2Aug

למה אתה לא צריך לאפשר "FIPS תואם" הצפנה ב- Windows

click fraud protection

ל- Windows יש הגדרה נסתרת שתאפשר הצפנה ממשלתית "FIPS תואמת" בלבד.זה אולי נשמע כמו דרך להגביר את האבטחה של המחשב, אבל זה לא.אל תפעיל הגדרה זו אלא אם תעבוד בממשלה או שתצטרך לבדוק כיצד תתנהג התוכנה במחשבים אישיים ממשלתיים.

לצבוט זה מתאים ממש לצד Windows חסר תועלת אחרים מיתוסים tweaking.אם נתקלת בהגדרה זו ב- Windows או אם ציינת אותה במקום אחר, אל תפעיל אותה.אם כבר הפעלת את זה ללא סיבה טובה, השתמש בשלבים הבאים כדי להשבית "מצב FIPS".

מה זה FIPS תואם הצפנה?

FIPS מייצג את "הפדרלי עיבוד מידע תקנים." זה סט של תקנים ממשלתיים המגדירים כיצד דברים מסוימים משמשים בממשלה, למשל, אלגוריתמים הצפנה.FIPS מגדיר שיטות הצפנה ספציפיות מסוימות שניתן להשתמש בהן, וכן שיטות ליצירת מפתחות הצפנה.הוא פורסם על ידי המכון הלאומי לתקנים וטכנולוגיה, או NIST.

ההגדרה ב- Windows תואמת לתקן FIPS 140 של ממשלת ארה"ב.כאשר הוא מופעל, הוא מאלץ את Windows להשתמש רק בתוכנות הצפנה מאומתות של FIPS ומייעץ ליישומים לעשות זאת, וכן.

"מצב FIPS" לא עושה Windows מאובטח יותר.זה רק חוסם גישה תוכניות קריפטוגרפיה חדש כי לא היה FIPS מאומת.כלומר, לא תוכל להשתמש בתוכניות הצפנה חדשות, או דרכים מהירות יותר לשימוש באותן ערכות הצפנה.במילים אחרות, זה הופך את המחשב לאט יותר, פונקציונלי פחות, וכן לטעון כי

instagram viewer
פחות מאובטח.

כיצד Windows מתנהג באופן שונה אם אתה מפעיל הגדרה זו

Microsoft מסבירה מה בעצם עושה הגדרה זו בפוסט בבלוג שכותרתו "למה אנחנו לא ממליצים" מצב FIPS "עוד". Microsoft ממליצה להשתמש במצב FIPS רק אם אתה צריך.לדוגמה, אם אתה משתמש במחשב ממשלתי בארה"ב, מחשב זה אמור להיות במצב "FIPS" מופעל בהתאם לתקנות של הממשלה.אין מקרה אמיתי שבו תרצה להפעיל זאת במחשב האישי שלך - אלא אם כן בחנת את אופן הפעולה של התוכנה שלך במחשבי ממשלת ארה"ב כאשר הגדרה זו מופעלת.

הגדרה זו עושה שני דברים ל- Windows עצמה.זה כוחות Windows ו- Windows שירותים להשתמש רק הצפנה אימות FIPS.לדוגמה, שירות Schannel המובנה ב- Windows לא יעבוד עם פרוטוקולים ישנים יותר של SSL 2.0 ו- 3.0, ויחייב לפחות TLS 1.0 במקום זאת.

של מיקרוסופט. NET מסגרת גם לחסום את הגישה אלגוריתמים שאינם FIPS מאומת.. NET Framework מציעה מספר אלגוריתמים שונים עבור רוב האלגוריתמים הצפנה, ולא כולם אפילו הוגשו לאימות.כדוגמה, מיקרוסופט מציינת כי ישנן שלוש גרסאות שונות של האלגוריתם SHA256 hashing במסגרת NET.המהיר ביותר לא הוגש לאימות, אבל צריך להיות בטוח בדיוק כמו.כך מצב FIPS אפשר גם לשבור יישומים. NET להשתמש באלגוריתם יעיל יותר או לאלץ אותם להשתמש באלגוריתם פחות יעיל להיות איטי יותר.

מלבד אלה שני דברים, המאפשר מצב FIPS ממליץ ליישומים כי הם משתמשים רק הצפנה אימות FIPS, גם.אבל זה לא מכריח שום דבר אחר.יישומי שולחן העבודה המסורתיים של Windows יכולים לבחור ליישם כל קוד הצפנה שהם רוצים - אפילו בהצפנה פגיעה בצורה איומה - או ללא הצפנה כלל.מצב FIPS אינו עושה דבר ליישומים אחרים, אלא אם כן הם מצייתים להגדרה זו.

כיצד לבטל מצב FIPS( או להפעיל אותו, אם יש צורך)

אין לאפשר הגדרה זו אלא אם אתה משתמש במחשב ממשלתי ונאלץ.אם תפעיל הגדרה זו, ייתכן שיישומי צרכנים מסוימים יבקשו ממך לבטל את מצב FIPS כדי שיוכלו לפעול כראוי.

אם עליך להפעיל או לבטל מצב FIPS - אולי ראית הודעת שגיאה לאחר הפעלתה, עליך לבדוק כיצד התוכנה תתנהג במחשב עם מצב FIPS מופעל, או שאתה משתמש במחשב ממשלתיצריך לאפשר את זה - אתה יכול לעשות זאת בכמה דרכים.ניתן להפעיל מצב FIPS רק כאשר הוא מחובר לרשת מסוימת, או באמצעות הגדרה של המערכת שתמיד תחול.

כדי לאפשר מצב FIPS רק כאשר אתה מחובר לרשת מסוימת, בצע את השלבים הבאים:

  1. פתיחת חלון לוח הבקרה.
  2. לחץ על "הצגת מצב רשת ומשימות" תחת רשת ואינטרנט.
  3. לחץ על "שנה הגדרות מתאם".
  4. לחץ על הלחצן "Wireless Properties" בחלון מצב Wi-Fi.
  5. לחץ על הכרטיסייה "אבטחה" בחלון מאפייני הרשת.
  6. לחצו על הלחצן "הגדרות מתקדמות".
  7. החלף את התאימות "אפשר תאימות מידע פדרלי( FIPS) עבור רשת זו" תחת הגדרות 802.11.

ניתן לשנות הגדרה זו גם במערכת כולה בעורך המדיניות הקבוצתית.כלי זה זמין רק בגירסאות Professional, Enterprise ו- Education בגירסאות Windows-not Home.באפשרותך להשתמש בעורך המדיניות הקבוצתית המקומי בלבד כדי לשנות כלי זה אם אתה נמצא במחשב שאינו מחובר לתחום שמנהל עבורך את הגדרות המדיניות הקבוצתית של המחשב.אם המחשב שלך מחובר לתחום והגדרות המדיניות הקבוצתית מנוהלות באופן מרכזי על ידי הארגון שלך, לא תוכל לשנות אותו בעצמך.כדי לשנות הגדרה זו במדיניות קבוצתית:

  1. הקש על Windows Key + R כדי לפתוח את תיבת הדו-שיח הפעלה.
  2. הקלד "gpedit.msc" בתיבת הדו-שיח הפעלה( ללא המרכאות) והקש על Enter.
  3. נווט אל "תצורת מחשב \ הגדרות Windows \ הגדרות אבטחה \ מדיניות מקומית \ אפשרויות אבטחה 'בעורך המדיניות הקבוצתית.
  4. אתר את "קריפטוגרפיה של המערכת: השתמש באלגוריתמים תואמי FIPS להצפנה, hashing וחתימה על" הגדרה בחלונית השמאלית ולחץ לחיצה כפולה על זה.
  5. קבע את ההגדרה ל - Disabled( מנוטרל) ולחץ על "אישור".
  6. הפעל מחדש את המחשב.

בגירסאות הבית של Windows, עדיין באפשרותך להפעיל או לבטל את הגדרת FIPS באמצעות הגדרת רישום.כדי לבדוק אם FIPS מופעל או מושבת ברישום, בצע את השלבים הבאים:

  1. הקש על Windows Key + R כדי לפתוח את תיבת הדו-שיח הפעלה.
  2. הקלד "regedit" בתיבת הדו-שיח הפעלה( ללא המרכאות) והקש על Enter.
  3. נווט אל "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
  4. תסתכל על הערך "מופעל" בחלונית השמאלית.אם הוא מוגדר למצב "0", מצב FIPS מושבת.אם הוא מוגדר למצב "1", מצב FIPS מופעל.כדי לשנות את ההגדרה, לחץ פעמיים על הערך "Enabled" והגדר אותו ל- "0" או "1".
  5. הפעל מחדש את המחשב.

תודה @SwiftOnSecurity בטוויטר להשראה זו הודעה!