我正在尝试将我的 Microsoft SQL 2014 实例设置为使用符合 FIPS 140-2 标准的加密,如此知识库文章适用于 SQL 2012,但它似乎不起作用。我在 SQL 服务错误日志的任何地方都看不到“FIPS”。我使用本地安全策略设置了 FIPS 选项System cryptography: Use FIPS 140 compliant cryptographic algorithms, including encryption, hashing and signing algorithms。
另外,我尝试通过 GPO 安全策略设置相同的策略,但安全选项并未更改计算机的注册表项,两次重启后,GPO 安全策略确实应用了。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy\Enabled尽管 GPresults 显示已应用该策略。我不知道这是暗示还是又一个怪事。
我知道微软最近发布了关于FIPS 不是必需的但是我需要能够在 DB 上启用 FIPS 的情况下对应用程序进行全面测试。
关于如何在 SQL 实例上强制使用 FIPS 有什么想法吗?
答案1
根据您引用的 MS 文章,SQL 使用 OS 加密约束(通过 SCHANNEL),因此如果您在 OS 级别启用它,那么您也在 DB 级别强制执行它。
只是为了证明这一点,如果您在运行 SQL 2008 R2 的服务器上禁用 SSL3 和 TLS 1.0(对于 SCHANNEL)并重新启动,SQL 将无法启动。