系统加密: 将 FIPS 兼容算法用于加密、哈希和签名
适用范围
- Windows 10
IT 专业人员的此安全策略参考主题介绍了此策略设置的最佳做法、位置、值、策略管理和安全注意事项。
参考
联邦信息处理标准 (FIPS) 140 是一项安全实现,旨在认证加密软件。 Windows 实施这些经过认证的算法,以满足加密模块的要求和标准,供美国联邦政府的部门和机构使用。
TLS/SSL
此策略设置确定 TLS/SSL 安全提供程序是否仅支持与 FIPS 兼容的强密码套件(称为 TLS_RSA_WITH_3DES_EDE_CBC_SHA),这意味着提供程序仅支持 TLS 协议作为客户端计算机和服务器(如果适用)。 它只使用三重数据加密标准 (3DES) 加密算法进行 TLS 流量加密, 只有 Rivest-Shamir-Adleman (RSA) 用于 TLS 密钥交换和身份验证的公钥算法,并且只有安全哈希算法版本 1 (SHA-1) 用于 TLS 哈希要求的哈希算法。
**加密文件系统 (EFS) **
对于 EFS 服务,此策略设置支持用于加密 NTFS 文件系统支持的文件数据的 3DES 和高级加密标准 (AES) 加密算法。 若要加密文件数据,默认情况下,EFS 使用高级加密标准 (AES) 算法,在 Windows Server 2003、Windows Vista 及更高版本中使用 256 位密钥,并在 Windows XP 中使用 DESX 算法。
远程桌面服务 (RDS)
如果使用的是远程桌面服务,则仅当支持 3DES 加密算法时,才应启用此策略设置。
BitLocker
对于 BitLocker,需要先启用此策略设置,然后才能生成任何加密密钥。 在 Windows Server 2012 R2 和 Windows 8.1 及更高版本中创建的恢复密码在启用此策略时与 Windows Server 2012 R2 和Windows 8.1之前的操作系统上的 BitLocker 不兼容;BitLocker 将阻止在这些系统上创建或使用恢复密码,因此应改用恢复密钥。 此外,如果数据驱动器受密码保护,则在提供密码后,符合 FIPS 的计算机可以访问它,但驱动器将是只读的。
可能值
- 已启用
- 禁用
- 未定义
最佳做法
我们建议希望遵守 FIPS 140-2 的客户研究他们可能使用的应用程序和协议的配置设置,以确保其解决方案能够配置为在 FIPS 140-2 批准模式下运行时利用 Windows 提供的 FIPS 140-2 验证加密。
有关 Microsoft 建议的配置设置的完整列表,请参阅 Windows 安全基线。 有关 Windows 和 FIPS 140-2 的详细信息,请 参阅 FIPS 140 验证。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出了此策略的实际和有效的默认值。 默认值也列在策略的属性页上。
| 服务器类型或 GPO | 默认值 |
|---|---|
| 默认域策略 | 未定义 |
| 默认域控制器策略 | 未定义 |
| 独立服务器默认设置 | 禁用 |
| DC 有效默认设置 | 禁用 |
| 成员服务器有效默认设置 | 禁用 |
| 客户端计算机有效默认设置 | 禁用 |
操作系统版本差异
启用此设置后,加密文件系统 (EFS) 服务仅支持用于加密文件数据的 Triple DES 加密算法。 默认情况下,Windows Vista 和 EFS 的 Windows Server 2003 实现使用具有 256 位密钥的高级加密标准 (AES) 。 Windows XP 实现使用 DESX。
启用此设置后,BitLocker 将生成适用于以下版本的恢复密码或恢复密钥:
| 操作系统 | 适用性 |
|---|---|
| Windows 10、Windows 8.1 和 Windows Server 2012 R2 | 在这些操作系统上创建时,无法在此表中列出的其他系统上使用恢复密码。 |
| Windows Server 2012 和 Windows 8 | 在这些操作系统上创建时,还可在此表中列出的其他系统上使用恢复密钥。 |
| Windows Server 2008 R2 和 Windows 7 | 在这些操作系统上创建时,还可在此表中列出的其他系统上使用恢复密钥。 |
| Windows Server 2008 和 Windows Vista | 在这些操作系统上创建时,还可在此表中列出的其他系统上使用恢复密钥。 |
策略管理
本部分介绍了可用于帮助管理此策略的功能和工具。
重启要求
无。 对此策略的更改在本地保存或通过组策略分发时,无需重启设备即可生效。
组策略
使用组策略设置和部署此策略优先于本地设备上的设置。 如果组策略设置为 “未配置”,则会应用本地设置。
安全注意事项
本部分介绍攻击者如何利用一项功能或其配置,如何实施对策,以及对策实施可能产生的负面后果。
漏洞
可以启用此策略设置,以确保设备使用可用于数字加密、哈希和签名的最强大的算法。 使用这些算法可最大程度地降低未经授权用户泄露数字加密或已签名数据的风险。
对策
启用 系统加密:使用符合 FIPS 的算法进行加密、哈希和签名 设置。
潜在影响
启用此策略设置的客户端设备无法通过数字加密或已签名协议与不支持这些算法的服务器通信。 不支持这些算法的网络客户端不能使用需要它们进行网络通信的服务器。 例如,许多基于 Apache 的 Web 服务器未配置为支持 TLS。 如果启用此设置,还必须将 Internet Explorer® 配置为使用 TLS。 此策略设置还会影响用于远程桌面协议 (RDP) 的加密级别。 远程桌面连接工具使用 RDP 协议与运行终端服务的服务器和配置为远程控制的客户端计算机进行通信;如果两个设备未配置为使用相同的加密算法,则 RDP 连接将失败。
相关主题
反馈
提交和查看相关反馈