【发布时间】:2011-02-03 12:51:19
【问题描述】:
必须从客户端测试要在启用 FIPS 的机器上运行的 c# 应用程序
【问题讨论】:
-
是的。不确定其他要求
【发布时间】:2011-02-03 12:51:19
【问题描述】:
首先,请注意在 Windows 中强制执行 FIPS140-2 兼容加密时实际发生的情况。详情在http://technet.microsoft.com/en-us/library/cc750357.aspx。但是,下面链接的文章详细介绍了主要的“问题”(旧 SSL 网站不再在 IE 中运行)。
启用 FIPS 140-2 兼容的官方说明位于 http://support.microsoft.com/kb/811833,但可以总结如下:
- 使用具有管理凭据的帐户登录计算机。
- 单击开始,单击运行,键入 gpedit.msc,然后按 Enter。
- 在本地组策略编辑器的计算机配置下 节点,双击Windows设置,然后双击安全 设置。
- 在安全设置节点下,双击本地策略,然后 然后点击安全选项。
- 在详细信息窗格中,双击系统加密:使用 用于加密、散列和签名的符合 FIPS 的算法。
- 在系统加密中:使用符合 FIPS 的算法 加密、散列和签名对话框,单击启用,然后 单击确定关闭对话框。
- 关闭本地组策略编辑器。
如果您希望手动执行此操作,您也可以简单地将注册表项 HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled 更改为 1
最后,重复一遍,在启用此功能之前通读文档非常重要 - 它会更改整个加密系统,包括文件系统(EFS 和 Bitlocker)和网络( IE、远程桌面和主要加密库)都可以加密,如果您允许恢复丢失的加密密钥。
【讨论】:
-
显然,将路径写入注册表值的标准方法是使用
\作为键分隔符,并在值名称前加上/。 -
+1 用于注册表设置(如果您碰巧使用 FIPS + IISAdmin 将自己锁定在 RDP 之外,
psexec和reg命令可以拯救您...)
作为替代方案,对于 Windows 7 用户(具有管理员权限),这是“网络属性”之一。一步一步:
- 单击任务栏上的“网络”图标。
- 右键单击>特定网络连接上的属性
- 切换到“安全”选项卡。
- 单击“高级设置”按钮。
- 点击标有“为此网络启用联邦信息处理标准 (FIPS) 合规性”的复选框。
另外,请记住:
- 推荐阅读:http://technet.microsoft.com/en-us/magazine/ff847520.aspx
- 此设置取决于您在“安全”选项卡上选择的“安全类型”
- 您的无线网络适配卡可能已经在硬件中进行了这种加密。此复选框将从该复选框切换为在软件中执行 AES 加密。
【讨论】: