系统加密: 将 FIPS 兼容算法用于加密、哈希和签名
适用范围
- Windows 11
- Windows 10
此安全策略参考主题面向 IT 专业人员,介绍了此策略设置的最佳做法、位置、值、策略管理和安全注意事项。
参考
联邦信息处理标准 (FIPS) 140 是一种安全实现,旨在认证加密软件。 Windows 实施这些经过认证的算法以满足加密模块的要求和标准,供美国联邦政府的部门和机构使用。
TLS/SSL
此策略设置确定 TLS/SSL 安全提供程序是否仅支持符合 FIPS 的强密码套件(称为 TLS_RSA_WITH_3DES_EDE_CBC_SHA),这意味着提供程序仅支持将 TLS 协议作为客户端计算机和服务器(如果适用)。 它仅使用三重数据加密标准 (3DES) 加密算法进行 TLS 流量加密,仅使用 Rivest-Shamir-Adleman (RSA) 公钥算法进行 TLS 密钥交换和身份验证,仅使用安全哈希算法版本 1 (SHA-1) 哈希算法满足 TLS 哈希要求。
加密文件系统 (EFS)
对于 EFS 服务,此策略设置支持 3DES 和高级加密标准 (AES) 加密算法,用于加密 NTFS 文件系统支持的文件数据。 为了加密文件数据,默认情况下,EFS 在 Windows Server 2003、Windows Vista 及更高版本中使用高级加密标准 (AES) 算法和 256 位密钥,并在 Windows XP 中使用 DESX 算法。
远程桌面服务 (RDS)
如果使用的是远程桌面服务,则仅当支持 3DES 加密算法时,才应启用此策略设置。
BitLocker
对于 BitLocker,需要在生成任何加密密钥之前启用此策略设置。 启用此策略时,在 Windows Server 2012 R2 和 Windows 8.1 及更高版本上创建的恢复密码与 Windows Server 2012 R2 和 Windows 8.1 之前的操作系统上的 BitLocker 不兼容;BitLocker 将阻止在这些系统上创建或使用恢复密码,因此应改用恢复密钥。 此外,如果数据驱动器受密码保护,则提供密码后,符合 FIPS 标准的计算机可以访问该驱动器,但该驱动器将为只读。
可能值
- 已启用
- 禁用
- 未定义
最佳做法
我们建议希望符合 FIPS 140-2 的客户研究他们可能使用的应用程序和协议的配置设置,以确保其解决方案能够配置为在 WINDOWS 在 FIPS 140-2 批准的模式下运行时使用 WINDOWS 提供的 FIPS 140-2 验证加密。
有关 Microsoft 建议的配置设置的完整列表,请参阅 Windows 安全基线。 有关 Windows 和 FIPS 140-2 的详细信息,请参阅 FIPS 140 验证。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出了此策略的实际和有效的默认值。 默认值也列在策略的属性页上。
| 服务器类型或 GPO | 默认值 |
|---|---|
| 默认域策略 | 未定义 |
| 默认域控制器策略 | 未定义 |
| 独立服务器默认设置 | 禁用 |
| DC 有效默认设置 | 禁用 |
| 成员服务器有效默认设置 | 禁用 |
| 客户端计算机有效默认设置 | 禁用 |
操作系统版本差异
启用此设置后,加密文件系统 (EFS) 服务仅支持用于加密文件数据的三重 DES 加密算法。 默认情况下,EFS 的 Windows Vista 和 Windows Server 2003 实现使用高级加密标准 (AES) 和 256 位密钥。 Windows XP 实现使用 DESX。
启用此设置后,BitLocker 会生成适用于以下版本的恢复密码或恢复密钥:
| 操作系统 | 适用性 |
|---|---|
| Windows 10、Windows 8.1和Windows Server 2012 R2 | 在这些操作系统上创建恢复密码时,不能在此表中列出的其他系统上使用恢复密码。 |
| Windows Server 2012 和 Windows 8 | 在这些操作系统上创建恢复密钥时,还可以在此表中列出的其他系统上使用恢复密钥。 |
| Windows Server 2008 R2 和 Windows 7 | 在这些操作系统上创建恢复密钥时,还可以在此表中列出的其他系统上使用恢复密钥。 |
| Windows Server 2008 和 Windows Vista | 在这些操作系统上创建恢复密钥时,还可以在此表中列出的其他系统上使用恢复密钥。 |
策略管理
本部分介绍了可用于帮助管理此策略的功能和工具。
重启要求
无。 当在本地保存或通过组策略分发对此策略进行的更改时,这些更改无需重启设备即可立即生效。
组策略
使用 组策略 设置和部署此策略优先于本地设备上的设置。 如果组策略设置为“未配置”,将应用本地设置。
安全注意事项
本部分介绍攻击者如何利用一项功能或其配置,如何实施对策,以及对策实施可能产生的负面后果。
漏洞
可以启用此策略设置,以确保设备使用可用于数字加密、哈希和签名的最强大的算法。 使用这些算法可以最大程度地降低未经授权的用户泄露数字加密或签名数据的风险。
对策
启用 系统加密:使用符合 FIPS 的算法进行加密、哈希和签名 设置。
潜在影响
启用此策略设置的客户端设备无法通过数字加密或签名协议与不支持这些算法的服务器进行通信。 不支持这些算法的网络客户端无法使用需要这些算法的服务器进行网络通信。 例如,许多基于 Apache 的 Web 服务器未配置为支持 TLS。 如果启用此设置,还必须将 Internet Explorer® 配置为使用 TLS。 此策略设置还会影响用于远程桌面协议 (RDP) 的加密级别。 远程桌面连接工具使用 RDP 协议与运行终端服务的服务器和配置为进行远程控制的客户端计算机进行通信;如果两个设备未配置为使用相同的加密算法,RDP 连接将失败。