Dell Encryption FIPS-naleving

Een registersleutel kan worden gewijzigd om een specifieke cryptoprovider en methode van cryptologie met, om de cryptografische bibliotheek te wijzigen die de Dell Encryption agent gebruikt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

De logbestanden van Dell Encryption genereren lijnen in het CMGshield.log bestand om de modus aan te geven waarin de cryptografische providers werken (standaardlocatie van C:\ProgramData\Dell\Dell Data Protection\Encryption\).

Een regel die de provider aangeeft die wordt geladen, wordt weergegeven door:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

Voorbij deze regel wordt een andere regel geschreven met een overzicht van de waarde die in het register is verbruikt:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>

Als de Intel IPP-vlaggen zijn uitgeschakeld of niet aanwezig zijn, voert Dell Encryption cryptografische bewerkingen uit door de door FIPS gevalideerde cryptografische bibliotheek van Dell aan te roepen (in FIPS-modus).

Wanneer de Intel IPP-vlaggen zijn ingeschakeld, worden dezelfde cryptografische functieaanroepen gedaan naar de door FIPS gevalideerde bibliotheken van Dell, maar het proces werkt binnen de applicatie in niet-FIPS-modus en de versleutelingsbewerkingen maken gebruik van de Intel IPP-bibliotheek voor verbeterde prestaties.

Als u de bewerkingsmodus wilt selecteren, wijzigt (of maakt) u de registersleutel:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

Beheerders kunnen de instelling valideren nadat dit register is ingesteld, na het opnieuw opstarten met behulp van het CMGShield.log-bestand:

"CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
"CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.

Dell Encryption's legacy cryptografische leverancier van Credant’s CMGCrypto is niet langer gevalideerd door NIST, hoewel de vroegere certificeringsnummers zijn: 2156 en 2150

Een registersleutel kan worden gewijzigd om een specifieke cryptoprovider en methode van cryptologie met, om de cryptografische bibliotheek te wijzigen die de Dell Encryption agent gebruikt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
DWORD: Enable_Provider

Various providers can be set, with the options being:

0x00000001 Software-based AES
0x00000002 Processor-driven AES-NI
0x00000004 Microsoft BCrypt
0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)

De logbestanden van Dell Encryption genereren lijnen in het DellCommon.log bestand om de modus aan te geven waarin de cryptografische providers werken (standaardlocatie van C:\ProgramData\Dell\Dell Data Protection\).

Een regel die de provider aangeeft die wordt geladen, wordt weergegeven door:

FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider

De FIPS-modus wordt beheerd met behulp van de FIPS-bibliotheken van Microsoft, waarnaar wordt verwezen als BCryptte installeren. Deze opties kunnen worden ingeschakeld met behulp van een groepsbeleidsobject voor extern beheerde machines. Dit kan worden gedaan via de Group Policy Management-console op een computer waarop de Remote System Administration Toolkit is geïnstalleerd (hier vindt u: https://support.microsoft.com/en-us/help/2693643)

Informatie over de implementatie van de door FIPS gevalideerde bibliotheken door Microsoft vindt u hier: https://technet.microsoft.com/en-us/library/cc750357.aspx

Raadpleeg NIST.gov koppelingen om de FIPS-certificeringen te bekijken voor de cryptografische bibliotheken van Microsoft die gebruikmaken van Full Disk Encryption van Dell Encryption:

• Certificaat van niveau 2 voor cryptografische primitieven: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3094
• Certificaat van niveau 2 voor cryptografische kernelfuncties: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3095

Extern beheerde apparaten met Active Directory

U kunt als volgt het gebruik van de Group Policy Management Console (gpmc.msc) inschakelen:

Selecteer de organisatie-eenheid waarin deze wijziging vereist is.

Afbeelding 1: (Alleen In het Engels) Group Policy Management

1. Geef het nieuwe groepsbeleidsobject een naam.

Afbeelding 2: (Alleen In het Engels) Geef het groepsbeleidsobject een naam

2. Klik met de rechtermuisknop op het nieuwe groepsbeleidsobject en selecteer Bewerken.

Afbeelding 3: (Alleen In het Engels) Het groepsbeleidsobject bewerken

3. Klik met de rechtermuisknop op het beleid en selecteer de eigenschappen die u wilt wijzigen.

Afbeelding 4: (Alleen In het Engels) Eigenschappen selecteren

4. Schakel de optie in om deze beleidsinstelling te definiëren en selecteer vervolgens de radiale knop Ingeschakeld .

Afbeelding 5: (Alleen In het Engels) Deze beleidsinstelling definiëren inschakelen

5. Klik op Apply.
6. Sluit de Groepsbeleidsbeheer-editor.

Zodra de apparaten zijn toegevoegd aan de organisatiegroep of een subgroep (met uitzondering van groepen waarvoor overname is geblokkeerd), is dit nieuwe groepsbeleidsobject van toepassing op deze apparaten wanneer hun computergroepbeleid wordt bijgewerkt. De standaardinstelling voor deze update is om de 2 uur of bij het opnieuw opstarten van de computer.

Zodra dit beleid is toegepast en zodra de softwarematige Full Disk Encryption van Dell is ingesteld op versleutelen, wordt het apparaat versleuteld met behulp van de FIPS-compatibele algoritmen van Microsoft.

Lokaal beheerde apparaten

Deze opties kunnen ook lokaal worden ingeschakeld via de lokale Group Policy Editor (gpedit.msc) of via de Local Security Policy Editor (secpol.msc).

In de lokale groepsbeleid-editor

Het beleid in kwestie bevindt zich in Computerconfiguratie,>Windows-instellingen>, Beveiligingsinstellingen>, Lokale beleidsregels>, Beveiligingsopties. De titel is System cryptography: Gebruik FIPS-compatibele algoritmen voor versleuteling, hashing en ondertekening.

1. Klik met de rechtermuisknop op het beleid en selecteer de eigenschappen die u wilt wijzigen.

Afbeelding 6: (Alleen In het Engels) Eigenschappen van het beleid

2. Schakel de optie in om deze beleidsinstelling te definiëren en selecteer vervolgens de radiale knop Ingeschakeld .

Afbeelding 7: (Alleen In het Engels) Deze beleidsinstelling definiëren inschakelen

3. Klik op Apply.
4. Sluit de Groepsbeleidsbeheer-editor.

Dit nieuwe beleid is van toepassing op deze apparaten wanneer hun computerbeleid wordt bijgewerkt. De standaardinstelling voor deze update is om de 2 uur of bij het opnieuw opstarten van de computer.

Zodra dit beleid is toegepast en zodra de softwarematige Full Disk Encryption van Dell is ingesteld op versleutelen, wordt het apparaat versleuteld met behulp van de FIPS-compatibele algoritmen van Microsoft.

In de editor voor lokaal beveiligingsbeleid

Het beleid in kwestie staat in Beveiligingsinstellingen>, Lokale beleidsregels>Beveiligingsopties. De titel is System cryptography: Gebruik FIPS-compatibele algoritmen voor versleuteling, hashing en ondertekening.

1. Klik met de rechtermuisknop op het beleid en selecteer de eigenschappen die u wilt wijzigen.

Afbeelding 8: (Alleen In het Engels) Eigenschappen van beleid

2. Schakel de optie in om deze beleidsinstelling te definiëren en selecteer vervolgens de radiale knop Ingeschakeld .

Afbeelding 9: (Alleen In het Engels) Deze beleidsinstelling definiëren inschakelen

3. Klik op Apply.
4. Sluit de Groepsbeleidsbeheer-editor.

Dit nieuwe beleid is van toepassing op deze apparaten wanneer hun computerbeleid wordt bijgewerkt. De standaardinstelling voor deze update is om de 2 uur of bij het opnieuw opstarten van de computer.

Zodra dit beleid is toegepast en zodra de softwarematige Full Disk Encryption van Dell is ingesteld op versleutelen, wordt het apparaat versleuteld met behulp van de FIPS-compatibele algoritmen van Microsoft.

Inschakelen met behulp van registervermelding

De FIPS-compatibele algoritmen van Microsoft kunnen ook worden ingeschakeld met behulp van het register. Als u FIPS-compatibele bibliotheken wilt inschakelen, kunt u de registersleutel wijzigen:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
DWORD: Enabled
Value: 1

Bij het opnieuw opstarten wordt dit beleid van kracht. Zodra dit beleid is toegepast en zodra de softwarematige Full Disk Encryption van Dell is ingesteld op versleutelen, wordt het apparaat versleuteld met behulp van de FIPS-compatibele algoritmen van Microsoft.