Pagrindinis » kaip » Kodėl neturėtumėte įgalinti „FIPS suderinamo“ šifravimo sistemoje „Windows“

    Kodėl neturėtumėte įgalinti „FIPS suderinamo“ šifravimo sistemoje „Windows“

    „Windows“ turi paslėptą nustatymą, leidžiantį naudoti tik valstybės sertifikuotą „FIPS suderinamą“ šifravimą. Tai gali atrodyti kaip būdas padidinti kompiuterio saugumą, bet ne taip. Jūs neturėtumėte įgalinti šio nustatymo, nebent dirbate vyriausybėje arba turite išbandyti, kaip programinė įranga veikia vyriausybės kompiuteriuose.

    Šis įgnybimas tinka kartu su kitais nenaudingais „Windows“ supratimo mitais. Jei suklupote per šį nustatymą Windows sistemoje arba matėte, kad jis minimas kitur, neleiskite jo. Jei jau įgalinote jį be pagrįstos priežasties, naudokite toliau nurodytus veiksmus, kad išjungtumėte „FIPS režimą“.

    Kas yra FIPS suderinamas šifravimas?

    FIPS reiškia „Federaliniai informacijos apdorojimo standartai“. Tai vyriausybės standartų rinkinys, kuris apibrėžia, kaip tam tikri dalykai naudojami vyriausybėje, pavyzdžiui, šifravimo algoritmuose. FIPS apibrėžia tam tikrus konkrečius šifravimo metodus, kuriuos galima naudoti, taip pat šifravimo raktų generavimo metodus. Tai paskelbė Nacionalinis standartų ir technologijų institutas arba NIST.

    „Windows“ nustatymas atitinka JAV vyriausybės FIPS 140 standartą. Kai jis yra įjungtas, tai verčia „Windows“ naudoti tik patvirtintas „FIPS“ šifravimo schemas ir pataria programoms taip pat.

    „FIPS režimas“ nedaro „Windows“ saugesnio. Tai tik blokuoja prieigą prie naujesnių kriptografijos schemų, kurios nebuvo patvirtintos. Tai reiškia, kad ji negalės naudoti naujų šifravimo schemų ar greičiau naudoti tuos pačius šifravimo schemas. Kitaip tariant, tai daro jūsų kompiuterį lėčiau, mažiau funkcionaliai ir, be abejo, mažiau saugus.

    Kaip „Windows“ veikia kitaip, jei įgalinsite šį nustatymą

    „Microsoft“ paaiškina, ką šis nustatymas iš tikrųjų daro dienoraščio įraše „Kodėl mes nerekomenduojame„ FIPS režimo “.“ „Microsoft“ rekomenduoja tik naudoti FIPS režimą, jei turite. Pvz., Jei naudojate JAV vyriausybės kompiuterį, šis kompiuteris turi turėti „FIPS režimą“, kuris turi būti įjungtas pagal vyriausybės taisykles. Nėra realaus atvejo, kai norite tai įgalinti savo asmeniniame kompiuteryje, nebent išbandėte, kaip jūsų programinė įranga veikia JAV vyriausybės kompiuteriuose su šiuo nustatymu.

    Šis nustatymas atlieka du „Windows“ dalykus. Tai verčia „Windows“ ir „Windows“ paslaugas naudoti tik patvirtintą „kriptografiją“. Pavyzdžiui, sistemoje „Windows“ įdiegta „Schannel“ paslauga neveiks su senesniais SSL 2.0 ir 3.0 protokolais, todėl reikės bent TLS 1.0.

    „Microsoft“ .NET sistema taip pat užblokuos prieigą prie algoritmų, kurie nėra patvirtinti. „.NET“ sistema siūlo kelis skirtingus algoritmus daugumai kriptografijos algoritmų, o ne visi jie buvo pateikti patvirtinimui. Pavyzdžiui, Microsoft pažymi, kad .NET sistemoje yra trys skirtingos SHA256 versijos algoritmo versijos. Greičiausias patvirtinimas nebuvo pateiktas, bet turėtų būti toks pat saugus. Taigi įgalinus FIPS režimą bus pertraukti .NET programos, kurios naudoja efektyvesnį algoritmą, arba priversti jas naudoti mažiau efektyvų algoritmą ir būti lėtesni.

    Be šių dviejų dalykų, leidžiant „FIPS“ režimui, programoms rekomenduojama naudoti tik FIPS patvirtintą šifravimą. Bet tai neužima nieko kito. Tradiciniai „Windows“ darbalaukio programos gali pasirinkti bet kokį šifravimo kodą, kurį jie nori, netgi siaubingai pažeidžiamą šifravimą, arba visai nešifruoti. FIPS režimas nieko nedaro kitoms programoms, nebent jos laikosi šio nustatymo.

    Kaip išjungti FIPS režimą (arba įjungti jį, jei turite)

    Jūs neturėtumėte įgalinti šio nustatymo, nebent naudojate vyriausybės kompiuterį ir esate priversti. Jei įgalinsite šį nustatymą, kai kurios vartotojų programos gali iš tikrųjų paprašyti išjungti FIPS režimą, kad jie galėtų tinkamai veikti.

    Jei jums reikia įjungti arba išjungti „FIPS“ režimą, galbūt po to, kai įgalinote, matėte klaidos pranešimą, turite išbandyti, kaip jūsų programinė įranga veiks su „FIPS“ režimu įjungtu kompiuteriu, arba naudojate vyriausybės kompiuterį ir turite kad jį įgalintumėte, galite tai padaryti keliais būdais. FIPS režimas gali būti įjungtas tik tada, kai jis prijungtas prie konkretaus tinklo arba per visą sistemą, kuri visada bus taikoma.

    Jei norite įgalinti FIPS režimą tik prisijungus prie konkretaus tinklo, atlikite šiuos veiksmus:

    1. Atidarykite Valdymo skydo langą.
    2. „Tinklo ir interneto“ dalyje spustelėkite „Peržiūrėti tinklo būseną ir užduotis“.
    3. Spustelėkite „Pakeisti adapterio nustatymus“.
    4. Dešiniuoju pelės mygtuku spustelėkite tinklą, kurį norite įgalinti FIPS, ir pasirinkite „Būsena“.
    5. Lango „Wi-Fi“ būsenos lange spustelėkite mygtuką „Belaidės savybės“.
    6. Tinklo ypatybių lange spustelėkite skirtuką „Saugumas“.
    7. Spustelėkite mygtuką „Išplėstiniai nustatymai“.
    8. „802.11“ nustatymuose perjunkite parinktį „Įgalinti federalinės informacijos apdorojimo standartus (FIPS) atitikimą šiam tinklui“.

    Šis nustatymas taip pat gali būti pakeistas visos sistemos grupės redaktoriuje. Šis įrankis yra prieinamas tik ne Windows versijos „Professional“, „Enterprise“ ir „švietimo“ versijose. Vietinį grupės politikos redaktorių galite naudoti tik norėdami pakeisti šį įrankį, jei esate kompiuteryje, kuris nėra prijungtas prie domeno, valdančio jūsų kompiuterio grupės nuostatas. Jei jūsų kompiuteris yra prijungtas prie domeno, o grupės strategijos nustatymus centralizuotai tvarko jūsų organizacija, negalėsite patys ją pakeisti. Jei norite pakeisti šį nustatymą grupės strategijoje:

    1. Paspauskite Windows klavišą + R, kad atidarytumėte dialogo langą Vykdyti.
    2. Įveskite „gpedit.msc“ į dialogo langą Vykdyti (be kabučių) ir paspauskite „Enter“.
    3. Eikite į „Kompiuterio konfigūracija„ Windows “nustatymai„ Saugumo nustatymai “Vietos politika Saugos parinktys„ Group Policy Editor “.
    4. Suraskite „Sistemos kriptografija: naudokite FIPS reikalavimus atitinkančius algoritmus šifravimui, maišymui ir pasirašymui“ dešinėje srityje ir dukart spustelėkite jį.
    5. Nustatykite nustatymą į „Išjungta“ ir spustelėkite „Gerai“.
    6. Iš naujo paleiskite kompiuterį.

    „Windows“ namų versijose vis tiek galite įgalinti arba išjungti „FIPS“ nustatymą registro nustatyme. Jei norite patikrinti, ar registre įgalinta arba išjungta „FIPS“, atlikite šiuos veiksmus:

    1. Paspauskite Windows klavišą + R, kad atidarytumėte dialogo langą Vykdyti.
    2. Įveskite „regedit“ į dialogo langą „Run“ (be kabučių) ir paspauskite „Enter“.
    3. Eikite į „HKEY_LOCAL_MACHINE sistema„ CurrentControlSet “kontrolė„ Lsa FipsAlgorithmPolicy “.
    4. Pažvelkite į „Įjungta“ reikšmę dešinėje srityje. Jei nustatytas „0“, FIPS režimas išjungtas. Jei nustatytas „1“, FIPS režimas įjungtas. Norėdami pakeisti nustatymą, dukart spustelėkite „Įjungta“ reikšmę ir nustatykite jį į „0“ arba „1“.
    5. Iš naujo paleiskite kompiuterį.


    Ačiū @SwiftOnSecurity dėl „Twitter“ įkvėpimo šiam postui!