Homepage » hogyan kell » Miért nem engedélyezheti a „FIPS-kompatibilis” titkosítást a Windows rendszeren

    Miért nem engedélyezheti a „FIPS-kompatibilis” titkosítást a Windows rendszeren

    A Windows rendelkezik egy rejtett beállítással, amely csak a kormány által hitelesített „FIPS-kompatibilis” titkosítást tesz lehetővé. Úgy hangzik, mintha a számítógép biztonságát növelné, de nem. Ezt a beállítást nem szabad engedélyezni, hacsak nem kormányzaton dolgozol, vagy tesztelned kell, hogy a szoftver hogyan fog viselkedni a kormányzati számítógépeken.

    Ez a csípés jól illeszkedik a többi haszontalan Windows-os csípő mítoszhoz. Ha megbotlott ezen a beállításon a Windowsban, vagy máshol látta azt, ne engedélyezze azt. Ha már jó ok nélkül engedélyezte, használja az alábbi lépéseket a „FIPS mód” letiltásához.

    Mi a FIPS-kompatibilis titkosítás?

    FIPS jelentése „Szövetségi információfeldolgozási szabványok”. Ez egy olyan kormányzati szabványok halmaza, amelyek meghatározzák, hogy bizonyos dolgokat hogyan használnak a kormányzatban, például titkosítási algoritmusokban. FIPS határozza meg az egyes használható titkosítási módszereket, valamint a titkosítási kulcsok létrehozására szolgáló módszereket. A Nemzeti Szabványügyi és Technológiai Intézet vagy a NIST.

    A Windows beállításai megfelelnek az amerikai kormány FIPS 140 szabványának. Ha engedélyezve van, arra kényszeríti a Windows-t, hogy csak FIPS-hitelesített titkosítási rendszereket használjon, és azt is javasolja az alkalmazásoknak.

    A „FIPS mód” nem teszi biztonságosabbá a Windows rendszert. Csak blokkolja az újabb titkosítási sémákhoz való hozzáférést, amelyek nem lettek hitelesítve. Ez azt jelenti, hogy nem fogja használni az új titkosítási sémákat, vagy ugyanazokat a titkosítási sémákat gyorsabban. Más szóval, lassabbá, kevésbé funkcionálisvá és vitathatatlanul teszi a számítógépet Kevésbé biztos.

    Hogyan viselkedik a Windows másképp, ha engedélyezi ezt a beállítást

    A Microsoft elmagyarázza, hogy ez a beállítás valójában egy blogbejegyzésben „Miért nem ajánljuk a„ FIPS módot ”.” A Microsoft csak akkor ajánlja a FIPS mód használatát, ha kell. Például, ha egy amerikai kormányzati számítógépet használ, akkor a számítógépnek „a FIPS módja” van engedélyezve a kormány saját szabályai szerint. Nincs igazi eset, amikor ezt saját személyi számítógépén engedélyezné - kivéve, ha tesztelte, hogyan viselkedik a szoftver az USA kormányzati számítógépein, ha ez a beállítás engedélyezve van.

    Ez a beállítás két dolgot tesz a Windows számára. Ez arra kényszeríti a Windows és a Windows szolgáltatásokat, hogy csak FIPS-hitelesített titkosítást használjanak. Például a Windows rendszerbe épített Schannel szolgáltatás nem fog működni a régebbi SSL 2.0 és 3.0 protokollokkal, és legalább TLS 1.0 szükséges lesz.

    A Microsoft .NET-keretrendszere is blokkolja a nem hitelesített algoritmusok elérését. A .NET-keretrendszer többféle algoritmust kínál a legtöbb kriptográfiai algoritmus számára, és nem mindegyiküket már benyújtották validálásra. Például a Microsoft megjegyzi, hogy a .NET-keretrendszerben az SHA256 hash algoritmusának három változata létezik. A leggyorsabb nem került benyújtásra validálásra, de ugyanolyan biztonságosnak kell lennie. Tehát a FIPS mód engedélyezése vagy a hatékonyabb algoritmust használó .NET alkalmazásokat megszakítja, vagy arra kényszeríti őket, hogy a kevésbé hatékony algoritmust használják, és lassabbak legyenek.

    A fenti két dolog mellett a FIPS mód engedélyezése azt javasolja, hogy az alkalmazások csak FIPS-hitelesített titkosítást használjanak. De ez semmi mást nem kényszerít. A hagyományos Windows asztali alkalmazások úgy dönthetnek, hogy bármilyen titkosítási kódot akarnak végrehajtani, még ha rettenetesen sebezhető titkosítást, vagy egyáltalán nem titkosítást. A FIPS mód nem tesz semmit más alkalmazásokhoz, hacsak nem engedik be ezt a beállítást.

    A FIPS mód letiltása (vagy engedélyezése, ha kell)

    Nem engedélyezheti ezt a beállítást, kivéve, ha kormányzati számítógépet használ, és kénytelen. Ha engedélyezi ezt a beállítást, egyes fogyasztói alkalmazások valójában kéri, hogy tiltsa le a FIPS módot, hogy azok megfelelően működhessenek.

    Ha engedélyeznie vagy tiltani kell a FIPS módot - talán hibaüzenetet látott, miután engedélyezte azt, tesztelni kell, hogy a szoftver hogyan viselkedik a FIPS módban engedélyezett számítógépen, vagy ha kormányzati számítógépet használ, és van annak engedélyezéséhez ezt többféleképpen is megteheti. A FIPS mód csak akkor engedélyezhető, ha egy adott hálózathoz van csatlakoztatva, vagy az egész rendszerre kiterjedő beállítással, amely mindig érvényes.

    A FIPS mód engedélyezéséhez csak akkor, ha egy adott hálózathoz csatlakozik, hajtsa végre a következő lépéseket:

    1. Nyissa meg a Vezérlőpult ablakot.
    2. A Hálózat és az Internet menüben kattintson a „Hálózati állapot és feladatok megtekintése” pontra.
    3. Kattintson az „Adapterbeállítások módosítása” lehetőségre.
    4. Kattintson a jobb gombbal arra a hálózatra, amelyen engedélyezni szeretné a FIPS-et, és válassza az „Állapot” lehetőséget.
    5. Kattintson a „Vezeték nélküli tulajdonságok” gombra a Wi-Fi állapot ablakban.
    6. Kattintson a „Biztonság” fülre a hálózati tulajdonságok ablakban.
    7. Kattintson a „Speciális beállítások” gombra.
    8. A 802.11 beállítások alatt kapcsolja be a „Szövetségi információfeldolgozási szabványok (FIPS) megfelelés engedélyezése a hálózathoz” opciót.

    Ezt a beállítást a csoport irányelv-szerkesztőben is át lehet változtatni. Ez az eszköz csak a Windows nem otthoni verziók professzionális, vállalati és oktatási verzióiban érhető el. Csak akkor használhatja a helyi csoportházirend-szerkesztőt, ha módosítja ezt az eszközt, ha olyan számítógépen tartózkodik, amely nem csatlakozik egy olyan tartományhoz, amely az Ön számítógépének házirend-beállításait kezeli. Ha számítógépe csatlakozik egy tartományhoz, és a csoport irányelvek központi irányítását a szervezet irányítja, akkor nem tudja magát megváltoztatni. A beállítás módosítása a csoportházirendben:

    1. A Windows gomb + R megnyomásával nyissa meg a Futtatás párbeszédpanelt.
    2. Írja be a „gpedit.msc” parancsot a Futtatás párbeszédpanelen (az idézőjelek nélkül) és nyomja meg az Entert.
    3. Keresse meg a „Számítógép konfigurálása Windows beállítások Biztonsági beállítások Helyi házirendek Biztonsági beállítások” elemet a csoportházirend-szerkesztőben.
    4. Keresse meg a „Rendszerkriptográfia: Használja a FIPS-kompatibilis algoritmusokat a titkosításhoz, a hasásoláshoz és az aláíráshoz” beállítást a jobb oldali ablaktáblán, és kattintson duplán.
    5. Állítsa a beállítást „Letiltva”, majd kattintson az „OK” gombra.
    6. Indítsa újra a számítógépet.

    A Windows Otthoni verzióiban továbbra is engedélyezheti vagy letilthatja a FIPS beállítást egy regiszterbeállításon keresztül. Annak ellenőrzéséhez, hogy a FIPS engedélyezve van-e, vagy le van tiltva a rendszerleíró adatbázisban, kövesse az alábbi lépéseket:

    1. A Windows gomb + R megnyomásával nyissa meg a Futtatás párbeszédpanelt.
    2. Írja be a „regedit” parancsot a Run párbeszédablakba (az idézőjelek nélkül), majd nyomja meg az Enter billentyűt.
    3. Keresse meg a „HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa FipsAlgorithmPolicy” pontot..
    4. Nézze meg a jobb oldali ablaktáblában az „Engedélyezett” értéket. Ha „0” -ra van állítva, a FIPS mód le van tiltva. Ha „1” -re van állítva, a FIPS mód engedélyezve van. A beállítás módosításához kattintson duplán az „Engedélyezett” értékre, és állítsa „0” vagy „1” értékre.
    5. Indítsa újra a számítógépet.

    Köszönet a @SwiftOnSecurity-nek a Twitteren, hogy inspirálja ezt a hozzászólást!

    Miért nem kell bejelentkeznie a Linux rendszerbe gyökérként
    Miért nem bízhat meg a szabad VPN-ekkel
    Miért ne vásároljon a Tomb Raider (és más PC-játékok) emelkedését a Windows Store-ból
    Következő cikk
    Miért nem adhat meg nyílt Wi-Fi hálózatot jelszó nélkül
    Korábbi cikk
    Miért nem szabad letiltani a felhasználói fiókok felügyeletét (UAC) a Windows rendszerben