cs.phhsnews.com


cs.phhsnews.com / Proč byste neměli povolit šifrování "FIPS-kompatibilní" v systému Windows

Proč byste neměli povolit šifrování "FIPS-kompatibilní" v systému Windows


Systém Windows má skryté nastavení, které umožní pouze šifrování certifikované podle předpisů FIPS. Může to znít jako způsob, jak zvýšit zabezpečení počítače, ale není. Toto nastavení byste neměli povolit, pokud nebudete pracovat ve vládě nebo nebudete muset testovat, jak se software bude chovat na vládních počítačích.

Toto vyladění se hodí těsně vedle dalších zbytečných Windows mýtů. Pokud jste narazili na toto nastavení v systému Windows nebo jste ho viděli jinde, neumožňujte jej. Pokud jste ji již zapnuli bez dobrého důvodu, použijte níže uvedené kroky k vypnutí režimu "FIPS".

Co je to šifrování kompatibilní s FIPS?

SOUVISEJÍCÍ: 10 Windows Fake Miths Debunked

pro "Federální standardy pro zpracování informací". Je to soubor vládních standardů, které definují, jak se ve vládě používají určité věci - například šifrovací algoritmy. FIPS definuje určité specifické metody šifrování, které lze použít, stejně jako metody generování šifrovacích klíčů. Vydává jej Národní institut pro standardy a technologie nebo NIST.

Nastavení v systému Windows vyhovuje standardům americké vlády FIPS 140. Když je zapnutá, přinuti systém Windows používat pouze šifrovací schémata ověřená FIPS a také doporučuje aplikacím, aby tak učinily.

"Režim FIPS" nezvyšuje bezpečnost systému Windows. Pouze blokuje přístup k novějším kryptografickým schématům, které nebyly ověřeny FIPS. To znamená, že nebude moci používat nové šifrovací schémata nebo rychlejší způsoby použití stejných šifrovacích schémat. Jinými slovy, je váš počítač pomalejší, méně funkční a pravděpodobně méně bezpečný.

Jak se Windows chová jinak Pokud povolíte toto nastavení

Společnost Microsoft vysvětluje, co toto nastavení skutečně dělá v blogovém příspěvku s názvem "Proč nedoporučujeme" FIPS režim "Anymore." Společnost Microsoft doporučuje používat režim FIPS, pouze pokud je to nutné. Pokud používáte například počítač s vládou USA, předpokládá se, že tento počítač má režim "FIPS" podle vlastních předpisů. Neexistuje žádný skutečný případ, kdy byste to chtěli povolit na svém osobním počítači - pokud jste testovali, jak se váš software chová na počítačích s vládou USA s povoleným nastavením.

Toto nastavení dělá dvě věci samotnému systému Windows. To nutí služby Windows a Windows používat pouze FIPS-ověřená kryptografie. Například služba Schannel zabudovaná do systému Windows nebude fungovat se staršími protokoly SSL 2.0 a 3.0 a místo toho bude vyžadovat alespoň TLS 1.0.

Systém .NET společnosti Microsoft také zablokuje přístup k algoritmům, které nejsou ověřeny FIPS . .NET rámec nabízí několik různých algoritmů pro většinu kryptografických algoritmů a ne všechny byly dokonce předloženy k ověření. Jako příklad uvádí, že existují tři různé verze algoritmu hash SHA256 v rámci .NET. Nejrychlejší nebylo předloženo k ověření, ale mělo by být stejně bezpečné. Takže umožnění režimu FIPS buď přeruší aplikace .NET, které používají efektivnější algoritmus, nebo je přinutit k použití méně efektivního algoritmu a bude pomalejší.

Kromě těchto dvou možností umožňuje režim FIPS doporučit aplikacím, které používají pouze FIPS- ověřené šifrování. Ale nic jiného nijak nenutí. Tradiční desktopové aplikace Windows se mohou rozhodnout implementovat libovolný šifrovací kód, který chtějí - dokonce i strašně zranitelné šifrování - nebo vůbec žádné šifrování. Režim FIPS neudělá nic jiným aplikacím, pokud nesplní toto nastavení.

Jak zakázat režim FIPS (nebo povolit, pokud máte)

Toto nastavení byste neměli povolit, pokud nepoužíváte vládní počítač a jsou nuceni. Pokud povolíte toto nastavení, mohou některé spotřebitelské aplikace skutečně požádat o deaktivaci režimu FIPS, aby mohly správně fungovat.

Pokud potřebujete zapnout nebo vypnout režim FIPS - možná jste po povolení zapnuli chybovou zprávu, musíte testovat, jak se software bude chovat v počítači s povoleným režimem FIPS, nebo používáte vládní počítač a musíte jej povolit - můžete tak učinit několika způsoby. Režim FIPS může být aktivován pouze v případě, že je připojen k určité síti, nebo přes systémové nastavení, které bude vždy platit.

Chcete-li povolit režim FIPS pouze při připojení k určité síti, proveďte následující kroky:

  1. Otevřete okno ovládacího panelu.
  2. Klepněte na tlačítko "Zobrazit síťový stav a úkoly" v části Síť a Internet. . "
  3. Klepněte pravým tlačítkem myši na síť, kterou chcete povolit FIPS a vyberte" Status ".
  4. Klepněte na tlačítko" Wireless Properties "v okně Status Wi-Fi. okno
  5. Klepněte na tlačítko "Pokročilé nastavení"
  6. V nastavení 802.11 přepněte přepínač "Povolit dodržování standardů FIPS pro tuto síť"
  7. Toto nastavení může být také změněno v celém editoru zásad skupiny. Tento nástroj je k dispozici pouze ve verzích Windows, nikoliv doma, v profesionálních, podnikových a vzdělávacích programech. Pomocí editoru místní skupiny zásad můžete změnit tento nástroj, pokud používáte počítač, který není připojen k doméně, která pro vás spravuje nastavení zásad skupiny. Je-li váš počítač připojen k doméně a nastavení zásad skupiny je centrálně spravováno vaší organizací, nebudete ji moci sami měnit. Chcete-li změnit toto nastavení v Zásadách skupiny:
  8. Stisknutím klávesy Windows + R otevřete dialog Spustit.

Zadejte "gpedit.msc" do dialogového okna Spustit (bez uvozovek) a stiskněte klávesu Enter. "Konfigurace počítače Nastavení systému Windows Nastavení zabezpečení Místní zásady Možnosti zabezpečení" v editoru zásad skupiny.

  1. Vyhledejte v pravém podokně okno "Systémová kryptografie: použijte algoritmy FIPS kompatibilní pro šifrování, hashování a podepisování" -
  2. Nastavte nastavení na "Zakázáno" a klikněte na tlačítko "OK".
  3. Restartujte počítač.
  4. V domácí verzi systému Windows můžete stále povolit nebo zakázat nastavení FIPS pomocí nastavení registru. Chcete-li zkontrolovat, zda je v registru povolena nebo zakázána služba FIPS, postupujte takto:
  5. Stisknutím klávesy Windows + R otevřete dialog Spustit.
  6. Zadejte příkaz "regedit" do dialogového okna Spustit (bez uvozovek)

Přejděte na položku "HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa FipsAlgorithmPolicy".

  1. Podívejte se na hodnotu "Enabled" v pravém podokně. Je-li nastaven na hodnotu "0", režim FIPS je deaktivován. Je-li nastaven na hodnotu "1", režim FIPS je aktivován. Chcete-li změnit nastavení, poklepejte na hodnotu "Enabled" a nastavte jej na "0" nebo "1".
  2. Restartujte počítač
  3. Díky @SwiftOnSecurity na Twitteru pro inspiraci tohoto příspěvku!


    Proč je tak těžké mluvit o duševním zdraví

    Proč je tak těžké mluvit o duševním zdraví

    Podělíme se o detaily našeho tělesného života tak dobrovolně: naše nejnovější strava, potřeba našich dětí pro závorky, možná rodina, která se potýká se srdečním onemocněním . Ale pokud jde o duševní onemocnění, všechno je pod záplatami. Škoda a stigma, které obklopují otázky duševního zdraví, jako je bipolární porucha a úzkost, jsou největšími překážkami, pokud jde o získání pomoci.

    (how-to)

    Jak systém Windows zjistí, že program nereaguje?

    Jak systém Windows zjistí, že program nereaguje?

    Každý, kdo používal systém Windows, zaznamenal příležitostnou systémovou zprávu o tom, že program neodpovídá, ale jak přesně to systém Windows ví? Dnešní příspěvek SuperUser Q & A má odpověď na otázku, která je zneklidněná čtenářem. Dnešní zasílání dotazů a odpovědí nám přichází s laskavým svolením SuperUseru - subdivize Stack Exchange, komunitní skupiny webových stránek Q & A.

    (how-to)