Aktivieren des FIPS-Modus mithilfe der Gruppenrichtlinie

Im folgenden Abschnitt finden Sie Anweisungen zum Einstellen des FIPS-Modus (Federal Information Processing Standards) für alle Verbindungen. Bei aktiviertem FIPS-Modus werden bei allen Verbindungen Sicherheitsprotokolle und -algorithmen verwendet, die FIPS 140-2-Standards erfüllen. In diesem Modus sind einige Standardverbindungsoptionen nicht verfügbar. Zum erfolgreichen Verbindungsaufbau im FIPS-Modus muss Ihr Server Funktionen für hohe Verschlüsselung unterstützen.

Im FIPS-Modus sind folgende Sicherheitskonfigurationen möglich:

  • SSL/TLS-Verbindungen mit 3DES-Verschlüsselung (168 Bit) oder AES-Verschlüsselung (128 Bit) und SHA-1 Hash
  • Secure Shell-Verbindungen mit 3DES-Verschlüsselung (168 Bit) oder AES-Verschlüsselung (128, 192 oder 256 Bit) und SHA-1 Hash

Für diesen Vorgang müssen Sie zunächst die administrative Vorlage für EXTRA! installieren. Informationen dazu finden Sie unter "Verwalten von Funktionen mithilfe der Windows-Gruppenrichtlinie".

So aktivieren Sie den FIPS-Modus mithilfe der Gruppenrichtlinie

  1. Führen Sie in der Befehlszeile den Befehl Gpedit.msc aus.
  2. Erweitern Sie in Gruppenrichtlinie unter Benutzerkonfiguration den Eintrag Administrative Vorlagen.
  3. Erweitern Sie Attachmate und EXTRA! X-treme, und doppelklicken Sie dann auf Security (Sicherheit).
  4. Doppelklicken Sie auf Require all connections to use FIPS mode (Für alle Verbindungen FIPS-Modus verwenden).
  5. Wählen Sie im daraufhin angezeigten Dialogfeld die Option Enabled (Aktiviert), und klicken Sie anschließend auf OK.
  6. Schließen Sie die Gruppenrichtlinie.

Für den FIPS-Modus konfigurierte Sessions verhalten sich weiterhin wie erwartet. Für Sessions, die nicht für den FIPS-Modus konfiguriert sind, schlägt der Verbindungsaufbau fehl. (Im EXTRA!-Statusprotokoll wird eine Fehlermeldung angezeigt.) Wenn diese Sessiondateien geändert werden, stellt der Verbindungseditor den Sicherheitstyp automatisch auf den FIPS-Modus ein.

Jede neu erstellte Session gilt dann nur für Verbindungen, die den FIPS-Modus unterstützen.