EDE_CBC_SHA, which means that the provider only supports the TLS protocol as a client computer and as a server, if applicable. TLS トラフィック暗号化にはトリプル データ暗号化標準 (3DES) 暗号化アルゴリズムのみを使用し、TLS キー交換と認証には Rivest-Shamir-Adleman (RSA) 公開キー アルゴリズムのみ、TLS ハッシュ要件には Secure Hash Algorithm Version 1 (SHA-1) ハッシュ アルゴリズムのみを使用します。It uses only the Triple Data Encryption Standard (3DES) encryption algorithm for the TLS traffic encryption, only the Rivest-Shamir-Adleman (RSA) public key algorithm for the TLS key exchange and authentication, and only the Secure Hash Algorithm version 1 (SHA-1) hashing algorithm for the TLS hashing requirements.

ファイル システムの暗号化 (EFS)Encrypting File System (EFS)

EFS サービスの場合、このポリシー設定では、NTFS ファイル システムでサポートされているファイル データを暗号化するための 3DES および Advanced Encryption Standard (AES) 暗号化アルゴリズムがサポートされています。For the EFS service, this policy setting supports the 3DES and Advanced Encryption Standard (AES) encryption algorithms for encrypting file data supported by the NTFS file system. ファイル データを暗号化するには、既定で EFS は Windows Server 2003、Windows Vista 以降の 256 ビット キーを持つ高度な暗号化標準 (AES) アルゴリズムを使用し、Windows XP では DESX アルゴリズムを使用します。To encrypt file data, by default EFS uses the Advanced Encryption Standard (AES) algorithm with a 256-bit key in the Windows Server 2003, Windows Vista, and later, and it uses a DESX algorithm in Windows XP.

リモート デスクトップ サービス (RDS)Remote Desktop Services (RDS)

リモート デスクトップ サービスを使用している場合は、3DES 暗号化アルゴリズムがサポートされている場合にのみ、このポリシー設定を有効にする必要があります。If you're using Remote Desktop Services, this policy setting should only be enabled if the 3DES encryption algorithm is supported.

BitLockerBitLocker

BitLocker の場合、暗号化キーが生成される前に、このポリシー設定を有効にする必要があります。For BitLocker, this policy setting needs to be enabled before any encryption key is generated. このポリシーが有効になっているWindows Server 2012 R2 および Windows 8.1 以降で作成された回復パスワードは、Windows Server 2012 R2 および Windows 8.1 より前のオペレーティング システム上の BitLocker と互換性がありません。BitLocker は、これらのシステムでの回復パスワードの作成または使用を防止します。そのため、代わりに回復キーを使用する必要があります。Recovery passwords created on Windows Server 2012 R2 and Windows 8.1 and later when this policy is enabled are incompatible with BitLocker on operating systems prior to Windows Server 2012 R2 and Windows 8.1; BitLocker will prevent the creation or use of recovery passwords on these systems, so recovery keys should be used instead. さらに、データ ドライブがパスワードで保護されている場合は、パスワードの指定後に FIPS 準拠のコンピューターからアクセスできますが、ドライブは読み取り専用になります。Additionally, if a data drive is password-protected, it can be accessed by a FIPS-compliant computer after the password is supplied, but the drive will be read-only.

Possible values

  • 有効Enabled
  • 無効Disabled
  • 未定義Not defined

ベスト プラクティスBest practices

FIPS 140-2 に準拠することを望むお客様は、FIPS 140-2 承認済みモードで動作している場合に、Windows が提供する FIPS 140-2 検証された暗号化を使用するようにソリューションを構成するために使用する可能性のあるアプリケーションとプロトコルの構成設定を調査することをお勧めします。We recommend that customers hoping to comply with FIPS 140-2 research the configuration settings of applications and protocols they may be using to ensure their solutions can be configured to utilize the FIPS 140-2 validated cryptography provided by Windows when it is operating in FIPS 140-2 approved mode.

Microsoft が推奨する構成設定の完全な一覧については、「Windows セキュリティ 基準」を参照してくださいFor a complete list of Microsoft-recommended configuration settings, see Windows security baselines. Windows と FIPS 140-2 の詳細については 、「FIPS 140 Validation」を参照してくださいFor more information about Windows and FIPS 140-2, see FIPS 140 Validation.

場所Location

コンピューターの構成\Windows の設定\セキュリティ設定\ローカル ポリシー\セキュリティ オプションComputer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

既定値Default values

次の表に、このポリシーの実際の既定値と有効な既定値を示します。The following table lists the actual and effective default values for this policy. 既定値は、このポリシーのプロパティ ページにも表示されます。Default values are also listed on the policy’s property page.

サーバーの種類または GPOServer type or GPO 既定値Default value
既定のドメイン ポリシーDefault Domain Policy 未定義Not defined
既定のドメイン コントローラー ポリシーDefault Domain Controller Policy 未定義Not defined
Stand-Aloneサーバーの既定の設定Stand-Alone Server Default Settings 無効Disabled
DC 有効な既定の設定DC Effective Default Settings 無効Disabled
メンバー サーバーの有効な既定の設定Member Server Effective Default Settings 無効Disabled
クライアント コンピューターの有効な既定の設定Client Computer Effective Default Settings 無効Disabled

オペレーティング システムのバージョンの違いOperating system version differences

この設定を有効にすると、暗号化ファイル システム (EFS) サービスは、ファイル データを暗号化するためのトリプル DES 暗号化アルゴリズムのみをサポートします。When this setting is enabled, the Encrypting File System (EFS) service supports only the Triple DES encryption algorithm for encrypting file data. 既定では、WINDOWS Vista と EFS の Windows Server 2003 実装では、256 ビット キーを持つ高度な暗号化標準 (AES) が使用されます。By default, the Windows Vista and the Windows Server 2003 implementation of EFS uses the Advanced Encryption Standard (AES) with a 256-bit key. Windows XP の実装では、DESX を使用します。The Windows XP implementation uses DESX.

この設定を有効にすると、BitLocker は、次に示すバージョンに適用可能な回復パスワードまたは回復キーを生成します。When this setting is enabled, BitLocker generates recovery password or recovery keys applicable to versions listed in the following:

オペレーティング システムOperating systems 適用性Applicability
Windows 10、Windows 8.1、および R2 Windows Server 2012Windows 10, Windows 8.1, and Windows Server 2012 R2 これらのオペレーティング システムで作成した場合、回復パスワードは、この表に記載されている他のシステムでは使用できません。When created on these operating systems, the recovery password cannot be used on other systems listed in this table.
Windows Server 2012 と Windows 8Windows Server 2012 and Windows 8 これらのオペレーティング システムで作成した場合、回復キーは、この表に記載されている他のシステムでも使用できます。When created on these operating systems, the recovery key can be used on other systems listed in this table as well.
Windows Server 2008 R2 および Windows 7Windows Server 2008 R2 and Windows 7 これらのオペレーティング システムで作成した場合、回復キーは、この表に記載されている他のシステムでも使用できます。When created on these operating systems, the recovery key can be used on other systems listed in this table as well.
Windows Server 2008 と Windows VistaWindows Server 2008 and Windows Vista これらのオペレーティング システムで作成した場合、回復キーは、この表に記載されている他のシステムでも使用できます。When created on these operating systems, the recovery key can be used on other systems listed in this table as well.

ポリシー管理Policy management

このセクションでは、このポリシーの管理に役立つ機能とツールについて説明します。This section describes features and tools that are available to help you manage this policy.

再起動の必要性Restart requirement

なし。None. このポリシーに対する変更は、デバイスをローカルに保存したり、グループ ポリシーを通じて配布したりすると、デバイスを再起動せずに有効になります。Changes to this policy become effective without a device restart when they are saved locally or distributed through Group Policy.

グループ ポリシーGroup Policy

グループ ポリシーを使用してこのポリシーを設定および展開すると、ローカル デバイスの設定よりも優先されます。Setting and deploying this policy using Group Policy takes precedence over the setting on the local device. グループ ポリシーが [構成されていません] に 設定されている場合は、ローカル設定が適用されます。If the Group Policy is set to Not Configured, local settings will apply.

セキュリティに関する考慮事項Security considerations

このセクションでは、攻撃者が機能や構成をどのように悪用するかと、対抗策の実装方法、対抗策を実施した結果として生じる可能性のある悪影響について説明します。This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

脆弱性Vulnerability

このポリシー設定を有効にすると、デバイスがデジタル暗号化、ハッシュ、署名に使用できる最も強力なアルゴリズムを使用できます。You can enable this policy setting to ensure that the device uses the most powerful algorithms that are available for digital encryption, hashing, and signing. これらのアルゴリズムを使用すると、承認されていないユーザーによるデジタル暗号化または署名されたデータの侵害のリスクを最小限に抑える必要があります。Use of these algorithms minimize the risk of compromise of digitally encrypted or signed data by an unauthorized user.

対抗策Countermeasure

システム暗号化 を有効にする: 暗号化、 ハッシュ、署名の設定には FIPS 準拠のアルゴリズムを使用します。Enable the System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing setting.

潜在的な影響Potential impact

このポリシー設定が有効になっているクライアント デバイスは、デジタル暗号化または署名されたプロトコルを使用して、これらのアルゴリズムをサポートしていないサーバーと通信できません。Client devices that have this policy setting enabled cannot communicate by means of digitally encrypted or signed protocols with servers that do not support these algorithms. これらのアルゴリズムをサポートしていないネットワーク クライアントは、ネットワーク通信に必要なサーバーを使用できません。Network clients that do not support these algorithms cannot use servers that require them for network communications. たとえば、多くの Apache ベースの Web サーバーは TLS をサポートするように構成されていません。For example, many Apache-based Web servers are not configured to support TLS. この設定を有効にする場合は、TLS を使用Internet Explorer®構成する必要があります。If you enable this setting, you must also configure Internet Explorer® to use TLS. このポリシー設定は、リモート デスクトップ プロトコル (RDP) に使用される暗号化レベルにも影響します。This policy setting also affects the encryption level that is used for the Remote Desktop Protocol (RDP). リモート デスクトップ接続ツールは、RDP プロトコルを使用して、ターミナル サービスを実行するサーバーと、リモート コントロール用に構成されたクライアント コンピューターと通信します。両方のデバイスが同じ暗号化アルゴリズムを使用するように構成されていない場合、RDP 接続は失敗します。The Remote Desktop Connection tool uses the RDP protocol to communicate with servers that run Terminal Services and client computers that are configured for remote control; RDP connections fail if both devices are not configured to use the same encryption algorithms.