Configurando a conformidade com NIST SP 800-131A no Servidor e Cliente do Banco de Dados

É possível configurar o servidor e o cliente de banco de dados do Rational DOORS para se comunicar por soquetes seguros em conformidade com a norma do National Institute of Standards and Technology Special Publications (NIST SP) 800-131A.

Sobre Esta Tarefa

O padrão NIST SP 800-131A especifica algoritmos a serem usados para fortalecer a segurança e a criptografia . No modo estrito, todas as comunicações devem ser feitas em conformidade com o SP 800-131A. Por exemplo, se o cliente do Rational DOORS não usar o modo estrito, mas o servidor do Rational DOORS usar, o servidor não poderá autenticar usuários usando login certificado. O modo restrito requer o protocolo Transport Layer Security (TLS) 1.2 e certificados SHA2. Para deixar o modo estrito mais fortalecido, é possível requerer que toda a cadeia de certificados, não apenas o certificado final, seja verificada para certificados SHA2.

Esta configuração é opcional. Ela pode impactar o desempenho e pode requerer novos certificados.

Importante: Se uma combinação inválida de configurações for inserida no registro, o servidor de banco de dados poderá parecer ter iniciado como um serviço Windows, mas os clientes não podem se conectar ao servidor e o serviço não pode ser interrompido usando o painel de controle Serviços. É possível parar o processo doorsd.exe usando o Gerenciador de tarefas.
Nota: Deve-se configurar o Internet Explorer para usar o TLS v1.2, se desejar usar criptografia (SP800-131A) restrita no cliente Rational DOORS. Somente o Internet Explorer v8 e posterior suportam o TLS v1.2. No Internet Explorer, selecione Ferramentas > Opções de Internet. Na guia Avançado, role para a seção Segurança e marque a caixa de TLS 1.2.
Tabela 1. Comutadores de linha de comandos e configurações de registro
Configurações de comutador e registro Descrição
-sp800-131 Quando este comutador é usado sozinho, ele impõe a conformidade estrita. Para reforçar esse comutador, use o comutador adicional, opcional.
-strictSha2 Esta opção fortalece o modo estrito requerendo que toda a cadeia de certificados, não apenas o certificado final, seja verificada por certificados SHA2. Por exemplo, um servidor Rational DOORS que usa um certificado SHA2 que possui uma raiz SHA1 poderá ser iniciado no modo seguro apenas se o SP 800-131A for usado. Entretanto, se ambos, o SP 800-131A e o strictSha2, estiverem especificados, o servidor não poderá ser iniciado em modo seguro.

Procedimento

Para configurar o cliente e o servidor de banco de dados do Rational DOORS para obedecerem ao NIST SP 800-131A:

  1. Abra uma linha de comandos, inicie o servidor de banco de dados e insira opções da tabela usando o comando doorsd. Por exemplo:
    doorsd -sp800-131 -strictSha2
  2. Da linha de comandos, inicie o cliente e insira opções da tabela usando o comando doors. Por exemplo:
    doors -sp800-131 -strictSha2

Feedback