格納された認証情報のための強化された暗号化の設定
capam32
認証情報マネージャでは、格納されている認証情報の暗号化および復号化に使用されるデフォルトのソフトウェア暗号化モジュールは OpenSSL です。
格納された認証情報のハードウェア ベースの暗号化が必要な場合は、ハードウェア セキュリティ モジュール(HSM)を設定できます。
サード
暗号化オプション
ここで説明する暗号化オプションは、以下に適用されます。
- 受信 TLS 接続
- 機密データの暗号化と復号化に使用される対称キー
- データベースに格納される認証情報
- A2A クライアントと Windows プロキシに送信されるペイロード
- (SHA512 を使用した)ユーザ パスワード用などの一方向ハッシュの生成
対称キーを保護するために、展開ごとに一意の「キー ラッピング」キーを生成します。キー ラッピング キーは、使用可能な場合は、ハードウェアから初期のエントロピー シードを使用して自動的に生成されます(RDRAND。「暗号化パスフレーズ」を参照)。このキーはすべてのクラスタ メンバに転送されます。
OpenSSL
格納されている認証情報の暗号化および復号化のために認証情報マネージャで使用されるデフォルトのソフトウェア暗号化モジュール(
暗号化プロバイダ
)は OpenSSL です。FIPS モード
ライセンス取得済みで、実装済みの FIPS モードがある場合、
暗号化プロバイダ
は、FIPS 140-2 準拠(CMVP 証明書 #3043)の C-Security Kernel となります。FIPS モードは一度だけアクティブ化する必要があり、アプライアンスをアップグレードするために非アクティブ化する必要はありません。FIPS モードのアクティブ化については、「電力、再起動、および FIPS モード コントロール」を参照してください。暗号化パスフレーズ
暗号化用のマスタ パスフレーズ「シード」を入力する必要はありません。RDRAND ハードウェア乱数ジェネレータが使用可能な場合は、キー暗号化キーの生成に使用されます。RDRAND は、物理アプライアンス、AWS インスタンス、およびほとんどの VMware 仮想マシンに対して使用できます。VMware では、仮想ハードウェア バージョンが 9 以上(ESX 5.1)を使用し、Ivy Bridge (または以降の) Intel プロセッサの EVC モードを使用する必要があります。RDRAND が使用可能かどうかを確認するには、「システム情報」を参照してください。
RDRAND が使用できない場合、暗号化プロバイダは手動のパスフレーズを作成します。OpenSSL または C-Security Kernel のいずれかが、ソフトウェアのアルゴリズムを使用して、パスフレーズを生成します。