系统加密: 将 FIPS 兼容算法用于加密、哈希和签名
面向 IT 专业人员的此安全策略参考主题介绍了此策略设置的最佳做法、位置、值、策略管理和安全注意事项。
参考
美国联邦信息处理标准 (FIPS) 140 是专为验证加密软件而设计的一种安全实现。Windows 实现这些经过认证的算法以满足美国联邦政府部门和机构所使用的加密模块的要求和标准。
TLS/SSL
此策略设置确定 TLS/SSL 安全提供程序是否仅支持符合 FIPS 标准的强密码套件(称为 TLS_RSA_WITH_3DES_EDE_CBC_SHA),这意味着,如果适用,该提供程序将仅支持 TLS 协议作为客户端计算机和服务器。它仅将三重数据加密标准 (3DES) 加密算法用于 TLS 通讯加密、仅将 Rivest-Shamir-Adleman (RSA) 公钥算法用于 TLS 密钥交换和身份验证以及仅将安全哈希算法版本 1 (SHA-1) 哈希算法用于 TLS 哈希要求。
加密文件系统 (EFS)
对于 EFS 服务,此策略设置支持用于加密受 NTFS 文件系统支持的文件数据的 3DES 和高级加密标准 (AES) 加密算法。为了加密文件数据,在 Windows Server 2003、Windows Vista 和更高版本中,EFS 默认使用具有 256 位密钥的高级加密标准 (AES) 算法,而在 Windows XP 中使用 DESX 算法。
远程桌面服务 (RDS)
为了加密远程桌面服务网络通信,此策略设置仅支持三重 DES 加密算法。
BitLocker
对于 BitLocker,在生成任何加密密钥前,需要启用此策略设置。
启用此策略时,在 Windows Server 2012 R2 和 Windows 8.1 及更高版本上创建的恢复密码与早于 Windows Server 2012 R2 和 Windows 8.1 的操作系统上的 BitLocker 不兼容;在这些系统上,BitLocker 会阻止创建或使用恢复密码,因此应改为使用恢复密钥。
可能值
启用
禁用
未定义
最佳做法
- 若要与 TLS 配合使用,请将此策略设置为“已启用”。启用此策略设置的客户端设备将无法通过数字加密或签名的协议与不支持这些算法的服务器进行通信。连接到网络且不支持这些算法的客户端设备无法使用需要这些算法进行网络通信的服务器。如果你启用此策略设置,还必须配置 Internet Explorer 才能使用 TLS。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出此策略的实际和有效默认值。策略的属性页中还列出了默认值。
| 服务器类型或 GPO | 默认值 |
|---|---|
默认域策略 |
未定义 |
默认域控制器策略 |
未定义 |
独立服务器默认设置 |
禁用 |
DC 有效默认设置 |
禁用 |
成员服务器有效默认设置 |
禁用 |
客户端计算机有效默认设置 |
禁用 |
操作系统版本区别
启用此设置后,加密文件系统 (EFS) 服务将仅支持用于加密文件数据的三重 DES 加密算法。默认情况下,EFS 的 Windows Vista 和 Windows Server 2003 实现使用具有 256 位密钥的高级加密标准 (AES)。Windows XP 实现使用 DESX。
启用此设置后,BitLocker 将生成适用于以下所列版本的恢复密码或恢复密钥:
| 操作系统 | 适用性 |
|---|---|
Windows 10、Windows 8.1 和 Windows Server 2012 R2 |
在这些操作系统上创建恢复密码后,无法在此表中列出的其他系统上使用它。 |
Windows Server 2012 和 Windows 8 |
在这些操作系统上创建后,该恢复密钥同样不可在此表所列的其他系统上使用。 |
Windows Server 2008 R2 和 Windows 7 |
在这些操作系统上创建后,该恢复密钥同样不可在此表所列的其他系统上使用。 |
Windows Server 2008 和 Windows Vista |
在这些操作系统上创建后,该恢复密钥同样不可在此表所列的其他系统上使用。 |
策略管理
本部分介绍可用于帮助管理此策略的功能和工具。
重启要求
无。当以本地方式保存或通过组策略分配对本策略的更改时,无需重新启动设备即可使这些更改生效。
组策略
使用组策略设置和部署此策略优先于本地设备上的设置。如果将组策略设置为“未配置”****,将应用本地设置。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
你可以启用此策略设置以确保设备使用适用于数字加密、哈希和签名的功能最强大的算法。使用这些算法可最大程度地降低未经授权的用户破坏数字加密或签名的数据的风险。
对策
启用“系统加密:将 FIPS 兼容算法用于加密、哈希和签名”设置。
潜在影响
启用此策略设置的客户端设备无法通过数字加密或签名的协议与不支持这些算法的服务器进行通信。不支持这些算法的网络客户端无法使用需要这些算法进行网络通信的服务器。例如,许多基于 Apache 的 Web 服务器都未进行配置来支持 TLS。如果你启用此设置,还必须配置 Internet Explorer® 才能使用 TLS。此策略设置还影响用于远程桌面协议 (RDP) 的加密级别。远程桌面连接工具使用 RDP 协议与运行终端服务的服务器和未配置的客户端计算机进行通信以便实现远程控制;如果未将这两台设备都配置为使用相同的加密算法,RDP 连接将失败。