DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 811833 - Geändert am: Sonntag, 1. März 2015 - Version: 4.0

 

Zusammenfassung

Der United States Federal Information Processing Standard (FIPS) definiert Sicherheit und Interoperabilitätsanforderungen für Computersysteme, die von der US-Regierung verwendet werden. Der FIPS-140-Standard definiert genehmigte kryptografische Algorithmen. Der Standard FIPS 140 legt auch Anforderungen für Schlüsselgenerierung und Schlüsselverwaltung fest. Das National Institute of Standards and Technology (NIST) verwendet das kryptografische Modul Validierung Programm (CMVP) um zu bestimmen, ob eine bestimmte Implementierung eines kryptografischen Algorithmus mit FIPS 140-Standard kompatibel ist. Eine Implementierung eines kryptografischen Algorithmus gilt nur dann als FIPS 140-konform, wenn sie zur NIST Validierung übermittelt wurde und diese bestanden hat. Ein Algorithmus, der nicht übermittelt wurde, kann auch dann nicht als FIPS-konform angesehen werden, wenn die Implementierung identische Daten wie eine validierte Implementierung desselben Algorithmus erzeugt.

Weitere Informationen zu Microsoft-Produkten und Bibliotheken, die dem Standard FIPS 140 entsprechen, finden Sie auf der folgenden Microsoft-Website:
http://technet.Microsoft.com/en-us/library/cc750357.aspx (http://technet.microsoft.com/en-us/library/cc750357.aspx)
In einigen Szenarien kann eine Anwendung nicht genehmigter Algorithmen oder Prozesse verwenden, während die Anwendung im FIPS-kompatiblen Modus arbeitet. In folgenden Szenarien kann z. B. die Verwendung von nicht genehmigten Algorithmen zugelassen werden:
  • Wenn einige interne Prozesse innerhalb des Computers bleiben
  • Wenn einige externe Daten zudem mit einer FIPS-konformen Implementierung verschlüsselt werden sollen

Weitere Informationen

In Windows XP und späteren Versionen von Windows: Wenn Sie die folgende Sicherheitseinstellung entweder in der lokalen Sicherheitsrichtlinie oder als Bestandteil der Gruppenrichtlinie aktivieren, informieren Sie Anwendungen, dass sie nur kryptografische Algorithmen verwenden sollen, die FIPS-140-konform sind und in Übereinstimmung mit FIPS genehmigten Betriebsmodi arbeiten.
Systemkryptografie: Verwenden von FIPS-konformen Algorithmus für Verschlüsselung, hashing und Signatur
Diese Richtlinie ist nur eine Empfehlung für Anwendungen. Wenn Sie die Richtlinie aktivieren, wird damit nicht sichergestellt, dass alle Anwendungen ihr entsprechen. Die folgenden Bereiche im Betriebssystem sind von dieser Einstellung betroffen:
  • Diese Einstellung bewirkt, dass das Schannel-Sicherheitspaket und alle Anwendungen, die auf das Schannel-Sicherheitspaket aufbauen, nur das Transport Layer Security (TLS) 1.0-Protokoll auszuhandeln. Wenn diese Einstellung auf einem Server aktiviert ist, auf dem IIS ausgeführt wird, können nur Webbrowser, die TLS 1.0 unterstützen, eine Verbindung herstellen. Wenn diese Einstellung auf einem Client aktiviert ist, können alle Schannel-Clients, wie Microsoft Internet Explorer nur auf Server zugreifen, die die TLS 1.0 unterstützen. Eine Liste der Verschlüsselungssuites, die unterstützt werden, wenn die Einstellung aktiviert ist, finden Sie im Thema "Cipher Suites in Schannel".

    Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
    811834  (http://support.microsoft.com/kb/811834/ ) Nach dem Aktivieren von FIPS-konformen Kryptografie keine SSL-Sites aufgerufen werden.
  • Diese Einstellung wirkt sich auch auf die Terminaldienste in Windows Server 2003 und späteren Versionen von Windows aus. Die Auswirkungen hängen davon ab, ob TLS für die Serverauthentifizierung verwendet wird.

    Wenn TLS für die Serverauthentifizierung verwendet wird, wird diese Einstellung nur TLS 1.0 verwenden.

    Standardmäßig wird, wenn TLS nicht verwendet wird, und diese Einstellung nicht auf dem Client oder auf dem Server aktiviert ist, der Remote Desktop Protocol (RDP)-Kanal zwischen dem Server und dem Client mithilfe der RC4-Verschlüsselung mit einer Schlüssellänge von 128-Bit-verschlüsselt. Nachdem Sie diese Einstellung auf einem Windows Server 2003-Computer aktiviert haben, gilt Folgendes:
    • Der RDP-Kanal wird mit dem 3DES-Algorithmus im Modus Cipher Block Chaining (CBC) mit einer Schlüssellänge von 168 Bit verschlüsselt.
    • SHA-1-Algorithmus wird verwendet, um Hashes zu erstellen.
    • Clients müssen das Clientprogramm RDP 5.2 oder höher für die Verbindung verwenden.
    Weitere Informationen zum Konfigurieren der Terminaldienste, klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
    814590  (http://support.microsoft.com/kb/814590/ ) Aktivieren und Konfigurieren von Remotedesktop für Verwaltung in Windows Server 2003
  • Windows XP-Clients, die dem RDP 5.2-Client-Programm und späteren Versionen von RDP verwenden können mit Windows Server 2003, Windows Vista oder Windows Server 2008-Computer verbinden, wenn Sie diese Option aktivieren. Remotedesktopverbindungen mit Windows XP-Computer jedoch fehlschlagen, wenn Sie diese Option auf dem Client oder dem Server aktivieren.
  • Windows-Clients, auf denen die FIPS-Einstellung aktiviert wurde, nicht Windows 2000-Terminaldiensten herstellen.
  • Diese Einstellung wirkt sich auf den Verschlüsselungsalgorithmus, der von EFS (ENCRYPTING File System) für die neuen Dateien verwendet wird. Vorhandene Dateien sind nicht betroffen und weiterhin Zugriff auf mithilfe von Algorithmen, mit denen sie ursprünglich verschlüsselt wurden.

    Hinweise
    • Standardmäßig verwendet EFS in Windows XP RTM den DESX-Algorithmus. Wenn Sie diese Einstellung aktivieren, verwendet EFS 168-Bit-3DES-Verschlüsselung.
    • In der Standardeinstellung in Windows XP Service Pack 1 (SP1), in zukünftigen Servicepacks von Windows XP und in Windows Server 2003 verwendet EFS Advanced Encryption Standard (AES) Algorithmus mit einer Schlüssellänge von 256 Bit. EFS verwendet jedoch die Kernelmodus-AES-Implementierung. Diese Implementierung ist nicht FIPS-überprüften auf diesen Plattformen. Wenn Sie die FIPS-Einstellung auf diesen Plattformen aktivieren, verwendet das Betriebssystem den 3DES-Algorithmus mit einer Schlüssellänge von 168 Bit.
    • In Windows Vista und Windows Server 2008 verwendet EFS den AES-Algorithmus mit 256-Bit-Schlüssel. Wenn Sie diese Einstellung aktivieren, wird der AES-256 verwendet werden.
    • Lokale Richtlinie FIPS ist Notaffect Kennwort Keyencryption.
  • Microsoft.NET Framework-Anwendungen wie Microsoft ASP.NET lassen nur die Verwendung von Algorithmusimplementierungen zu, die von NIST als FIPS-140-konform zertifiziert sind. Insbesondere sind nur kryptografischen Algorithmus-Klassen, die instanziiert werden können, die FIPS-konforme Algorithmen implementieren. Die Namen dieser Klassen enden in "CryptoServiceProvider" oder "Cng". Jeder Versuch, erstellen Sie eine Instanz der anderen Klassen kryptografischen Algorithmus, z. B. Klassen in "Managed" enden dazu führen, dass eine InvalidOperationException-Ausnahme auftritt. Darüber hinaus wird jeder Versuch, eine Instanz eines kryptografischen Algorithmus erstellen, der nicht FIPS-konform, z. B. MD5, ist auch eine InvalidOperationException-Ausnahme.
  • Wenn die FIPS-Einstellung aktiviert ist, schlägt die Überprüfung von ClickOnce-Anwendungen fehl, wenn auf dem Client-Computer eines der folgenden Produkte installiert ist:
    • Die.NET Framework 3.5 oder höher von der.NET Framework
    • .NET Framework 2.0 Service Pack 1 oder ein höheres Servicepack
    Hinweise
    • Mit Visual Studio 2005 können ClickOnce-Anwendungen nicht auf oder von einem FIPS-konformen Computer erstellt oder veröffentlicht werden. Wenn der Computer das.NET Framework 2.0 SP2, die mit dem.NET Framework 3.5 SP1 enthalten ist verfügt, können Visual Studio 2005 Winforms/WPF-Anwendungen veröffentlichen.
    • Mit Visual Studio 2008 können ClickOnce-Anwendungen nur dann erstellt oder veröffentlicht werden, wenn Visual Studio 2008 SP1 oder eine höhere Version von Visual Studio installiert ist.
  • Standardmäßig verwendet in Windows Vista und Windows Server 2008 das Feature BitLocker Drive Encryption 128-Bit-AES-Verschlüsselung mit einer zusätzlichen Diffusor. Wenn diese Einstellung aktiviert ist, verwendet BitLocker 256-Bit-AES-Verschlüsselung ohne Diffusor. Wiederherstellen von Kennwörtern sind darüber hinaus nicht erstellt oder gesichert, um die Active Directory-Verzeichnisdienst. Sie können keine daher ein Wiederherstellungskennwort eingeben über die Tastatur eingeben von PINs verloren gehen oder von Änderungen am System wiederhergestellt. Anstatt ein Wiederherstellungskennwort eingeben, können Sie einen Wiederherstellungsschlüssel auf einem lokalen Laufwerk oder auf einer Netzwerkfreigabe sichern. Um Schlüssel für den Wiederherstellungsagenten verwenden, setzen Sie den Schlüssel auf einem USB-Gerät. Schließen Sie das Gerät an den Computer.
  • In Windows Vista SP1 und höheren Versionen von Windows Vista und Windows Server 2008 können nur Mitglieder der Gruppe der kryptografische Operatoren die Kryptografie-Einstellungen in der IPSec-Richtlinie der Windows-Firewall bearbeiten.
Hinweise
  • Nach dem Aktivieren oder Deaktivieren der Sicherheitseinstellung Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden müssen Sie die Anwendung, z. B. Internet Explorer, neu starten, damit die neue Einstellung wirksam wird.
  • Diese Sicherheitseinstellung wirkt sich auf den folgenden Registrierungswert in Windows Server 2008 und Windows Vista aus:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
    Dieser Registrierungswert spiegelt die aktuelle FIPS-Einstellung wider. Wenn diese Einstellung aktiviert ist, ist der Wert 1. Wenn diese Einstellung deaktiviert ist, ist der Wert 0.
  • Diese Sicherheitseinstellung wirkt sich auf den folgenden Registrierungswert in Windows Server 2003 und Windows XP aus:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
    Dieser Registrierungswert spiegelt die aktuelle FIPS-Einstellung wider. Wenn diese Einstellung aktiviert ist, ist der Wert 1. Wenn diese Einstellung deaktiviert ist, ist der Wert 0.

Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Keywords: 
kbhowto kbinfo kbmt KB811833 KbMtde
Maschinell übersetzter ArtikelMaschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 811833  (http://support.microsoft.com/kb/811833/en-us/ )
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store