2Aug
Windows har en skjult indstilling, der kun aktiverer statscertificeret "FIPS-kompatibel" kryptering. Det kan lyde som en måde at øge din pcs sikkerhed på, men det er det ikke. Du bør ikke aktivere denne indstilling, medmindre du arbejder i regeringen eller skal teste, hvordan software vil opføre sig på offentlige pc'er.
Denne tweak passer lige sammen med andre ubrugelige Windows tweaking myter. Hvis du har snuble over denne indstilling i Windows eller set den nævnt andetsteds, skal du ikke aktivere den. Hvis du allerede har aktiveret det uden god grund, skal du bruge trinene herunder til at deaktivere "FIPS-tilstand".
Hvad er FIPS-kompatibel kryptering?
FIPS står for "Federal Information Processing Standards." Det er et sæt af regeringsstandarder, der definerer, hvordan visse ting bruges i regeringen - for eksempel krypteringsalgoritmer. FIPS definerer bestemte specifikke krypteringsmetoder, der kan bruges, samt metoder til generering af krypteringsnøgler. Det er udgivet af National Institute of Standards and Technology, eller NIST.
Indstillingen i Windows overholder den amerikanske regering FIPS 140 standard. Når det er aktiveret, tvinger det Windows til kun at bruge FIPS-validerede krypteringsordninger og rådgiver applikationer til at gøre det også.
"FIPS-tilstand" gør ikke Windows mere sikker. Det blokerer blot adgang til nyere krypteringsordninger, der ikke er FIPS-valideret. Det betyder, at det ikke vil kunne bruge nye krypteringsordninger eller hurtigere måder at bruge de samme krypteringsordninger på.Med andre ord, det gør din computer langsommere, mindre funktionel og sikkert mindre sikker.
Hvordan Windows opfører sig forskelligt, hvis du aktiverer denne indstilling
Microsoft forklarer, hvad denne indstilling faktisk gør i et blogindlæg med titlen "Hvorfor anbefaler vi ikke" FIPS Mode "Anymore." Microsoft anbefaler kun, at du bruger FIPS-tilstand, hvis du skal. Hvis du for eksempel bruger en amerikansk regeringscomputer, skal computeren "FIPS mode" aktiveres i henhold til regeringens egne regler. Der er ingen rigtig sag, hvor du vil aktivere dette på din egen personlige computer, medmindre du testede, hvordan din software opfører sig på amerikanske regeringscomputere, med denne indstilling aktiveret.
Denne indstilling gør to ting til Windows selv. Det tvinger Windows og Windows-tjenester til kun at bruge FIPS-valideret kryptografi. Schannel-tjenesten, der er indbygget i Windows, fungerer f.eks. Ikke med ældre SSL 2.0 og 3.0-protokoller, og vil i stedet kræve mindst TLS 1.0.
Microsofts. NET-rammeværk vil også blokere adgangen til algoritmer, der ikke er FIPS-validerede..NET Framework tilbyder flere forskellige algoritmer til de fleste krypteringsalgoritmer, og ikke alle er endda blevet indsendt til validering. Som et eksempel bemærker Microsoft, at der er tre forskellige versioner af SHA256 hashing-algoritmen i. NET-rammen. Den hurtigste er ikke indsendt til validering, men skal være lige så sikker. Så aktivering af FIPS-tilstand vil enten bryde. NET-applikationer, der bruger den mere effektive algoritme eller tvinge dem til at bruge den mindre effektive algoritme og være langsommere.
Bortset fra disse to ting anbefales det at aktivere FIPS-tilstand til applikationer, som de kun bruger FIPS-valideret kryptering. Men det tvinge ikke noget andet. Traditionelle Windows-desktop applikationer kan vælge at implementere enhver krypteringskode, de ønsker - endda forfærdelig sårbar kryptering - eller slet ingen kryptering. FIPS-tilstand gør ikke noget for andre programmer, medmindre de adlyder denne indstilling.
Sådan deaktiveres FIPS-tilstand( eller aktiver den, hvis du skal)
Du bør ikke aktivere denne indstilling, medmindre du bruger en regeringscomputer og er tvunget til. Hvis du aktiverer denne indstilling, kan nogle forbrugerprogrammer faktisk bede dig om at deaktivere FIPS-tilstand, så de kan fungere korrekt.
Hvis du skal aktivere eller deaktivere FIPS-tilstand - måske har du set en fejlmeddelelse, efter at du har aktiveret den, skal du teste, hvordan din software vil opføre sig på en computer med FIPS-tilstand aktiveret, eller du bruger en statslig computer ognødt til at aktivere det - du kan gøre det på flere måder. FIPS-tilstanden kan kun aktiveres, når den er tilsluttet et bestemt netværk eller via en systemindstilling, der altid vil gælde.
Hvis du kun vil aktivere FIPS-tilstand, når du er tilsluttet et bestemt netværk, skal du udføre følgende trin:
- Åbn vinduet Kontrolpanel.
- Klik på "Se netværksstatus og opgaver" under Netværk og Internet.
- Klik på "Skift adapterindstillinger."
- Højreklik på det netværk, du vil aktivere FIPS for, og vælg "Status".
- Klik på knappen "Trådløse egenskaber" i vinduet Wi-Fi Status.
- Klik på fanen "Sikkerhed" i vinduet med netværksegenskaber.
- Klik på knappen "Avancerede indstillinger".
- Skift "Aktiver Federal Information Processing Standards( FIPS) overensstemmelse for dette netværk" under 802.11 indstillinger.
Denne indstilling kan også ændres system bredt i gruppepolicy editoren. Dette værktøj er kun tilgængeligt på Professionelle, Enterprise og Uddannelsesversioner af Windows, ikke Hjem versioner. Du kan kun bruge den lokale gruppepolitiske editor til at ændre dette værktøj, hvis du er på en computer, der ikke er tilsluttet et domæne, der administrerer computerens gruppepolitiske indstillinger for dig. Hvis din computer er tilsluttet et domæne, og gruppepolitiske indstillinger administreres centralt af din organisation, kan du ikke selv ændre det. For at ændre denne indstilling i Gruppepolitik:
- Tryk på Windows-tast + R for at åbne dialogboksen Kør.
- Skriv "gpedit.msc" i dialogboksen Kør( uden citaterne), og tryk på Enter.
- Naviger til "Computer Configuration \ Windows Settings \ Sikkerhedsindstillinger \ Lokale politikker \ Sikkerhedsindstillinger" i Gruppepolicy Editor.
- Find "Systemkryptografi: Brug FIPS-kompatible algoritmer til kryptering, hashing og signering" i højre rude og dobbeltklik på den.
- Indstil indstillingen til "Disabled" og klik på "OK".
- Genstart computeren.
På Home-versioner af Windows kan du stadig aktivere eller deaktivere FIPS-indstillingen via en registreringsindstilling. For at kontrollere, om FIPS er aktiveret eller deaktiveret i registreringsdatabasen, skal du følge nedenstående trin:
- Tryk på Windows-tast + R for at åbne dialogboksen Kør.
- Type "regedit" i dialogboksen Kør( uden citaterne) og tryk på Enter.
- Naviger til "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
- Se på "Enabled" -værdien i højre rude. Hvis den er indstillet til "0", er FIPS-tilstand deaktiveret. Hvis den er sat til "1", er FIPS-tilstand aktiveret. For at ændre indstillingen skal du dobbeltklikke på "Enabled" -værdien og indstille den til enten "0" eller "1".
- Genstart computeren.
Tak til @SwiftOnSecurity på Twitter for at inspirere dette indlæg!