我正在嘗試將我的 Microsoft SQL 2014 執行個體設定為使用 FIPS 140-2 投訴加密,如中所述此知識庫文章適用於 SQL 2012,但它似乎不起作用。我在 SQL 服務錯誤日誌中沒有看到“FIPS”。我使用本機安全性原則設定 FIPS 選項System cryptography: Use FIPS 140 compliant cryptographic algorithms, including encryption, hashing and signing algorithms。
順便說一句,我嘗試透過 GPO 安全性原則設定相同的策略,但安全性選項沒有更改電腦的登錄項, GPO 安全策略在兩次重新啟動後確實適用。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy\Enabled即使 GPresults 顯示它正在應用。我不知道這是一個暗示還是另一個奇怪的現象。
我知道微軟最近發布了關於FIPS 不是必需品,但我需要能夠在資料庫上啟用 FIPS 的情況下對應用程式進行全面測試。
關於如何在 SQL 實例上強制執行 FIPS 有什麼想法嗎?
答案1
根據您引用的 MS 文章,SQL 使用作業系統加密約束(透過 SCHANNEL),因此如果您在作業系統層級啟用它,那麼您也在資料庫層級強制執行它。
只是為了證明這一點,如果您在執行 SQL 2008 R2 的伺服器上停用 SSL3 和 TLS 1.0(對於 SCHANNEL)並重新啟動,SQL 將不會啟動。