Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden
Im vorliegenden Referenzthema zu Sicherheitsrichtlinien für IT-Experten werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für diese Richtlinieneinstellung beschrieben.
Referenzen
Federal Information Processing Standard (FIPS) 140 ist eine für die Zertifizierung kryptografischer Software konzipierte Sicherheitsimplementierung. Windows implementiert diese zertifizierten Algorithmen, um die Anforderungen und Standards zu erfüllen, die von US-Regierungsstellen an kryptografische Module gestellt werden.
TLS/SSL
Durch diese Richtlinieneinstellung wird bestimmt, ob der TLS/SSL-Sicherheitsanbieter nur die FIPS-konforme starke Verschlüsselungssammlung TLS_RSA_WITH_3DES_EDE_CBC_SHA unterstützt. In diesem Fall unterstützt der Anbieter nur das TLS-Protokoll als Clientcomputer und als Server (falls zutreffend). Bei dieser Einstellung wird für die Verschlüsselung des TLS-Datenverkehrs nur der Dreifach-DES-Verschlüsselungsalgorithmus, für den TLS-Schlüsselaustausch und die Authentifizierung nur der Algorithmus für den öffentlichen RSA (Rivest, Shamir und Adleman)-Schlüssel und für die TLS-Hashinganforderungen nur SHA-1 (Secure Hashing Algorithm 1) verwendet.
Verschlüsselndes Dateisystem (Encrypting File System, EFS)
Für den EFS-Dienst unterstützt diese Richtlinieneinstellung den Dreifach-DES- und AES (Advanced Encryption Standard)-Verschlüsselungsalgorithmus für die Verschlüsselung der vom NTFS-Dateisystem unterstützten Dateidaten. Zum Verschlüsseln der Dateidaten verwendet EFS standardmäßig den AES (Advanced Encryption Standard)-Algorithmus mit einem 256-Bit-Schlüssel für Windows Server 2003 und Windows Vista und höher. Außerdem wird der DESX-Algorithmus für Windows XP verwendet.
Remotedesktopdienste
Für die Verschlüsselung der Remotedesktopdienste-Netzwerkkommunikation unterstützt diese Richtlinieneinstellung nur den Dreifach-DES-Verschlüsselungsalgorithmus.
BitLocker
Diese Richtlinieneinstellung muss für BitLocker aktiviert sein, damit ein Verschlüsselungsschlüssel generiert werden kann.
Wiederherstellungskennwörter, die bei aktivierter Richtlinie unter Windows Server 2012 R2 und Windows 8.1 und höher erstellt wurden, sind mit BitLocker auf Betriebssystemen vor Windows Server 2012 R2 und Windows 8.1 inkompatibel; BitLocker verhindert die Erstellung oder Verwendung von Wiederherstellungskennwörtern auf diesen Systemen, sodass stattdessen Wiederherstellungsschlüssel verwendet werden sollten.
Mögliche Werte
Aktiviert
Deaktiviert
Nicht definiert
Bewährte Methoden
- Zur Verwendung mit TLS legen Sie diese Richtlinie auf Aktiviert fest. Clientgeräte, für die diese Richtlinieneinstellung aktiviert ist, können nicht über digital verschlüsselte oder signierte Protokolle mit Servern kommunizieren, die diese Algorithmen nicht unterstützen. Clientgeräte, die mit dem Netzwerk verbunden sind, und diese Algorithmen nicht unterstützen, können keine Server verwenden, die für die Netzwerkkommunikation auf die Algorithmen angewiesen sind. Wenn Sie diese Richtlinieneinstellung aktivieren, müssen Sie auch Internet Explorer für die Verwendung von TLS konfigurieren.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Deaktiviert |
Effektive Standardeinstellungen für DC |
Deaktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Deaktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Deaktiviert |
Unterschiede zwischen Betriebssystemversionen
Wenn diese Einstellung aktiviert ist, unterstützt der EFS (Encrypting File System)-Dienst nur den Dreifach-DES-Verschlüsselungsalgorithmus für die Verschlüsselung von Dateidaten. Die Windows Vista und Windows Server 2003-Implementierung von EFS verwenden standardmäßig den Advanced Encryption Standard mit einem 256-Bit-Schlüssel. Die Windows XP-Implementierung verwendet DESX.
Wenn diese Einstellung aktiviert ist, generiert BitLocker Wiederherstellungskennwörter oder -schlüssel für die nachfolgend aufgeführten Versionen:
| Betriebssysteme | Anwendbarkeit |
|---|---|
Windows 10, Windows 8.1 und Windows Server 2012 R2 |
Bei der Erstellung unter diesen Betriebssystemen kann das Wiederherstellungskennwort nicht für die anderen in dieser Tabelle aufgeführten Systeme verwendet werden. |
Windows Server 2012 und Windows 8 |
Bei der Erstellung unter diesen Betriebssystemen kann der Wiederherstellungsschlüssel auch für die anderen in dieser Tabelle aufgeführten Systeme verwendet werden. |
Windows Server 2008 R2 und Windows 7 |
Bei der Erstellung unter diesen Betriebssystemen kann der Wiederherstellungsschlüssel auch für die anderen in dieser Tabelle aufgeführten Systeme verwendet werden. |
Windows Server 2008 und Windows Vista |
Bei der Erstellung unter diesen Betriebssystemen kann der Wiederherstellungsschlüssel auch für die anderen in dieser Tabelle aufgeführten Systeme verwendet werden. |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Gruppenrichtlinie
Das Festlegen und Bereitstellen dieser Richtlinie mit der Gruppenrichtlinie hat Vorrang vor der Einstellung auf dem lokalen Gerät. Wenn für die Gruppenrichtlinie die Option Nicht konfiguriert festgelegt ist, gelten die lokalen Einstellungen.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Durch Aktivieren dieser Richtlinieneinstellung können Sie sicherzustellen, dass das Gerät die leistungsstärksten Algorithmen verwendet, die für die digitale Verschlüsselung, Hashing und Signierung verfügbar sind. Die Verwendung dieser Algorithmen minimiert das Risiko der Gefährdung digital verschlüsselter oder signierter Daten durch einen nicht berechtigten Benutzer.
Gegenmaßnahme
Aktivieren Sie die Einstellung Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden.
Mögliche Auswirkung
Clientgeräte, auf denen diese Richtlinieneinstellung aktiviert ist, können nicht über digital verschlüsselte oder signierte Protokolle mit Servern kommunizieren, die diese Algorithmen nicht unterstützen. Netzwerkclients, die diese Algorithmen nicht unterstützen, können keine Server verwenden, die diese Algorithmen für die Netzwerkkommunikation erfordern. Viele Apache-basierte Webserver sind z. B. nicht für die Unterstützung von TLS konfiguriert. Wenn Sie diese Einstellung aktivieren, müssen Sie auch Internet Explorer® für die Verwendung von TLS konfigurieren. Diese Richtlinieneinstellung wirkt sich auch auf die Verschlüsselungsstufe aus, die für das Remotedesktopprotokoll (RDP) verwendet wird. Das Tool „Remotedesktopverbindung“ verwendet das RDP-Protokoll zur Kommunikation mit Servern, auf denen Terminaldienste ausgeführt werden, und Clientcomputern, die für die Remotesteuerung konfiguriert sind. RDP-Verbindungen können nicht hergestellt werden, solange nicht beide Geräte für die Verwendung der gleichen Verschlüsselungsalgorithmen konfiguriert sind.