Cryptage complet de disque et FIPS
J'ai été chargé de déterminer ce qui est nécessaire pour utiliser BitLocker (ou toute autre méthode/mécanisme FDE) dans Windows 10 dans "FIPS MODE". Ceci est en dehors du domaine de mon expertise (et j'ai conseillé le client à ce fait), mais j'ai essayé d'essayer de le comprendre néanmoins. J'ai lu beaucoup d'informations au cours des derniers jours, mais je suis une perte pour trouver une réponse définitive. J'ai vu des références à utiliser BitLocker dans "FIPS MODE" sans trouver d'informations concrètes (que je pouvais comprendre) sur ce que cela signifie réellement. Ma question est la suivante:
Est-il nécessaire d'activer le paramètre de stratégie de sécurité Cryptographie du système: Utiliser FIPS ALGORITHMES conformes au cryptage, hachage et signature Pour BitLocker (ou toute autre méthode FDE/Mécanisme) Pour fonctionner dans "FIPS MODE"?
FIPS est une norme de sécurité; Il représente une norme de traitement de l'information fédérale.
Si vous activez un paramètre de stratégie de sécurité qui est conforme à FIPS, vous pouvez avoir beaucoup de restrictions:
- BitLocker n'autorisera pas la création ou l'utilisation d'un mot de passe de récupération que la norme interdit ceci.
- BitLocker ne libérera que des touches à stocker sur des lecteurs flash USB
- Le cryptage de lecteur BitLocker est actuellement pris en charge/limité à des versions spécifiques de Windows.
- BitLocker ne proposera que FIPS méthodes de validation approuvées
BitLocker fonctionnera uniquement dans son mode FIPS une fois la conversion de volume (cryptage) est terminée et le volume est complètement crypté.
Pratiquement, si vous souhaitez être conforme à FIPS, vous devez avoir crypté le volume, puis supprimer le mot de passe de récupération. Vous devrez ensuite utiliser uniquement l'un des 2 protecteurs qui sont FIPS Conforme: un agent de récupération de données ou une clé de récupération pour le volume. En outre, dans la stratégie de groupe pour FIPS, vous pouvez désactiver la possibilité de créer des mots de passe de récupération.
Si vous faites ce qui précède, vous êtes FIPS Conforme et vous devez activer "Utiliser FIPS Algorithmes conformes au cryptage, hachage et signature". Si vous ne donez pas Il faut que ce soit FIPS Conforme, vous pouvez utiliser BitLocker tout à fait bien et que vous n'avez pas besoin de restreindre quoi que ce soit.
La stratégie elle-même n'est pas une exigence, car vous pourriez correctement configurer un fichier FIPS Système conforme sans qu'il soit actif, étant donné que vous suivez le FIPS Directives de conformité. Mais sans cela Politique que vous pourriez par erreur (et avec de fortes chances) configurez quelque chose qui ne se conformera pas à FIPS. La stratégie vous empêchera de le faire et de filtrer vos choix (en ce qui concerne les algorithmes, le cryptage, etc.), seuls les conformistes seront disponibles/affiché. C'est le but réel de celui-ci.
Si vous souhaitez avoir un FIPS Système conforme, et il semble que vous soyez, alors oui, vous devez activer ce paramètre. Le lien que la facture fournie dans son commentaire à la réponse de SURMIND confirme cela. Overmind's Les informations sont incorrectes car vous vous demandez sur Windows 10, il semble qu'il s'adresse à Windows 7.
" Fonctionnalité introduite dans Windows Server 2012 R2 et Windows 8.1, permet à BitLocker d'être entièrement fonctionnelle en FIPS Mode .... Les protecteurs de mot de passe de récupération conformes à FIPS peuvent être créés lorsque Windows est IN FIPS MODE. Ces protecteurs utilisent le FIPS 140 NIST SP800-132 Algorithme . "- -- https://docs.microsoft.com/en-us/windows/security/information-protection/bitelocker/prepare-votre-organisation-for-Blocker-planning-Att -policies # BKMK-FIPSSUPPORT
Concernant Windows 7 " Un mot de passe de récupération BitLocker contient 48 chiffres. Ce mot de passe est utilisé dans un algorithme de dérivation de clé qui n'est pas conforme à FIPS." - https://support.microsoft .com/fr-US/help/947249/the-Recovery-Password-for-Windows-BitLocker-IS-NOT-Disponible-When-FIPS