مشاركة عبر

إطار الأمان: التشفير | التخفيف

المنتج /الخدمة مقالة
تطبيق ويب
قاعدة بيانات
جهاز إنترنت الأشياء
بوابة سحابة IoT
عميل Dynamics CRM Mobile
عميل Dynamics CRM Outlook
خادم الهوية

استخدام شفرات الكتل المتماثلة المعتمدة وأطوال المفاتيح فقط

العنوان التفاصيل
المكون تطبيق ويب
مرحلة SDL إنشاء
التقنيات المعمول بها العام
السمات ‏‫غير متوفر‬
المراجع ‏‫غير متوفر‬
الخطوات

يجب أن تستخدم المنتجات فقط شفرات الكتلة المتماثلة والأطوال الرئيسية المقترنة التي تمت الموافقة عليها صراحة من قبل "مستشار التشفير" في مؤسستك. تتضمن الخوارزميات المتماثلة المعتمدة في Microsoft شفرات الكتلة التالية:

  • بالنسبة للتعليمات البرمجية الجديدة AES-128 و AES-192 و AES-256 مقبولة
  • للتوافق مع الإصدارات السابقة مع التعليمات البرمجية الموجودة، يكون 3DES ثلاثي المفاتيح مقبولا
  • للمنتجات التي تستخدم شفرات كتلة متماثلة:
    • معيار التشفير المتقدم (AES) مطلوب للتعليمات البرمجية الجديدة
    • معيار تشفير البيانات الثلاثي ثلاثي المفاتيح (3DES) مسموح به في التعليمات البرمجية الموجودة للتوافق مع الإصدارات السابقة
    • يمكن استخدام جميع شفرات الكتل الأخرى، بما في ذلك RC2 و DES و 2 Key 3DES و DESX و Skipjack، فقط لفك تشفير البيانات القديمة، ويجب استبدالها إذا تم استخدامها للتشفير
  • بالنسبة لخوارزميات تشفير الكتلة المتماثلة، يلزم الحد الأدنى لطول المفتاح 128 بت. خوارزمية تشفير الكتلة الوحيدة الموصى بها للتعليمات البرمجية الجديدة هي AES (AES-128 وAES-192 وAES-256 كلها مقبولة)
  • 3DES ثلاثية المفاتيح مقبولة حاليا إذا كانت قيد الاستخدام بالفعل في التعليمات البرمجية الموجودة؛ يوصى بالانتقال إلى AES. لم تعد DES و DESX و RC2 و Skipjack تعتبر آمنة. يمكن استخدام هذه الخوارزميات فقط لفك تشفير البيانات الموجودة من أجل التوافق مع الإصدارات السابقة، ويجب إعادة تشفير البيانات باستخدام تشفير كتلة موصى به

يرجى ملاحظة أنه يجب استخدام جميع شفرات الكتلة المتماثلة مع وضع التشفير المعتمد، والذي يتطلب استخدام متجه تهيئة مناسب (IV). IV المناسب، عادة ما يكون رقما عشوائيا ولا يمثل قيمة ثابتة أبدا

قد يسمح باستخدام خوارزميات التشفير القديمة أو غير المعتمدة وأطوال المفاتيح الأصغر لقراءة البيانات الموجودة (بدلا من كتابة بيانات جديدة) بعد مراجعة لوحة التشفير الخاصة بمؤسستك. ومع ذلك، يجب عليك تقديم استثناء ضد هذا المطلب. بالإضافة إلى ذلك، في عمليات نشر المؤسسات، يجب أن تفكر المنتجات في تحذير المسؤولين عند استخدام تشفير ضعيف لقراءة البيانات. وينبغي أن تكون هذه التحذيرات توضيحية وقابلة للتنفيذ. في بعض الحالات، قد يكون من المناسب أن يكون نهج المجموعة يتحكم في استخدام التشفير الضعيف

خوارزميات .NET المسموح بها لسرعة التشفير المدارة (بترتيب التفضيل)

  • AesCng (متوافق مع FIPS)
  • AuthenticatedAesCng (متوافق مع FIPS)
  • AESCryptoServiceProvider (متوافق مع FIPS)
  • AESManaged (غير متوافق مع FIPS)

يرجى ملاحظة أنه لا يمكن تحديد أي من هذه الخوارزميات عبر SymmetricAlgorithm.Create أساليب أو CryptoConfig.CreateFromName دون إجراء تغييرات على ملف machine.config. لاحظ أيضا أن AES في إصدارات .NET السابقة ل .NET 3.5 تسمى RijndaelManaged، وهي AesCngAuthenticatedAesCng>متوفرة من خلال CodePlex وتتطلب CNG في نظام التشغيل الأساسي

استخدام أوضاع تشفير الكتلة المعتمدة ومتجهات التهيئة للشفرات المتماثلة

العنوان التفاصيل
المكون تطبيق ويب
مرحلة SDL إنشاء
التقنيات المعمول بها العام
السمات ‏‫غير متوفر‬
المراجع ‏‫غير متوفر‬
الخطوات يجب استخدام جميع شفرات الكتلة المتماثلة مع وضع تشفير متماثل معتمد. الأوضاع الوحيدة المعتمدة هي CBC وCTS. وعلى وجه الخصوص، ينبغي تجنب أسلوب تشغيل دفتر التعليمات البرمجية الإلكتروني؛ يتطلب استخدام البنك المركزي الأوروبي مراجعة لوحة التشفير الخاصة بمؤسستك. يجب مراجعة جميع استخدامات OFB و CFB و CTR و CCM و GCM أو أي وضع تشفير آخر من قبل لوحة التشفير الخاصة بمؤسستك. قد تؤدي إعادة استخدام متجه التهيئة نفسه (IV) مع شفرات الكتلة في "أوضاع التشفير المتدفقة"، مثل CTR، إلى الكشف عن البيانات المشفرة. يجب أيضا استخدام جميع شفرات الكتلة المتماثلة مع متجه تهيئة مناسب (IV). والرابع المناسب هو رقم عشوائي قوي مشفر ولا يمثل قيمة ثابتة أبدا.

استخدام الخوارزميات غير المتماثلة المعتمدة وأطوال المفاتيح والحشو

العنوان التفاصيل
المكون تطبيق ويب
مرحلة SDL إنشاء
التقنيات المعمول بها العام
السمات ‏‫غير متوفر‬
المراجع ‏‫غير متوفر‬
الخطوات

يشكل استخدام خوارزميات التشفير المحظورة خطرا كبيرا على أمان المنتج ويجب تجنبه. يجب أن تستخدم المنتجات خوارزميات التشفير هذه فقط وأطوال المفاتيح المرتبطة والحشو التي تمت الموافقة عليها صراحة من قبل لوحة التشفير الخاصة بمؤسستك.

  • RSA- يمكن استخدامها للتشفير وتبادل المفاتيح والتوقيع. يجب أن يستخدم تشفير RSA أوضاع ترك مساحة OAEP أو RSA-KEM فقط. قد تستخدم التعليمات البرمجية الموجودة وضع ترك مساحة PKCS #1 v1.5 للتوافق فقط. يتم حظر استخدام ترك مساحة فارغة بشكل صريح. المفاتيح >= 2048 بت مطلوبة للتعليمات البرمجية الجديدة. قد تدعم التعليمات البرمجية الموجودة المفاتيح < 2048 بت فقط للتوافق مع الإصدارات السابقة بعد مراجعة من قبل لوحة التشفير الخاصة بمؤسستك. يمكن استخدام المفاتيح < 1024 بت فقط لفك تشفير/التحقق من البيانات القديمة، ويجب استبدالها إذا تم استخدامها لعمليات التشفير أو التوقيع
  • ECDSA- يمكن استخدامها للتوقيع فقط. ECDSA مع >مفاتيح =256 بت مطلوبة للتعليمات البرمجية الجديدة. يجب أن تستخدم التواقيع المستندة إلى ECDSA أحد المنحنيات الثلاثة المعتمدة من NIST (P-256 أو P-384 أو P521). لا يمكن استخدام المنحنيات التي تم تحليلها بدقة إلا بعد مراجعة مع لوحة التشفير الخاصة بمؤسستك.
  • ECDH- يمكن استخدامها لتبادل المفاتيح فقط. ECDH مع >مفاتيح =256 بت مطلوبة للتعليمات البرمجية الجديدة. يجب أن يستخدم تبادل المفاتيح المستند إلى ECDH أحد المنحنيات الثلاثة المعتمدة من NIST (P-256 أو P-384 أو P521). لا يمكن استخدام المنحنيات التي تم تحليلها بدقة إلا بعد مراجعة مع لوحة التشفير الخاصة بمؤسستك.
  • DSA - قد يكون مقبولا بعد المراجعة والموافقة من لوحة التشفير الخاصة بمؤسستك. اتصل بمستشار الأمان لجدولة مراجعة لوحة التشفير الخاصة بمؤسستك. إذا تمت الموافقة على استخدامك ل DSA، فلاحظ أنك ستحتاج إلى حظر استخدام مفاتيح أقل من 2048 بت في الطول. يدعم CNG أطوال المفاتيح 2048 بت وأكبر اعتبارا من Windows 8.
  • Diffie-Hellman- يمكن استخدامها لإدارة مفتاح الجلسة فقط. طول >المفتاح = 2048 بت مطلوب للتعليمات البرمجية الجديدة. قد تدعم التعليمات < البرمجية الموجودة أطوال المفاتيح 2048 بت فقط للتوافق مع الإصدارات السابقة بعد مراجعة من قبل لوحة التشفير الخاصة بمؤسستك. قد لا يتم استخدام المفاتيح < 1024 بت.

    استخدام مولدات الأرقام العشوائية المعتمدة

    العنوان التفاصيل
    المكون تطبيق ويب
    مرحلة SDL إنشاء
    التقنيات المعمول بها العام
    السمات ‏‫غير متوفر‬
    المراجع ‏‫غير متوفر‬
    الخطوات

    يجب أن تستخدم المنتجات مولدات أرقام عشوائية معتمدة. يجب عدم استخدام دالات Pseudorandom مثل دالة وقت التشغيل C أو .NET Framework class System.Random أو وظائف النظام مثل GetTickCount في مثل هذه التعليمات البرمجية. يحظر استخدام خوارزمية مولد الأرقام العشوائية للمنحنى الناقص المزدوج (DUAL_EC_DRBG)

    • CNG- BCryptGenRandom(استخدام علامة BCRYPT_USE_SYSTEM_PREFERRED_RNG الموصى بها ما لم يتم تشغيل المتصل في أي IRQL أكبر من 0 [أي، PASSIVE_LEVEL])
    • CAPI- cryptGenRandom
    • Win32/64- RtlGenRandom (يجب أن تستخدم عمليات التنفيذ الجديدة BCryptGenRandom أو CryptGenRandom) * rand_s * SystemPrng (لوضع kernel)
    • . NET- RNGCryptoServiceProvider أو RNGCng
    • تطبيقات متجر Windows- Windows.Security.Cryptography.CryptographicBuffer.GenerateRandom أو . GenerateRandomNumber
    • Apple OS X (10.7+)/iOS(2.0+)- int SecRandomCopyBytes (SecRandomRef random, size_t count, uint8_t *بايت )
    • Apple OS X (<10.7)- استخدام /dev/random لاسترداد أرقام عشوائية
    • Java (بما في ذلك التعليمات البرمجية ل Google Android Java)- فئة java.security.SecureRandom. لاحظ أنه بالنسبة لنظام التشغيل Android 4.3 (Jelly Bean)، يجب على المطورين اتباع الحل البديل الموصى به لنظام Android وتحديث تطبيقاتهم لتهيئة PRNG بشكل صريح باستخدام entropy من /dev/urandom أو /dev/random

    لا تستخدم شفرات دفق متماثلة

    العنوان التفاصيل
    المكون تطبيق ويب
    مرحلة SDL إنشاء
    التقنيات المعمول بها العام
    السمات ‏‫غير متوفر‬
    المراجع ‏‫غير متوفر‬
    الخطوات يجب عدم استخدام شفرات الدفق المتماثل، مثل RC4. بدلا من شفرات الدفق المتماثل، يجب أن تستخدم المنتجات تشفير كتلة، على وجه التحديد AES بطول مفتاح 128 بت على الأقل.

    استخدام خوارزميات التجزئة المعتمدة MAC/HMAC/keyed

    العنوان التفاصيل
    المكون تطبيق ويب
    مرحلة SDL إنشاء
    التقنيات المعمول بها العام
    السمات ‏‫غير متوفر‬
    المراجع ‏‫غير متوفر‬
    الخطوات

    يجب أن تستخدم المنتجات فقط رمز مصادقة الرسائل المعتمد (MAC) أو خوارزميات رمز مصادقة الرسالة المستندة إلى التجزئة (HMAC).

    رمز مصادقة الرسالة (MAC) هو جزء من المعلومات المرفقة برسالة تسمح لمستلمها بالتحقق من صحة المرسل وسلامة الرسالة باستخدام مفتاح سري. يجوز استخدام إما MAC المستند إلى التجزئة (HMAC) أو MAC المستند إلى تشفير الكتلة طالما أن جميع خوارزميات التجزئة الأساسية أو التشفير المتماثل معتمدة أيضا للاستخدام؛ يتضمن هذا حاليا دوال HMAC-SHA2 (HMAC-SHA256، HMAC-SHA384 HMAC-SHA512) وCMAC/OMAC1 وOMAC2 المستندة إلى كتل MACs (تستند إلى AES).

    قد يكون استخدام HMAC-SHA1 مسموحا به لتوافق النظام الأساسي، ولكن سيطلب منك تقديم استثناء لهذا الإجراء والخضوع لمراجعة التشفير الخاصة بمؤسستك. لا يسمح باقتطاع HMACs إلى أقل من 128 بت. لا تتم الموافقة على استخدام أساليب العميل لتجزئة مفتاح وبيانات، ويجب أن تخضع لمراجعة لوحة التشفير الخاصة بمؤسستك قبل الاستخدام.

    استخدام وظائف التجزئة المشفرة المعتمدة فقط

    العنوان التفاصيل
    المكون تطبيق ويب
    مرحلة SDL إنشاء
    التقنيات المعمول بها العام
    السمات ‏‫غير متوفر‬
    المراجع ‏‫غير متوفر‬
    الخطوات

    يجب أن تستخدم المنتجات مجموعة SHA-2 من خوارزميات التجزئة (SHA256 وSHA384 وSHA512). إذا كانت هناك حاجة إلى تجزئة أقصر، مثل طول إخراج 128 بت من أجل احتواء بنية بيانات مصممة مع وضع تجزئة MD5 الأقصر في الاعتبار، فقد تقوم فرق المنتجات باقتطاع إحدى تجزئات SHA2 (عادة SHA256). لاحظ أن SHA384 هو إصدار مقتطع من SHA512. لا يسمح باقتطاع تجزئات التشفير لأغراض أمنية إلى أقل من 128 بت. يجب ألا تستخدم التعليمات البرمجية الجديدة خوارزميات تجزئة MD2 أو MD4 أو MD5 أو SHA-0 أو SHA-1 أو RIPEMD. تضاربات التجزئة ممكنة حسابيا لهذه الخوارزميات، ما يكسرها بشكل فعال.

    خوارزميات تجزئة .NET المسموح بها لسرعة التشفير المدارة (بترتيب التفضيل):

    • SHA512Cng (متوافق مع FIPS)
    • SHA384Cng (متوافق مع FIPS)
    • SHA256Cng (متوافق مع FIPS)
    • SHA512Managed (غير متوافق مع FIPS) (استخدم SHA512 كاسم خوارزمية في استدعاءات HashAlgorithm.Create أو CryptoConfig.CreateFromName)
    • SHA384Managed (غير متوافق مع FIPS) (استخدم SHA384 كاسم خوارزمية في استدعاءات HashAlgorithm.Create أو CryptoConfig.CreateFromName)
    • SHA256Managed (غير متوافق مع FIPS) (استخدم SHA256 كاسم خوارزمية في استدعاءات HashAlgorithm.Create أو CryptoConfig.CreateFromName)
    • SHA512CryptoServiceProvider (متوافق مع FIPS)
    • SHA256CryptoServiceProvider (متوافق مع FIPS)
    • SHA384CryptoServiceProvider (متوافق مع FIPS)

    استخدام خوارزميات تشفير قوية لتشفير البيانات في قاعدة البيانات

    العنوان التفاصيل
    المكون قاعدة البيانات
    مرحلة SDL إنشاء
    التقنيات المعمول بها العام
    السمات ‏‫غير متوفر‬
    المراجع اختيار خوارزمية تشفير
    الخطوات تحدد خوارزميات التشفير تحويلات البيانات التي لا يمكن للمستخدمين غير المصرح لهم عكسها بسهولة. يسمح SQL Server للمسؤولين والمطورين للاختيار من بين العديد من الخوارزميات، بما في ذلك DES و Triple DES و TRIPLE_DES_3KEY و RC2 و RC4 و RC4 128 بت و DESX و 128 بت AES و 192 بت AES و 256 بت AES

    يجب تشفير حزم SSIS وتوقيعها رقميا

    العنوان التفاصيل
    المكون قاعدة البيانات
    مرحلة SDL إنشاء
    التقنيات المعمول بها العام
    السمات ‏‫غير متوفر‬
    المراجع تحديد مصدر الحزم باستخدام التواقيع الرقمية وتخفيف المخاطر والثغرات الأمنية (خدمات التكامل)
    الخطوات مصدر الحزمة هو الفرد أو المؤسسة التي أنشأت الحزمة. قد يكون تشغيل حزمة من مصدر غير معروف أو غير موثوق به محفوفا بالمخاطر. لمنع العبث غير المصرح به لحزم SSIS، يجب استخدام التواقيع الرقمية. أيضا، لضمان سرية الحزم أثناء التخزين/النقل، يجب تشفير حزم SSIS

    إضافة توقيع رقمي إلى قاعدة البيانات الهامة القابلة للتأمين

    العنوان التفاصيل
    المكون قاعدة البيانات
    مرحلة SDL إنشاء
    التقنيات المعمول بها العام
    السمات ‏‫غير متوفر‬
    المراجع إضافة توقيع (Transact-SQL)
    الخطوات في الحالات التي يجب فيها التحقق من سلامة قاعدة بيانات هامة قابلة للتأمين، يجب استخدام التواقيع الرقمية. يمكن توقيع قاعدة البيانات القابلة للتأمين مثل إجراء مخزن أو وظيفة أو تجميع أو مشغل رقميا. فيما يلي مثال على الوقت الذي يمكن أن يكون فيه هذا مفيدا: لنفترض أن بائع البرامج المستقل (بائع برامج مستقل) قد قدم الدعم لبرنامج تم تسليمه لأحد عملائه. قبل تقديم الدعم، قد يرغب ISV في التأكد من عدم العبث بقاعدة بيانات قابلة للتأمين في البرنامج إما عن طريق الخطأ أو بمحاولة ضارة. إذا تم توقيع القابل للتأمين رقميا، يمكن لم ISV التحقق من توقيعه الرقمي والتحقق من سلامته.

    استخدام SQL server EKM لحماية مفاتيح التشفير

    العنوان التفاصيل
    المكون قاعدة البيانات
    مرحلة SDL إنشاء
    التقنيات المعمول بها العام
    السمات ‏‫غير متوفر‬
    المراجع SQL Server Extensible Key Management (EKM)،إدارة المفاتيح الموسعة باستخدام Azure Key Vault (SQL Server)
    الخطوات تتيح SQL Server Extensible Key Management تخزين مفاتيح التشفير التي تحمي ملفات قاعدة البيانات في جهاز خارج الصندوق مثل بطاقة ذكية أو جهاز USB أو وحدة EKM/HSM. وهذا يتيح أيضا حماية البيانات من مسؤولي قاعدة البيانات (باستثناء أعضاء مجموعة مسؤول النظام). يمكن تشفير البيانات باستخدام مفاتيح التشفير التي يمكن لمستخدم قاعدة البيانات فقط الوصول إليها على وحدة EKM/HSM الخارجية.

    استخدام ميزة AlwaysEncrypted إذا لم يتم الكشف عن مفاتيح التشفير لمحرك قاعدة البيانات

    العنوان التفاصيل
    المكون قاعدة البيانات
    مرحلة SDL إنشاء
    التقنيات المعمول بها SQL Azure، OnPrem
    السمات إصدار SQL - الإصدار 12، MsSQL2016
    المراجع Always Encrypted (مشغل قاعدة البيانات)
    الخطوات Always Encrypted هي ميزة مصممة لحماية البيانات الحساسة، مثل أرقام بطاقات الائتمان أو أرقام الهوية الوطنية/الإقليمية (مثل أرقام الضمان الاجتماعي في الولايات المتحدة)، المخزنة في قاعدة بيانات Azure SQL أو قواعد بيانات SQL Server. يسمح Always Encrypted للعملاء بتشفير البيانات الحساسة داخل تطبيقات العميل ولا تكشف أبدا عن مفاتيح التشفير لمشغل قاعدة البيانات (قاعدة بيانات SQL أو SQL Server). ونتيجة لذلك، يوفر Always Encrypted فصلا بين أولئك الذين يمتلكون البيانات (ويمكنهم عرضها) وأولئك الذين يديرون البيانات (ولكن يجب ألا يكون لديهم حق الوصول)

    تخزين مفاتيح التشفير بأمان على جهاز IoT

    العنوان التفاصيل
    المكون جهاز IoT
    مرحلة SDL إنشاء
    التقنيات المعمول بها العام
    السمات نظام تشغيل الجهاز - Windows IoT Core، اتصال الجهاز - SDKs لجهاز Azure IoT
    المراجع TPM على Windows IoT Core، إعداد TPM على Windows IoT Core، Azure IoT Device SDK TPM
    الخطوات مفاتيح Symmetric أو Certificate Private بشكل آمن في تخزين محمي بالأجهزة مثل TPM أو شرائح البطاقة الذكية. يدعم Windows 10 IoT Core مستخدم TPM وهناك العديد من TPMs المتوافقة التي يمكن استخدامها: TPM منفصلة (dTPM). يوصى باستخدام برنامج ثابت أو TPM منفصل. يجب استخدام TPM للبرامج فقط لأغراض التطوير والاختبار. بمجرد توفر TPM وتوفير المفاتيح فيه، يجب كتابة التعليمات البرمجية التي تنشئ الرمز المميز دون ترميز مضمن لأي معلومات حساسة فيه.

    مثل

    TpmDevice myDevice = new TpmDevice(0);
// Use logical device 0 on the TPM 
string hubUri = myDevice.GetHostName(); 
string deviceId = myDevice.GetDeviceId(); 
string sasToken = myDevice.GetSASToken(); 

var deviceClient = DeviceClient.Create( hubUri, AuthenticationMethodFactory. CreateAuthenticationWithToken(deviceId, sasToken), TransportType.Amqp);

    كما يمكن رؤيته، المفتاح الأساسي للجهاز غير موجود في التعليمات البرمجية. بدلا من ذلك، يتم تخزينه في TPM في الفتحة 0. ينشئ جهاز TPM رمز SAS قصير الأجل يتم استخدامه بعد ذلك للاتصال بمركز IoT.

    إنشاء مفتاح متماثل عشوائي بطول كاف للمصادقة على IoT Hub

    العنوان التفاصيل
    المكون بوابة سحابة IoT
    مرحلة SDL إنشاء
    التقنيات المعمول بها العام
    السمات اختيار البوابة - Azure IoT Hub
    المراجع ‏‫غير متوفر‬
    الخطوات يحتوي IoT Hub على سجل هوية جهاز وأثناء توفير جهاز، يقوم تلقائيا بإنشاء مفتاح متماثل عشوائي. يوصى باستخدام هذه الميزة من Azure IoT Hub Identity Registry لإنشاء المفتاح المستخدم للمصادقة. يسمح IoT Hub أيضا بتحديد مفتاح أثناء إنشاء الجهاز. إذا تم إنشاء مفتاح خارج IoT Hub أثناء توفير الجهاز، فمن المستحسن إنشاء مفتاح متماثل عشوائي أو 256 بت على الأقل.

    تأكد من وجود نهج إدارة الجهاز الذي يتطلب استخدام رمز PIN ويسمح بالمسح عن بعد

    العنوان التفاصيل
    المكون عميل Dynamics CRM Mobile
    مرحلة SDL نشر
    التقنيات المعمول بها العام
    السمات ‏‫غير متوفر‬
    المراجع ‏‫غير متوفر‬
    الخطوات تأكد من وجود نهج إدارة الجهاز الذي يتطلب استخدام رمز PIN ويسمح بالمسح عن بعد

    تأكد من وجود نهج إدارة الجهاز الذي يتطلب رمز PIN/كلمة المرور/تأمين تلقائي وتشفير جميع البيانات (على سبيل المثال BitLocker)

    العنوان التفاصيل
    المكون عميل Dynamics CRM Outlook
    مرحلة SDL إنشاء
    التقنيات المعمول بها العام
    السمات ‏‫غير متوفر‬
    المراجع ‏‫غير متوفر‬
    الخطوات تأكد من وجود نهج إدارة الجهاز الذي يتطلب رمز PIN/كلمة المرور/تأمين تلقائي وتشفير جميع البيانات (على سبيل المثال BitLocker)

    تأكد من تمرير مفاتيح التوقيع عند استخدام Identity Server

    العنوان التفاصيل
    المكون خادم الهوية
    مرحلة SDL نشر
    التقنيات المعمول بها العام
    السمات ‏‫غير متوفر‬
    المراجع ‏‫غير متوفر‬
    الخطوات تأكد من تمرير مفاتيح التوقيع عند استخدام Identity Server. يشرح الارتباط في قسم المراجع كيفية تخطيط هذا دون التسبب في انقطاع التطبيقات التي تعتمد على Identity Server.

    تأكد من استخدام معرف العميل القوي مشفرا، سر العميل في Identity Server

    العنوان التفاصيل
    المكون خادم الهوية
    مرحلة SDL إنشاء
    التقنيات المعمول بها العام
    السمات ‏‫غير متوفر‬
    المراجع ‏‫غير متوفر‬
    الخطوات

    تأكد من استخدام معرف العميل القوي مشفرا، سر العميل في Identity Server. يجب استخدام الإرشادات التالية أثناء إنشاء معرف العميل والبيانات السرية:

    • إنشاء GUID عشوائي كمعرف العميل
    • إنشاء مفتاح 256 بت عشوائيا بشكل مشفر كسر