Validação do Windows FIPS 140

A Publicação 140 do Federal Information Processing Standard (FIPS) é uma norma governamental dos EUA que define os requisitos mínimos de segurança para módulos criptográficos em produtos de TI. Este tópico apresenta a validação FIPS 140 para os módulos criptográficos do Windows. Os módulos criptográficos do Windows são utilizados em diferentes produtos Microsoft, incluindo sistemas operativos cliente Windows, sistemas operativos Windows Server e serviços cloud do Azure.

A Microsoft mantém um compromisso ativo para cumprir os requisitos da norma FIPS 140, tendo validado módulos criptográficos em relação ao mesmo desde que foi estabelecido pela primeira vez em 2001. Os módulos criptográficos do Windows são validados no âmbito do Programa de Validação de Módulos Criptográficos (CMVP), um esforço conjunto entre o Instituto Nacional de Normas e Tecnologia (NIST) dos E.U.A. e o Centro Canadiano de Cibersegurança (CCCS). O CMVP valida módulos criptográficos em relação aos Requisitos de Segurança para Módulos Criptográficos (parte do FIPS 140) e aos padrões de criptografia FIPS relacionados. O Laboratório de Tecnologias de Informação NIST opera programas relacionados em que a Microsoft também participa: o Programa de Validação de Algoritmos Criptográficos (CAVP) certifica algoritmos criptográficos aprovados por FIPS e o programa entropia validação certifica fontes de entropia para a norma NIST SP 800-90B.

Sistemas operativos cliente Windows e módulos criptográficos

As versões do cliente Windows listadas abaixo incluem módulos criptográficos que concluíram a validação FIPS 140. Clique na versão para obter detalhes, incluindo o certificado CMVP, o documento política de segurança e o âmbito do algoritmo para cada módulo. Quando a etiqueta de validação do certificado CMVP inclui a nota Quando operado no modo FIPS, as regras de segurança e configuração específicas descritas na Política de Segurança têm de ser seguidas.

Windows 11 versões

• Windows 11, versão 21H2

Windows 10 versões

• Windows 10, versão 21H1 (Atualização de maio de 2021)
• Windows 10, versão 20H2 (Atualização de outubro de 2020)
• Windows 10, versão 2004 (Atualização de maio de 2020)
• Windows 10, versão 1909 (Atualização de Novembro de 2019)
• Windows 10, versão 1903 (Atualização de Maio de 2019)
• Windows 10, versão 1809 (Atualização de Outubro de 2018)
• Windows 10, versão 1803 (Atualização de Abril de 2018)
• Windows 10, versão 1709 (Fall Creators Update)
• Windows 10, versão 1703 (Atualização para Criativos)
• Windows 10, versão 1607 (Atualização de Aniversário)
• Windows 10, versão 1511 (Atualização de Novembro)
• Windows 10, versão 1507

Versões anteriores do Windows

• Windows 8.1
• Windows 8
• Windows 7
• Windows Vista SP1
• Windows Vista
• Windows XP SP3
• Windows XP SP2
• Windows XP SP1
• Windows XP
• Windows 2000 SP3
• Windows 2000 SP2
• Windows 2000 SP1
• Windows 2000
• Windows 95 e Windows 98
• Windows NT 4.0

Produtos relacionados

• Windows Embedded Compact 7 e Windows Embedded Compact 8
• Windows CE 6.0 e Windows Embedded Compact 7
• Fornecedor criptográfico do Outlook

Sistemas operativos e módulos criptográficos do Windows Server

As versões do Windows Server listadas abaixo incluem módulos criptográficos que concluíram a validação FIPS 140. Clique na versão para obter detalhes, incluindo o certificado CMVP, o documento política de segurança e o âmbito do algoritmo para cada módulo. Quando a etiqueta de validação do certificado CMVP inclui a nota Quando operado no modo FIPS, as regras de segurança e configuração específicas descritas na Política de Segurança têm de ser seguidas.

Versões do Windows Server 2022, 2019 e 2016

• Windows Server 2022
• Windows Server 2019
• Windows Server 2016

Versões semianuais do Windows Server

• Windows Server, versão 20H2
• Windows Server, versão 2004
• Windows Servidor, versão 1909
• Windows Server, versão 1903
• Windows Server, versão 1809
• Windows Server, versão 1803
• Windows Server, versão 1709

Versões anteriores do Windows Server

• Windows Server 2012 R2
• Windows Server 2012
• Windows Server 2008 R2
• Windows Server 2008
• Windows Server 2003 SP2
• Windows Server 2003 SP1
• Windows Server 2003

Utilizar o Windows num modo de operação aprovado por FIPS

Para utilizar o Windows e o Windows Server num modo de operação aprovado fips 140, todas as regras de configuração e segurança específicas descritas no módulo Documentos de Política de Segurança têm de ser seguidas. Para ver ou transferir os documentos da Política de Segurança para uma determinada versão de produto, navegue para a listagem de módulos fips 140 validados para a versão nas secções acima e selecione as ligações para os documentos da Política de Segurança.

Como parte das regras de configuração descritas nos documentos da Política de Segurança, o Windows e o Windows Server podem ser configurados para serem executados num modo de operação fips 140 aprovado, normalmente denominado "modo FIPS". Nas versões atuais do Windows, quando ativa a definição do modo FIPS, os módulos Biblioteca criptográfica primitiva (bcryptprimitives.dll) e Biblioteca criptográfica de modo kernel (CNG.sys) irão executar autotestes antes de o Windows executar operações criptográficas. Estes autotestes cumprem os requisitos fips 140 e garantem que os módulos estão a funcionar corretamente. A Biblioteca de Primitivos Criptográficos e a Biblioteca de Primitivos Criptográficos do Modo Kernel são os únicos módulos que utilizam a definição de configuração do modo FIPS. O modo FIPS não controla que algoritmos criptográficos são utilizados. A definição do modo FIPS destina-se apenas a ser utilizada pelos componentes Biblioteca de Primitivos Criptográficos (bcryptprimitives.dll) e Biblioteca de Primitivos Criptográficos do Modo Kernel (CNG.sys) no Windows.

Determinar se um serviço ou aplicação Windows está em conformidade com o FIPS 140

A Microsoft valida os módulos criptográficos utilizados no Windows e noutros produtos e não em aplicações ou serviços Windows individuais. Contacte o fornecedor do serviço ou aplicação para obter informações sobre se chama um módulo criptográfico validado do Windows (ou seja, um módulo validado pelo CMVP como cumprindo os requisitos FIPS 140 e emitiu um certificado) de forma compatível com FIPS (ou seja, ao chamar a criptografia validada FIPS 140 e configurada de acordo com um modo de operação aprovado por FIPS definido).

FIPS 140 e o Commercial National Security Algorithm Suite

O conjunto de algoritmos cnsa ( Commercial National Security Algorithm ) é um conjunto de algoritmos criptográficos promulgados pela Agência de Segurança Nacional como um substituto para algoritmos criptográficos NSA Suite B. Muitos algoritmos criptográficos CNSA também são aprovados ao abrigo da norma FIPS 140. Para determinar se um algoritmo CNSA foi incluído no âmbito dos algoritmos validados do CAVP utilizados num produto Microsoft, navegue para a listagem de módulos validados FIPS 140 para o produto nas secções acima e referencie o âmbito do algoritmo listado para cada módulo validado. Estão disponíveis mais detalhes do algoritmo em cada documento de Política de Segurança do módulo.

Certificações FIPS 140 e Critérios Comuns

O FIPS 140 e os Critérios Comuns são duas normas de segurança complementares, mas diferentes. Enquanto o FIPS 140 valida a funcionalidade criptográfica, os Critérios Comuns avaliam uma seleção mais ampla de funções de segurança em produtos de TI. As avaliações de Critérios Comuns podem depender de validações FIPS 140 para garantir que a funcionalidade criptográfica básica é implementada corretamente. Para obter informações sobre o programa de certificação Critérios Comuns da Microsoft, veja Common Criteria certifications (Certificações de Critérios Comuns).

Contato

Contacte fips@microsoft.com com perguntas ou para fornecer feedback sobre este tópico.