У цьому довідковому розділі про політику безпеки, призначеному для ІТ-фахівців, описані рекомендації, розташування, значення, управління політикою та міркування безпеки для цього параметра політики.
Довідкові матеріали
Федеральний стандарт обробки інформації США (FIPS) 140 - це реалізація безпеки, призначена для сертифікації криптографічного програмного забезпечення. У Windows ці сертифіковані алгоритми реалізовані для задоволення вимог і стандартів, пов'язаних з криптографічними модулями, які повинні використовуватися установами та агентствами федерального уряду США.
Цей параметр політики визначає, чи підтримує постачальник безпеки TLS / SSL тільки криптостійкий набір шифрування, спільний з FIPS, який відомий як TLS_RSA_WITH_3DES_EDE_CBC_SHA, що означає підтримку цим постачальником тільки протоколу TLS на клієнтському комп'ютері та сервері, якщо є. Використовується тільки алгоритм шифрування 3DES для шифрування трафіку TLS, тільки алгоритм відкритого ключа RSA для обміну та перевірки автентичності ключів TLS і тільки алгоритм хешування SHA-1 для задоволення вимог TLS до хешування.
Шифрована файлова система (EFS)
Служби віддалених робочих столів (RDS)
Для шифрування мережевого трафіку служб віддалених робочих столів цей параметр політики задіє тільки алгоритм шифрування 3DES.
Стосовно до BitLocker цей параметр політики повинен бути включений до створення будь-якого ключа шифрування.
Можливі значення
рекомендації
Для використання з TLS встановіть для цієї політики значення Включено. Клієнтські пристрої, на яких включений цей параметр політики, не зможуть взаємодіяти з серверами, які не підтримують ці алгоритми, через протоколи з цифровим шифруванням або підписом. Клієнтські пристрої, підключені до мережі і не підтримують ці алгоритми, не зможуть використовувати сервери, що вимагають використання цих алгоритмів для передачі даних по мережі. Якщо включити цей параметр політики, необхідно також налаштувати Internet Explorer на використання TLS.
Розташування
Конфігурація комп'ютера \ Параметри Windows \ Параметри безпеки \ Локальні політики \ Параметри безпеки
Значення за замовчуванням
У наступній таблиці наведено фактичні і діючі значення за замовчуванням для цієї політики. Значення за замовчуванням також вказані на сторінці властивостей політики.
Тип сервера або об'єкт групової політики
Значення за замовчуванням
Відмінності версій операційних систем
Якщо цей параметр включений, BitLocker створює пароль відновлення або ключі відновлення, застосовні до всіх версій, зазначеним нижче.
Створений в цих операційних системах пароль відновлення не може використовуватися в інших системах, зазначених у таблиці.
Створений в цих операційних системах пароль відновлення може також використовуватися в інших системах, зазначених у таблиці.
Створений в цих операційних системах пароль відновлення може також використовуватися в інших системах, зазначених у таблиці.
Створений в цих операційних системах пароль відновлення може також використовуватися в інших системах, зазначених у таблиці.
управління політикою
В даному розділі описуються компоненти і засоби, доступні для управління цією політикою.
необхідність перезавантаження
Ні. Зміни цієї політики вступають в силу без перезавантаження пристрою після їх локального збереження або поширення через групову політику.
групова політика
Налагодження та розгортання цієї політики за допомогою групової політики має пріоритет над параметром на локальному пристрої. Якщо для групової політики задане значення налаштоване. будуть застосовані локальні параметри.
міркування безпеки
У цьому розділі описується, яким чином зловмисник може скористатися компонентом або його конфігурацією, як застосувати заходи протидії і які можливі негативні наслідки реалізації цих заходів.
уразливість
заходи протидії
Увімкніть параметр Системна криптографія: використовувати FIPS-сумісні алгоритми для шифрування, хешування і підписування.
Можливі наслідки
Клієнтські пристрої, на яких включений цей параметр політики, не можуть взаємодіяти з використанням протоколів цифрового підпису або шифрування з серверами, які не підтримують ці алгоритми. Мережеві клієнти, які не підтримують ці алгоритми, не можуть використовувати сервера, які потребують підтримки цих алгоритмів для мережевого зв'язку. Наприклад, багато веб-сервери на основі Apache не налаштовані на підтримку TLS. Якщо включити цей параметр, необхідно також налаштувати Internet Explorer® на використання TLS. Цей параметр політики також впливає на рівень шифрування, використовуваний для протоколу віддалених робочих столів (RDP). Засіб підключення до віддаленого робочого столу використовує протокол RDP для зв'язку з серверами, на яких працюють служби терміналів, і клієнтськими комп'ютерами, налаштованими для підтримки віддаленого управління; RDP-підключення завершуються з помилкою, якщо обидва пристрої не налаштовані на використання однакових алгоритмів шифрування.
пов'язані теми
Показ: успадкувала Захищений