「FIPSモード」のWindows 10でBitLocker(またはその他のFDEメソッド/メカニズム)を使用するために何が必要かを調べる任務があります。これは私の専門知識の範囲外です(そして私はクライアントにこの事実について助言しました)が、それでもそれを理解しようと努めました。過去数日間、多くの情報を読みましたが、決定的な答えを見つけるのに途方に暮れています。 BitLockerを「FIPSモード」で操作することへの言及は、それが実際に何を意味するかについて(理解できる)具体的な情報を見つけることなく見ました。私の質問はこれです:
セキュリティポリシー設定を有効にする必要がありますかシステム暗号化:FIPS暗号化、ハッシュ、署名に準拠したアルゴリズムを使用して、BitLocker(またはその他のFDEメソッド/メカニズム)「FIPSモード」で操作するには?
FIPSはセキュリティ標準です。それは連邦情報処理標準の略です。
FIPS準拠のセキュリティポリシー設定を有効にすると、多くの制限が発生する可能性があります。
BitLockerは、ボリュームの変換(暗号化)が完了し、ボリュームが完全に暗号化されると、FIPSモードでのみ動作します。
実際には、FIPSに準拠する場合は、ボリュームを暗号化する必要があります。その後、回復パスワードを削除します。次に、FIPSに準拠している2つのプロテクターの1つだけを使用する必要があります。ボリュームのデータ回復エージェントまたは回復キーです。さらに、FIPSのグループポリシーでは、回復パスワードの作成の可能性。
上記を実行すると、FIPSに準拠しているため、「FIPS暗号化、ハッシュ、署名に準拠したアルゴリズムを使用する」を有効にする必要があります。 FIPSに準拠している必要はありません。Bitlockerを問題なく使用でき、関連するものを制限する必要はありません。
FIPSコンプライアンスガイドラインに従えば、アクティブでなくてもFIPS準拠システムを正しく構成できるため、ポリシー自体は必須ではありません。誤って(そして偶然に)FIPSに準拠しないものを構成する可能性があるポリシー。このポリシーは、そのようなことを防止し、選択内容(アルゴリズム、暗号化など)をフィルタリングして、準拠しているもののみが利用できるようにします/それが実際の目的です。
FIPSに準拠したシステムを使用している場合、そのように思われる場合は、この設定を有効にする必要があります。Billが彼のコメントでOvermindの回答に提供したリンクは、これを確認します。OvermindのWindows 10について質問しているため、情報が正しくありません。彼はWindows 7を扱っているようです。
「Windows Server 2012 R2およびWindows 8.1で導入された機能により、BitLockerはFIPSモードで完全に機能することができます。..FIPS準拠の回復パスワードプロテクターを作成できます。 WindowsがFIPSモードです。これらのプロテクターは、FIPS 140 NIST SP800-132アルゴリズムを使用します。 "- https://docs.Microsoft.com/en-us/windows/security/information-protection/bitlocker/prepare-your-organization-for-bitlocker-計画とポリシー#bkmk-fipssupport
Windows 7について "A BitLocker回復パスワードは48桁です。このパスワードは、FIPSに準拠していないキー導出アルゴリズムで使用されます。"- https:// support.Microsoft.com/en-us/help/947249/the-recovery-password-for-windows-bitlocker-is-not-available-when-fips