Windows FIPS 140 验证
联邦信息处理标准 (FIPS) Publication 140 是美国政府标准,它定义了 IT 产品中加密模块的最低安全要求。 本主题介绍 Windows 加密模块的 FIPS 140 验证。 Windows 加密模块用于不同的 Microsoft 产品,包括 Windows 客户端操作系统、Windows Server 操作系统和 Azure 云服务。
自 2001 年首次建立以来,Microsoft 一直积极致力于满足 FIPS 140 标准的要求,并针对该标准验证了加密模块。 Windows 加密模块根据 加密模块验证计划 (CMVP) 进行验证,这是美国国家标准与技术研究院 (NIST) 与加拿大网络安全中心 (CCCS) 的共同努力。 CMVP 根据 FIPS 140) 和相关 FIPS 加密标准的一部分 (加密模块的安全要求来验证加密模块。 NIST 信息技术实验室运营 Microsoft 也参与的相关计划: 加密算法验证计划 (CAVP) 认证 FIPS 批准的加密算法, 而 entropy Validation 计划 则认证符合 NIST SP 800-90B 标准的 entropy 源。
Windows 客户端操作系统和加密模块
下面列出的 Windows 客户端版本包括已完成 FIPS 140 验证的加密模块。 单击版本了解详细信息,包括 CMVP 证书、安全策略文档和每个模块的算法范围。 当 CMVP 证书验证标签包含注释“ 在 FIPS 模式下操作时”时,必须遵循安全策略中概述的特定配置和安全规则。
Windows 11版本
Windows 10版本
- Windows 10版本 2004 (2020 年 5 月更新)
- Windows 10,版本 1909 (2019 年 11 月更新)
- Windows 10版本 1903 (2019 年 5 月更新)
- Windows 10 版本 1809 (2018 年 10 月更新)
- Windows 10,版本 1803 (2018 年 4 月更新)
- Windows 10版本 1709 (Fall Creators Update)
- Windows 10版本 1703 (创意者更新)
- Windows 10版本 1607 (周年更新)
- Windows 10版本 1511 (11 月更新)
- Windows 10版本 1507
以前的 Windows 版本
- Windows 8.1
- Windows 8
- Windows 7
- Windows Vista SP1
- Windows Vista
- Windows XP SP3
- Windows XP SP2
- Windows XP SP1
- Windows XP
- Windows 2000 SP3
- Windows 2000 SP2
- Windows 2000 SP1
- Windows 2000
- Windows 95 和 Windows 98
- Windows NT 4.0
相关产品
- Windows Embedded Compact 7 和 Windows Embedded Compact 8
- Windows CE 6.0 和 Windows Embedded Compact 7
- Outlook 加密提供程序
Windows Server 操作系统和加密模块
下面列出的 Windows Server 版本包括已完成 FIPS 140 验证的加密模块。 单击版本了解详细信息,包括 CMVP 证书、安全策略文档和每个模块的算法范围。 当 CMVP 证书验证标签包含注释“ 在 FIPS 模式下操作时”时,必须遵循安全策略中概述的特定配置和安全规则。
Windows Server 2019 和 2016 版本
Windows Server 半年版
- Windows服务器,版本 2004
- Windows 服务器,版本 1909
- Windows Server 版本 1903
- Windows Server 版本 1809
- Windows Server 版本 1803
- Windows Server 版本 1709
以前的 Windows Server 版本
- Windows Server 2012 R2
- Windows Server 2012
- Windows Server 2008 R2
- Windows Server 2008
- Windows Server 2003 SP2
- Windows Server 2003 SP1
- Windows Server 2003
在 FIPS 批准的操作模式下使用 Windows
若要在 FIPS 140 批准的操作模式下使用 Windows 和 Windows Server,必须遵循模块安全策略文档中概述的所有特定配置和安全规则。 若要查看或下载给定产品版本的安全策略文档,请导航到上述部分中该版本的 FIPS 140 已验证模块列表,然后选择安全策略文档的链接。
作为安全策略文档中概述的配置规则的一部分,Windows 和 Windows Server 可以配置为在 FIPS 140 批准的操作模式(通常称为“FIPS 模式”)中运行。在当前版本的 Windows 中,启用 FIPS 模式设置时,加密基元库 (bcryptprimitives.dll) 和内核模式加密基元库 (CNG.sys) 模块将在 Windows 运行加密操作之前运行自测试。 这些自测试满足 FIPS 140 要求,并确保模块正常运行。 加密基元库和内核模式加密基元库是唯一使用 FIPS 模式配置设置的模块。 FIPS 模式不控制使用哪些加密算法。 FIPS 模式设置仅供 Windows 中的加密基元库 (bcryptprimitives.dll) 和内核模式加密基元库 (CNG.sys) 组件使用。
确定 Windows 服务或应用程序是否符合 FIPS 140
Microsoft 验证 Windows 和其他产品中使用的加密模块,而不是单个 Windows 服务或应用程序。 请联系服务或应用程序的供应商,了解它是否 (调用经验证的 Windows 加密模块(即 CMVP 验证的模块满足 FIPS 140 要求),并以符合 FIPS 140 要求的方式颁发了证书) (,即通过调用 FIPS 140 验证的加密并根据定义的 FIPS 批准的操作模式) 进行配置。
FIPS 140 和商业国家安全算法套件
商业国家安全算法 (CNSA) 套件是国家安全局颁布的一组加密算法,以取代 NSA 套件 B 加密算法。 许多 CNSA 加密算法也已根据 FIPS 140 标准获得批准。 若要确定 CNSA 算法是否包含在 Microsoft 产品中使用的 CAVP 验证算法范围内,请导航到上述部分中该产品的 FIPS 140 验证模块列表,并引用每个已验证模块列出的算法范围。 每个模块安全策略文档中提供了进一步的算法详细信息。
FIPS 140 和通用标准认证
FIPS 140 和 通用标准 是两个互补但不同的安全标准。 FIPS 140 验证加密功能,而通用条件则评估 IT 产品中更广泛的安全功能选择。 通用条件评估可能依赖于 FIPS 140 验证来保证基本加密功能已正确实现。 有关 Microsoft 通用条件认证计划的信息,请参阅 通用条件认证。
联系人
联系 fips@microsoft.com 问题或提供有关本主题的反馈。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈