Dell Encryption FIPS 法規遵循

可修改登錄機碼，以選取特定的 cryptoprovider 和密碼學方法，以修改 Dell Encryption 代理程式使用的密碼編譯程式庫：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Dell Encryption 的記錄檔會在CMGshield.log檔案中產生行，以表示密碼編譯供應商運作的模式 （C：\ProgramData\Dell\Dell Data Protection\Encryption\ 的預設位置）。

指示正在載入的提供程式的行由下式表示：

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

在此行之外，將編寫另一行，概述註冊表中使用的值：

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>

如果 Intel IPP 旗標停用或不存在，Dell Encryption 會呼叫 Dell 的 FIPS 驗證密碼編譯程式庫 （以 FIPS 模式運作），以執行密碼編譯作業。

啟用「Intel IPP Flags」時，會對 Dell 的 FIPS 驗證程式庫進行相同的密碼編譯功能呼叫，但該程序會在應用程式中以非 FIPS 模式運作，且加密作業會使用「Intel IPP」程式庫來改善效能。

若要選擇操作模式，請修改（或創建）註冊表項：

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

系統管理員可以在設定此登錄檔後，使用 CMGShield.log 檔案重新開機驗證設定：

"CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
"CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.

Dell Encryption 的舊版密碼編譯提供者 Credant’s CMGCrypto 不再由 NIST 驗證，儘管以前的認證編號是：2156 和 2150

可修改登錄機碼，以選取特定的 cryptoprovider 和密碼學方法，以修改 Dell Encryption 代理程式使用的密碼編譯程式庫：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
DWORD: Enable_Provider

Various providers can be set, with the options being:

0x00000001 Software-based AES
0x00000002 Processor-driven AES-NI
0x00000004 Microsoft BCrypt
0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)

Dell Encryption 的記錄檔會在DellCommon.log檔案內產生行，以表示密碼編譯供應商運作的模式 （C：\ProgramData\Dell\Dell Data Protection\ 的預設位置）。

指示正在載入的提供程式的行由下式表示：

FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider

FIPS 模式是使用 Microsoft 的 FIPS 程式庫進行管理，參考如 BCrypt。可以使用遠端管理的電腦的組策略物件來啟用這些選項，這可以通過安裝了遠端系統管理工具包的電腦上的組策略管理控制台完成（位於此處：https://support.microsoft.com/en-us/help/2693643）

有關 Microsoft 實施經 FIPS 驗證的庫的資訊，請參閱此處： https://technet.microsoft.com/en-us/library/cc750357.aspx

若要檢閱 Dell Encryption Full Disk Encryption 所利用的 Microsoft 密碼編譯程式庫 FIPS 認證，請參閱 NIST.gov 連結：

• 密碼編譯基元的 2 級證書： https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3094
• 核心密碼編譯功能的 Level 2 憑證： https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3095

使用 Active Directory 進行遠端管理的裝置

若要使用群組原則管理主控台 （gpmc.msc） 啟用：

選取需要進行此變更的組織單位。

圖 1：（僅英文）群組原則管理

1. 為新的組策略物件命名。

圖 2：（僅英文）命名群組原則物件

2. 以滑鼠右鍵按一下新的群組原則物件，然後選取 編輯。

圖 3：（僅英文）編輯群組原則物件

3. 在原則上按一下滑鼠右鍵，然後選取要修改 的內容 。

圖 4：(僅限英文) 選取內容

4. 啟用 「定義此策略設置 」選項，然後選擇 「已啟用 」選項選項。

圖 5：（僅英文）開啟定義此原則設定

5. 按一下套用。
6. 關閉群組原則管理編輯器。

將設備添加到組織組或任何子組（不包括已阻止 繼承 的組）后，此新組策略物件將隨著這些設備的計算機組策略更新應用於這些設備。此更新的預設設置為每 2 小時或在電腦重新開機時更新一次。

套用此原則後，一旦 Dell 的軟體型 Full Disk Encryption 設定為加密，裝置便會以 Microsoft 的 FIPS 相容演算法進行加密。

本機管理的裝置

您也可以透過本機群組原則編輯器 （gpedit.msc） 或透過本機安全性原則編輯器 （secpol.msc） 在本機啟用這些選項。

在本機群組原則編輯器中

有問題的策略位於 計算機配置> Windows 設置>安全設置>本地策略>安全選項中。標題是 「系統密碼學：使用符合 FIPS 的演演演算法進行加密、哈希處理和簽名。

1. 在原則上按一下滑鼠右鍵，然後選取要修改 的內容 。

圖 6：（僅英文）原則的屬性

2. 啟用 「定義此策略設置 」選項，然後選擇 「已啟用 」選項選項。

圖 7：（僅英文）開啟定義此原則設定

3. 按一下套用。
4. 關閉群組原則管理編輯器。

此新策略適用於這些設備的計算機策略更新。此更新的預設設置為每 2 小時或在電腦重新開機時更新一次。

套用此原則後，一旦 Dell 的軟體型 Full Disk Encryption 設定為加密，裝置便會以 Microsoft 的 FIPS 相容演算法進行加密。

在本機安全性原則編輯器中

有問題的策略位於 安全設置>本地策略>安全選項中。標題是 「系統密碼學：使用符合 FIPS 的演演演算法進行加密、哈希處理和簽名。

1. 在原則上按一下滑鼠右鍵，然後選取要修改 的內容 。

圖 8：（僅英文）原則的屬性

2. 啟用 「定義此策略設置 」選項，然後選擇 「已啟用 」選項選項。

圖 9：（僅英文）開啟定義此原則設定

3. 按一下套用。
4. 關閉群組原則管理編輯器。

此新策略適用於這些設備的計算機策略更新。此更新的預設設置為每 2 小時或在電腦重新開機時更新一次。

套用此原則後，一旦 Dell 的軟體型 Full Disk Encryption 設定為加密，裝置便會以 Microsoft 的 FIPS 相容演算法進行加密。

使用登錄項目啟用

Microsoft 的 FIPS 相容演算法也可以使用登錄啟用。若要啟用符合 FIPS 的庫，可以修改註冊表項：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
DWORD: Enabled
Value: 1

重新開機時，此原則將設定生效。套用此原則後，一旦 Dell 的軟體型 Full Disk Encryption 設定為加密，裝置便會以 Microsoft 的 FIPS 相容演算法進行加密。