全磁盘加密和FIPS

Question

我的任务是找出在Windows 10中在"FIPS模式“中使用BitLocker (或任何其他FDE方法/机制)所需的内容。这超出了我的专业范围(我已经向客户提出了这一事实)，但我还是努力想办法解决这个问题。在过去的几天里，我阅读了大量的信息，但我无法找到一个明确的答案。我看到了在"FIPS模式“中操作BitLocker的引用，但没有找到任何具体的信息(我可以理解)。我的问题是：

是否需要启用安全策略设置系统加密:使用符合FIPS的加密、散列和签名算法，以便BitLocker (或任何其他FDE方法/机制)在"FIPS模式“中操作？

Answer 1

FIPS是一个安全标准；它代表联邦信息处理标准。

如果启用符合FIPS的安全策略设置，则可能有许多限制：

• BitLocker将不允许创建或使用恢复密码，标准禁止此操作。
• BitLocker只会释放要存储在USB闪存驱动器上的密钥。
• BitLocker驱动器加密目前支持/仅限于特定版本的Windows。
• BitLocker将只提供FIPS认可的验证方法。
• 一旦卷转换(加密)完成，并且卷被完全加密，BitLocker才会以FIPS模式操作。实际上，如果您想遵守FIPS，您必须对卷进行加密，然后删除恢复密码。然后，您必须只使用FIPS兼容的2种保护器中的一种:数据恢复代理或卷的恢复键。此外，在FIPS的组策略中，可以禁用创建恢复密码的可能性。

如果您这样做，您是FIPS兼容的，您应该启用“使用FIPS兼容的加密、散列和签名算法”。如果你不需要遵守FIPS，你可以很好的使用比特储物柜，也不需要限制任何相关的东西。

该策略本身并不是一个要求，因为您可以在不激活FIPS的情况下正确配置FIPS兼容的系统，前提是您遵循FIPS遵从性准则。但是如果没有该策略，您可以错误地(并且很有可能)配置一些不符合FIPS的内容。该策略将阻止您这样做，并将过滤您的选择(有关算法、加密等)，因此只有兼容的选择才会可用/显示。这就是它的真正目的。