Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания
В этом справочном разделе о политике безопасности, предназначенном для ИТ-специалистов, описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для этого параметра политики.
Справочные материалы
Федеральный стандарт обработки информации США (FIPS) 140 — это реализация безопасности, предназначенная для сертификации криптографического программного обеспечения. В Windows эти сертифицированные алгоритмы реализованы для удовлетворения требованиям и стандартам, связанным с криптографическими модулями, которые должны использоваться учреждениями и агентствами федерального правительства США.
TLS/SSL
Этот параметр политики определяет, поддерживает ли поставщик безопасности TLS/SSL только криптостойкий набор шифрования, совместный с FIPS, который известен как TLS_RSA_WITH_3DES_EDE_CBC_SHA, что означает поддержку этим поставщиком только протокола TLS на клиентском компьютере и сервере, если применимо. Используется только алгоритм шифрования 3DES для шифрования трафика TLS, только алгоритм открытого ключа RSA для обмена и проверки подлинности ключей TLS и только алгоритм хэширования SHA-1 для удовлетворения требований TLS к хэшированию.
Шифрованная файловая система (EFS)
Применительно к службе EFS этот параметр политики поддерживает алгоритмы шифрования 3DES и AES для шифрования данных файлов, поддерживаемых файловой системой NTFS. Для шифрования данных файлов EFS по умолчанию использует алгоритм AES с 256-битным ключом в Windows Server 2003, Windows Vista и более поздних версиях, а в Windows XP используется алгоритм DESX.
Службы удаленных рабочих столов (RDS)
Для шифрования сетевого трафика служб удаленных рабочих столов этот параметр политики задействует только алгоритм шифрования 3DES.
BitLocker
Применительно к BitLocker этот параметр политики должен быть включен до создания любого ключа шифрования.
Пароли восстановления, созданные в Windows Server 2012 R2, Windows 8.1 и более поздних версиях при включении этой политики, несовместимы с BitLocker в операционных системах, более ранних, чем Windows Server 2012 R2 и Windows 8.1. BitLocker препятствует созданию и использованию паролей восстановления в этих системах, поэтому вместо них следует использовать ключи восстановления.
Возможные значения
Включено
Отключено
Не определено
Рекомендации
- Для использования с TLS установите для этой политики значение Включено. Клиентские устройства, на которых включен этот параметр политики, не смогут взаимодействовать с серверами, не поддерживающими эти алгоритмы, через протоколы с цифровым шифрованием или подписью. Клиентские устройства, подключенные к сети и не поддерживающие эти алгоритмы, не смогут использовать серверы, требующие использования этих алгоритмов для передачи данных по сети. Если включить этот параметр политики, необходимо также настроить Internet Explorer на использование TLS.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Отключено |
Действующие параметры контроллера домена по умолчанию |
Отключено |
Действующие параметры рядового сервера по умолчанию |
Отключено |
Действующие параметры клиентского компьютера по умолчанию |
Отключено |
Различия версий операционных систем
Если этот параметр включен, служба EFS поддерживает только алгоритм шифрования 3DES для шифрования данных файлов. По умолчанию реализация EFS в Windows Vista и Windows Server 2003 задействует стандарт AES с 256-битным ключом. В Windows XP используется DESX.
Если этот параметр включен, BitLocker создает пароль восстановления или ключи восстановления, применимые ко всем версиям, указанным ниже.
| Операционные системы | Применимость |
|---|---|
Windows 10, Windows 8.1 и Windows Server 2012 R2 |
Созданный в этих операционных системах пароль восстановления не может использоваться в других системах, указанных в таблице. |
Windows Server 2012 и Windows 8 |
Созданный в этих операционных системах пароль восстановления может также использоваться в других системах, указанных в таблице. |
Windows Server 2008 R2 и Windows 7 |
Созданный в этих операционных системах пароль восстановления может также использоваться в других системах, указанных в таблице. |
Windows Server 2008 и Windows Vista |
Созданный в этих операционных системах пароль восстановления может также использоваться в других системах, указанных в таблице. |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Групповая политика
Настройка и развертывание этой политики с помощью групповой политики имеет приоритет над параметром на локальном устройстве. Если для групповой политики установлено значение Не настроено, будут применены локальные параметры.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Вы можете включить этот параметр политики, чтобы устройство использовало наиболее мощные доступные алгоритмы цифрового шифрования, хэширования и подписывания. Использование этих алгоритмов сводит к минимуму риск взлома неавторизованным пользователем данных, защищенных цифровым шифрованием или подписью.
Меры противодействия
Включите параметр Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания.
Возможные последствия
Клиентские устройства, на которых включен этот параметр политики, не могут взаимодействовать с использованием протоколов цифровой подписи или шифрования с серверами, которые не поддерживают эти алгоритмы. Сетевые клиенты, которые не поддерживают эти алгоритмы, не могут использовать сервера, которые нуждаются в поддержке этих алгоритмов для сетевой связи. Например, многие веб-серверы на основе Apache не настроены на поддержку TLS. Если включить этот параметр, необходимо также настроить Internet Explorer® на использование TLS. Этот параметр политики также влияет на уровень шифрования, используемый для протокола удаленных рабочих столов (RDP). Средство подключения к удаленному рабочему столу использует протокол RDP для связи с серверами, на которых работают службы терминалов, и клиентскими компьютерами, настроенными для поддержки удаленного управления; RDP-подключения завершаются с ошибкой, если оба устройства не настроены на использование одинаковых алгоритмов шифрования.