Miért nem engedélyezi a "FIPS-kompatibilis" titkosítást a Windows rendszeren?

A Windows olyan rejtett beállítással rendelkezik, amely csak "FIPS-kompatibilis" titkosítást engedélyez. Ez úgy hangzik, mint egy módja annak, hogy növelje a számítógép biztonságát, de ez nem így van. Nem engedélyezheti ezt a beállítást, hacsak nem dolgozik kormányban, vagy tesztelniük kell, hogy a szoftver hogyan fog viselkedni a kormányzati számítógépeken.

Ez a csípés jól illeszkedik más haszontalan Windows csípés mítoszain. Ha ez a beállítás Windows alatt ütközött, vagy máshol említette, ne engedélyezze. Ha jó ok nélkül már engedélyezte ezt, használja az alábbi lépéseket a "FIPS üzemmód" letiltásához.

Mi a FIPS-kompatibilis titkosítás? Az

FIPS jelentése "Federal Information Processing Standards". Ez egy sor kormányzati szabvány, amely meghatározza, hogy bizonyos dolgokat használnak a kormányzatban - például titkosítási algoritmusok. A FIPS meghatározza az egyes titkosított titkosítási módszereket, valamint a titkosítási kulcsok létrehozására szolgáló módszereket. Ezt a Nemzeti Szabványügyi és Technológiai Intézet( NIST) publikálja.

A Windows beállítása megfelel az amerikai kormány FIPS 140 szabványának. Ha engedélyezve van, arra kényszeríti a Windowsokat, hogy csak FIPS-hitelesített titkosítási rendszereket használjanak, és az alkalmazásoknak is ezt tanácsolja.

"FIPS üzemmód" nem teszi biztonságosabbá a Windowsot. Ez csak blokkolja a hozzáférést olyan új, titkosított kriptográfiai rendszerekhez, amelyeket nem FIPS-hitelesítenek. Ez azt jelenti, hogy nem lesz képes új titkosítási rendszereket használni, vagy gyorsabb módokat használni ugyanazokra a titkosítási rendszerekre. Más szóval, ez teszi a számítógép lassabb, kevésbé működőképes, és vitathatatlanul kevesebb biztonságos.

A Windows különbözõ viselkedése, ha engedélyezi ezt a beállítást

A Microsoft elmagyarázza, hogy ez a beállítás valójában egy "Miért nem ajánljuk" FIPS módban "A miért nem ajánljuk" blogbejegyzésben? A Microsoft csak azt ajánlja, hogy FIPS módot használjon, ha kell. Például ha egy amerikai kormányzati számítógépet használ, akkor a számítógépnek rendelkeznie kell a "FIPS üzemmód" engedélyezésével a kormány saját szabályai szerint. Nincs olyan valódi eset, amikor engedélyezni szeretné ezt a saját számítógépén, hacsak nem tesztelte, hogyan működik a szoftver az Egyesült Államok kormányzati számítógépeivel, ha ezt a beállítást engedélyezi.

Ez a beállítás két dolgot jelent a Windows számára. Erősíti a Windows és a Windows szolgáltatásokat, hogy csak FIPS-hitelesített titkosítást használjanak. Például a Windowsba beépített Schannel szolgáltatás nem fog működni a régebbi SSL 2.0 és 3.0 protokollokkal, és ehhez legalább TLS 1.0 szükséges.

A Microsoft. NET keretrendszer szintén blokkolja az olyan algoritmusokhoz való hozzáférést, amelyek nem érvényesek. A. NET keretrendszer számos különböző algoritmust kínál a legtöbb kriptográfiai algoritmushoz, és nem mindegyiket már érvényesíteni. Például a Microsoft megjegyzi, hogy a. NET keretrendszerben az SHA256 hasítási algoritmus három különböző változata létezik. A leggyorsabbat nem nyújtotta be a validáláshoz, de ugyanolyan biztonságosnak kell lennie. Tehát a FIPS üzemmód lehetővé teszi a. NET alkalmazások megszakítását, amelyek hatékonyabb algoritmust használnak, vagy arra kényszerítik őket, hogy a kevésbé hatékony algoritmust használják és lassabban használják.

Ettől a két dologtól eltekintve, a FIPS mód lehetővé teszi az olyan alkalmazások számára, amelyek csak FIPS-hitelesített titkosítást használnak. De nem kényszerít másra. A hagyományos Windows asztali alkalmazások választhatják, hogy végrehajthatnak minden titkosítási kódot - akár szörnyen sérülékeny titkosítást is -, vagy egyáltalán nem titkosítják. A FIPS üzemmód nem tesz semmit más alkalmazásokhoz, hacsak nem engedelmeskednek ennek a beállításnak.

Hogyan tilthatja le a FIPS üzemmódot( vagy engedélyezheti, ha kell)

Ezt a beállítást csak akkor engedélyezheti, ha kormányzati számítógépet használ, és kényszerül rá.Ha engedélyezi ezt a beállítást, egyes fogyasztói alkalmazások valóban megkérik a FIPS üzemmód letiltását, hogy megfelelően működjenek.

Ha engedélyeznie vagy tilthatja le a FIPS-módot - talán hibaüzenetet észlelt, miután engedélyezte ezt, akkor meg kell vizsgálnia, hogy a szoftver hogyan fog viselkedni egy olyan számítógépen, amelyen a FIPS mód engedélyezve van, vagy pedig kormányzati számítógépet használ éslehetővé kell tennie - többféle módon is megteheti. A FIPS üzemmód csak akkor engedélyezhető, ha egy adott hálózathoz csatlakozik, vagy egy olyan rendszerszintű beállításon keresztül, amely mindig érvényes lesz.

A FIPS üzemmód engedélyezéséhez csak akkor kapcsoljon egy adott hálózathoz, ha a következő lépéseket hajtja végre:

1. Nyissa meg a Vezérlőpult ablakot.
2. Kattintson a "Hálózati állapot és feladatok megtekintése" alatt a Hálózat és az Internet alatt.
3. Kattintson az "Adapter beállítások módosítása" elemre.
4. Kattintson a jobb gombbal a hálózatra, amelyre engedélyezni kívánja a FIPS, és válassza az "Állapot" elemet.
5. Kattintson a "Vezeték nélküli tulajdonságok" gombra a Wi-Fi Status ablakban.
6. Kattintson a "Biztonság" fülre a hálózati tulajdonságok ablakban.
7. Kattintson a "Speciális beállítások" gombra.
8. A 802.11-es beállítások között kapcsolja be a "Federal Information Processing Standards( FIPS) megfelelés ehhez a hálózathoz" opciót.

Ez a beállítás az egész rendszerre kiterjedően módosítható a csoportpolitika szerkesztőben. Ez az eszköz csak a Windows, nem otthoni változatok Professional, Enterprise és Education verzióiban érhető el. A helyi csoportházirend-szerkesztő csak akkor használható, ha módosítja ezt az eszközt, ha olyan számítógépen tartózkodik, amely nem csatlakozik olyan tartományhoz, amely kezeli a számítógép csoportházirend-beállításait. Ha a számítógép egy domainhez csatlakozik, és a csoportos házirend-beállításokat központilag kezeli a szervezet, akkor Ön nem tudja megváltoztatni. A beállítás megváltoztatása csoportházirendben:

1. A Windows billentyű + R megnyomásával nyissa meg a Run( Futtatás) párbeszédpanelt.
2. Írja be a "gpedit.msc" parancsot a Futtatás párbeszédpanelbe( idézőjelek nélkül), és nyomja meg az Enter billentyűt.
3. Keresse meg a "Számítógép konfigurációja \ Windows beállítások \ Biztonsági beállítások \ Helyi házirendek \ Biztonsági beállítások" lehetőséget a Csoportházirend-szerkesztőben.
4. A jobb oldali ablaktáblában keresse meg a "Rendszer-titkosítás: FIPS-kompatibilis algoritmusok titkosításhoz, hasításhoz és aláíráshoz" beállítást, majd kattintson duplán.
5. Állítsa a beállítást "Letiltva" és kattintson az "OK" gombra.
6. Indítsa újra a számítógépet.

A Windows otthoni verzióinál továbbra is engedélyezheti vagy letilthatja a FIPS beállítást regisztrációs beállítással. Annak ellenőrzéséhez, hogy a FIPS engedélyezve vagy letiltva van-e a rendszerleíró adatbázisban, kövesse az alábbi lépéseket:

1. Nyomja meg a Windows Key + R billentyűt a Run párbeszédablak megnyitásához.
2. Írja be a "regedit" parancsot a Futtatás párbeszédpanelbe( idézőjelek nélkül), és nyomja meg az Enter billentyűt.
3. Keresse meg a "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \" parancsot.
4. Nézd meg az "Engedélyezett" értéket a jobb oldali ablaktáblában. Ha "0" -ra van állítva, a FIPS mód le van tiltva. Ha "1" -re van állítva, a FIPS mód engedélyezve van. A beállítás módosításához kattintson duplán az "Engedélyezett" értékre, és állítsa "0" vagy "1" értékre.
5. Indítsa újra a számítógépet.

Köszönet a @SwiftOnSecurity-nek a Twitteren, hogy inspirálja ezt a hozzászólást!