2Aug

Kodėl neturėtumėte įjungti "FIPS-compliant" šifravimo sistemoje "Windows"

Windows turi paslėptą nustatymą, kuris įgalins tik valstybės patvirtintą "FIPS-compliant" šifravimą.Tai gali atrodyti kaip būdas padidinti jūsų kompiuterio saugumą, tačiau taip nėra. Jūs neturėtumėte įjungti šio nustatymo, nebent dirbate vyriausybėje arba turite patikrinti, kaip programinė įranga elgsis vyriausybės kompiuteriuose.

Šis "Tweak" tinkamas derinimas su kitais nereikalingais "Windows" titimo mitais. Jei jūs suklupčiate šį nustatymą sistemoje "Windows" arba pastebėjote, kad jis paminėtas kitur, jo neįgalinkite. Jei jau įjungėte jį be jokios priežasties, naudokite toliau nurodytus veiksmus, kad išjungtumėte "FIPS režimą".

Kas yra FIPS suderinamas šifravimas?

FIPS reiškia "Federalinės informacijos tvarkymo standartus". Tai yra vyriausybės standartų rinkinys, kuris apibrėžia, kaip tam tikri dalykai naudojami vyriausybėje, pavyzdžiui, šifravimo algoritmai. FIPS apibrėžia tam tikrus šifravimo metodus, kuriuos galima naudoti, taip pat šifravimo raktų generavimo metodus. Ją skelbia Nacionalinis standartų ir technologijų institutas arba NIST.

Windows nustatymas atitinka JAV vyriausybės FIPS 140 standartą.Kai tai įjungta, ji verčia Windows naudoti tik FIPS patvirtintas šifravimo schemas ir pataria programoms tai padaryti.

"FIPS režimas" nesukelia "Windows" saugesnio. Tai tik blokuoja prieigą prie naujesnių kriptografijos schemų, kurios FIPS nebuvo patvirtintos. Tai reiškia, kad negalės naudotis naujų šifravimo schemų ar greitesnių būdų naudoti tas pačias šifravimo schemas. Kitaip tariant, tai daro kompiuterį lėtesniu, mažiau funkcionaliu, o vargu ar saugo mažiau .

Kaip "Windows" veikia kitaip, jei įjungiate šį nustatymą

"Microsoft" paaiškina, ką šis nustatymas iš tikrųjų daro dienoraščio įraše "Kodėl mes ne rekomenduojame" FIPS režimas "." "Microsoft" rekomenduoja naudoti FIPS režimą tik tuo atveju, jei to reikia. Pvz., Jei naudojate JAV vyriausybės kompiuterį, šis kompiuteris turi būti įjungtas "FIPS režimu" pagal vyriausybės taisykles. Nėra jokio realaus atvejo, kai norėtumėte jį įjungti savo asmeniniame kompiuteryje, nebent bandėte, kaip jūsų programinė įranga elgiasi JAV vyriausybės kompiuteriuose, įjungus šį nustatymą.

Šis nustatymas du dalykus, kad pats Windows. Tai verčia Windows ir Windows paslaugas naudoti tik FIPS patvirtintą kriptografiją.Pavyzdžiui, "Windows" įdiegta "Schannel" paslauga neveiks su senesniais SSL 2.0 ir 3.0 protokolais, o užuot reikės bent TLS 1.0.

"Microsoft. NET" sistema taip pat blokuoja prieigą prie algoritmų, kurie nėra FIPS patvirtinti.".NET" sistema siūlo keletą skirtingų algoritmų daugeliui kriptografijos algoritmų, o ne visi jie netgi buvo pateikti patvirtinti. Pavyzdžiui, "Microsoft" pažymi, kad. NET sistemoje yra trys skirtingos SHA256 maišos algoritmo versijos. Greičiausias būdas nebuvo pateiktas patvirtinti, tačiau jis turėtų būti toks pat saugus. Taigi FIPS režimo įgalinimas nutraukia. NET programas, kurios naudoja veiksmingesnį algoritmą arba verčia juos naudoti mažiau efektyvų algoritmą ir būti lėtesnėmis.

Be šių dviejų dalykų, FIPS režimas leidžia programoms, kuriose jie naudoja tik FIPS patvirtintą šifravimą.Bet tai nereikalauja nieko kito. Tradicinės "Windows" darbalaukio programos gali pasirinkti bet kokį šifravimo kodą, kurį jie nori, net ir siaubingai pažeidžiamas šifravimas, arba ne visi šifravimai. FIPS režimas nieko nedaro kitoms programoms, nebent jie laikosi šio nustatymo.

Kaip išjungti FIPS režimą( arba leisti jį, jei reikia)

Jūs neturėtumėte įjungti šio nustatymo, nebent naudojate vyriausybės kompiuterį ir esate priversti. Jei įjungsite šį nustatymą, kai kurios vartotojų programos iš tiesų gali prašyti išjungti FIPS režimą, kad jie galėtų tinkamai veikti.

Jei jums reikia įjungti arba išjungti FIPS režimą, galbūt po jo įjungimo pamatėte klaidos pranešimą, turite patikrinti, kaip jūsų programinė įranga elgsis kompiuteryje, kuriame įgalintas FIPS režimas, arba jūs naudojate vyriausybės kompiuterį irturite tai padaryti - tai galite padaryti keliais būdais. FIPS režimas gali būti įjungtas tik tada, kai prijungtas prie tam tikro tinklo arba visame pasaulyje taikomas nustatymas, kuris visada bus taikomas.

Norėdami įjungti FIPS režimą tik prijungus tam tikrą tinklą, atlikite šiuos veiksmus:

  1. Atidarykite Valdymo skydo langą.
  2. Spustelėkite "Peržiūrėti tinklo būseną ir užduotis", esančią "Tinklas ir internetas".
  3. Spustelėkite "Keisti adapterio nustatymus".
  4. Dešiniuoju pelės mygtuku spustelėkite tinklą, į kurį norite įjungti FIPS, ir pasirinkite "Būsena".
  5. Laukelyje "Wi-Fi Status" spustelėkite mygtuką "Belaidės savybės".
  6. Spustelėkite skirtuką "Sauga" tinklo ypatybių lange.
  7. Spustelėkite mygtuką "Papildomi nustatymai".
  8. Įjunkite parinktį "Įgalinti Federalinės informacijos tvarkymo standartus( FIPS) atitikimą šiam tinklui" pagal 802,11 nuostatas.

Šis nustatymas taip pat gali būti pakeistas visoje grupės politikos redaktoriuje.Šis įrankis pasiekiamas tik "Windows" versijose "Professional", "Įmonių" ir "Švietimas", išskyrus "Home".Jei norite naudoti šį įrankį, galite naudoti tik vietinių grupių politikos redaktorių, jei esate kompiuteryje, kuris nėra prisijungęs prie domeno, kuris tvarko kompiuterio grupės politikos nustatymus. Jei jūsų kompiuteris yra prijungtas prie domeno, o jūsų grupės nustatymus centralizuotai valdo jūsų organizacija, negalėsite tai pakeisti pats. Norėdami pakeisti šį nustatymą Grupės strategijoje:

  1. Paspauskite "Windows" klavišą + R, jei norite atidaryti dialogo langą "Vykdyti".
  2. Į "Run" dialogo langą( be kabučių) įveskite "gpedit.msc" ir paspauskite "Enter".
  3. Eikite į "Kompiuterio konfigūravimas \ Windows nustatymai \ Saugumo parametrai \ Vietos politika \ Saugumo parinktys" redaktoriuje "Group Policy".
  4. Raskite "Sistemos kriptografija: naudokite FIPS atitinkančius algoritmus šifravimo, maišymo ir pasirašymo" nustatymui dešinėje srityje ir dukart spustelėkite jį.
  5. Nustatykite nuostatą "Išjungta" ir spustelėkite "Gerai".
  6. Iš naujo paleiskite kompiuterį.

"Windows" namų versijose vis tiek galite įjungti arba išjungti FIPS nustatymą registro nustatymu. Norėdami patikrinti, ar FIPS yra įjungtas arba išjungtas registre, atlikite šiuos veiksmus:

  1. Paspauskite "Windows" klavišą + R, kad atidarytumėte "Run" dialogą.
  2. Įrašykite "regedit" į dialogo langą "Run"( be kabučių) ir paspauskite "Enter".
  3. Eikite į "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
  4. Pažvelkite į "Enabled" reikšmę dešinėje srityje. Jei nustatytas "0", FIPS režimas yra išjungtas. Jei nustatytas "1", FIPS režimas įjungtas. Norėdami pakeisti nustatymą, dukart spustelėkite reikšmę "Įgalinta" ir nustatykite ją "0" arba "1".
  5. Iš naujo paleiskite kompiuterį.

Dėkojame @SwiftOnSecurity "Twitter", kad įkvėpėte šį pranešimą!