Dell Encryption FIPS Uyumluluğu

Belirli bir seçmek için bir kayıt defteri anahtarı değiştirilebilir cryptoprovider ve ile şifreleme yöntemi, Dell Encryption aracısının kullandığı Şifreleme kitaplığını değiştirmek için:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Dell Encryption'ın günlük dosyaları, şifreleme sağlayıcılarının çalıştığı modu belirtmek için CMGshield.log dosyası içinde satırlar oluşturur (Varsayılan konum: C:\ProgramData\Dell\Dell Data Protection\Encryption\).

Yüklenmekte olan sağlayıcıyı gösteren bir satır şu şekilde temsil edilir:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

Bu satırın ötesinde, kayıt defterinde tüketilen değeri özetleyen başka bir satır yazılır:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>

Intel IPP bayrakları devre dışıysa veya mevcut değilse Dell Encryption, Dell'in FIPS onaylı şifreleme kitaplığını (FIPS modunda çalışan) arayarak şifreleme işlemleri gerçekleştirir.

Intel IPP Bayrakları etkinleştirildiğinde, Dell'in FIPS onaylı kitaplıklarına aynı şifreleme işlevi çağrıları yapılır ancak işlem, uygulama içinde FIPS olmayan modda çalışır ve şifreleme işlemleri gelişmiş performans için Intel IPP kitaplığını kullanır.

İşlem modunu seçmek için kayıt defteri anahtarını değiştirin (veya oluşturun):

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

Yöneticiler, bu kayıt defteri ayarlandıktan sonra, yeniden başlatma sonrasında CMGShield.log dosyasını kullanarak ayarı doğrulayabilir:

"CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
"CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.

Dell Encryption'ın eski şifreleme sağlayıcısı Credant’s CMGCrypto artık NIST tarafından doğrulanmamaktadır, ancak eski sertifika numaraları: 2156 ve 2150

Belirli bir seçmek için bir kayıt defteri anahtarı değiştirilebilir cryptoprovider ve ile şifreleme yöntemi, Dell Encryption aracısının kullandığı Şifreleme kitaplığını değiştirmek için:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
DWORD: Enable_Provider

Various providers can be set, with the options being:

0x00000001 Software-based AES
0x00000002 Processor-driven AES-NI
0x00000004 Microsoft BCrypt
0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)

Dell Encryption'ın günlük dosyaları, şifreleme sağlayıcılarının çalıştığı modu belirtmek için DellCommon.log dosyasının içinde satırlar oluşturur (Varsayılan konum: C:\ProgramData\Dell\Dell Data Protection\).

Yüklenmekte olan sağlayıcıyı gösteren bir satır şu şekilde temsil edilir:

FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider

FIPS modu, Microsoft'un FIPS kitaplıkları kullanılarak yönetilir. BCrypt. Bu seçenekler, uzaktan yönetilen makineler için bir Grup İlkesi Nesnesi kullanılarak etkinleştirilebilir. Bu işlem, Remote System Administration Toolkit yüklü olan bir bilgisayardaki Grup İlkesi Yönetimi konsolu aracılığıyla yapılabilir (burada bulunur: https://support.microsoft.com/en-us/help/2693643)

Microsoft'un FIPS doğrulanmış kitaplıklarını uygulaması hakkında bilgi burada bulunabilir: https://technet.microsoft.com/en-us/library/cc750357.aspx

Dell Encryption'ın Tam Disk Şifrelemesinin yararlandığı Microsoft şifreleme kitaplıkları için FIPS Sertifikalarını incelemek için NIST.gov bağlantılara başvurun:

• Şifreleme Temel Öğeleri için Düzey 2 Sertifikası: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3094
• Çekirdek Şifreleme işlevleri için Düzey 2 Sertifikası: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3095

Active Directory kullanan Uzaktan Yönetilen aygıtlar

Grup İlkesi Yönetim Konsolu'nu (gpmc.msc) kullanmayı etkinleştirmek için:

Bu değişikliğin gerekli olduğu Kuruluş Birimini seçin.

Şekil 1: (Yalnızca İngilizce) Grup İlkesi Yönetimi

1. Yeni Grup İlkesi Nesnesini adlandırın.

Şekil 2: (Yalnızca İngilizce) Grup İlkesi Nesnesini Adlandırma

2. Yeni Grup İlkesi Nesnesi'ne sağ tıklayın ve Düzenle'yi seçin.

Şekil 3: (Yalnızca İngilizce) Grup İlkesi Nesnesini Düzenleme

3. Politikaya sağ tıklayın ve değiştirilecek özellikleri seçin.

Şekil 4: (Yalnızca İngilizce) Özellikler öğesini seçme

4. Bu politika ayarını tanımla seçeneğini etkinleştirin ve ardından Enabled radyal düğmesini seçin.

Şekil 5: (Yalnızca İngilizce) Bu ilke ayarını tanımla seçeneğini etkinleştirin

5. Uygula'ya tıklayın.
6. Grup İlkesi Yönetimi Düzenleyicisi'ni kapatın.

Aygıtlar Kuruluş Grubuna veya herhangi bir alt gruba ( devralmanın engellendiği gruplar hariç) eklendikten sonra, bu yeni Grup İlkesi Nesnesi, Makine Grup İlkeleri güncelleştirmesi olarak bu aygıtlara uygulanır. Bu güncelleştirme için varsayılan ayar her 2 saatte bir veya makine yeniden başlatılır.

Bu ilke uygulandıktan sonra Dell'in yazılım tabanlı Tam Disk Şifrelemesi şifrelemek üzere ayarlandığında, aygıt Microsoft'un FIPS Uyumlu algoritmalarından yararlanarak şifrelenir.

Yerel Olarak Yönetilen Aygıtlar

Bu seçenekler, yerel Grup İlkesi Düzenleyicisi (gpedit.msc) veya Yerel Güvenlik İlkesi Düzenleyicisi (secpol.msc) aracılığıyla yerel olarak da etkinleştirilebilir.

Yerel Grup İlkesi Düzenleyicisi'nde

Söz konusu ilke, Bilgisayar Yapılandırması>, Windows Ayarları>, Güvenlik Ayarları>, Yerel İlkeler>, Güvenlik Seçenekleri'ndedir. Başlık Sistem şifrelemesi: Şifreleme, karma oluşturma ve imzalama için FIPS uyumlu algoritmalar kullanın.

1. Politikaya sağ tıklayın ve değiştirilecek özellikleri seçin.

Şekil 6: (Yalnızca İngilizce) Politikanın özellikleri

2. Bu politika ayarını tanımla seçeneğini etkinleştirin ve ardından Enabled radyal düğmesini seçin.

Şekil 7: (Yalnızca İngilizce) Bu ilke ayarını tanımla seçeneğini etkinleştirin

3. Uygula'ya tıklayın.
4. Grup İlkesi Yönetimi Düzenleyicisi'ni kapatın.

Bu yeni politika, makine politikaları güncellendikçe bu cihazlar için geçerlidir. Bu güncelleştirme için varsayılan ayar her 2 saatte bir veya makine yeniden başlatılır.

Bu ilke uygulandıktan sonra Dell'in yazılım tabanlı Tam Disk Şifrelemesi şifrelemek üzere ayarlandığında, aygıt Microsoft'un FIPS Uyumlu algoritmalarından yararlanarak şifrelenir.

Yerel Güvenlik İlkesi düzenleyicisinde

Söz konusu ilke, Güvenlik Ayarları>, Yerel İlkeler,>Güvenlik Seçenekleri'ndedir. Başlık Sistem şifrelemesi: Şifreleme, karma oluşturma ve imzalama için FIPS uyumlu algoritmalar kullanın.

1. Politikaya sağ tıklayın ve değiştirilecek özellikleri seçin.

Şekil 8: (Yalnızca İngilizce) Politikanın Özellikleri

2. Bu politika ayarını tanımla seçeneğini etkinleştirin ve ardından Enabled radyal düğmesini seçin.

Şekil 9: (Yalnızca İngilizce) Bu ilke ayarını tanımla seçeneğini etkinleştirin

3. Uygula'ya tıklayın.
4. Grup İlkesi Yönetimi Düzenleyicisi'ni kapatın.

Bu yeni politika, makine politikaları güncellendikçe bu cihazlar için geçerlidir. Bu güncelleştirme için varsayılan ayar her 2 saatte bir veya makine yeniden başlatılır.

Bu ilke uygulandıktan sonra Dell'in yazılım tabanlı Tam Disk Şifrelemesi şifrelemek üzere ayarlandığında, aygıt Microsoft'un FIPS Uyumlu algoritmalarından yararlanarak şifrelenir.

Kayıt Defteri girdisini kullanarak etkinleştirme

Microsoft'un FIPS uyumlu algoritmaları, kayıt defteri kullanılarak da etkinleştirilebilir. FIPS uyumlu kitaplıkları etkinleştirmek için kayıt defteri anahtarını değiştirebilirsiniz:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
DWORD: Enabled
Value: 1

Yeniden başlatmada bu politika geçerli olarak ayarlanır. Bu ilke uygulandıktan sonra Dell'in yazılım tabanlı Tam Disk Şifrelemesi şifrelemek üzere ayarlandığında, aygıt Microsoft'un FIPS Uyumlu algoritmalarından yararlanarak şifrelenir.