no.phhsnews.com


no.phhsnews.com / Hvorfor du ikke bør aktivere "FIPS-kompatibel" kryptering på Windows

Hvorfor du ikke bør aktivere "FIPS-kompatibel" kryptering på Windows


Windows har en skjult innstilling som bare aktiverer statslig sertifisert "FIPS-kompatibel" kryptering. Det kan høres ut som en måte å øke PCens sikkerhet på, men det er det ikke. Du bør ikke aktivere denne innstillingen med mindre du jobber i regjeringen eller trenger å teste hvordan programvaren vil oppføre seg på offentlige PCer.

Denne tweak passer rett sammen med andre ubrukelige Windows-tweaking myter. Hvis du har snublet over denne innstillingen i Windows eller sett den nevnt andre steder, må du ikke aktivere den. Hvis du allerede har aktivert det uten god grunn, kan du bruke trinnene nedenfor for å deaktivere FIPS-modus.

Hva er FIPS-kompatibel kryptering?

RELATERT: 10 Windows Tweaking Myths Debunked

FIPS stands for "Federal Information Processing Standards." Det er et sett av regjeringsstandarder som definerer hvordan visse ting brukes i regjeringen, for eksempel krypteringsalgoritmer. FIPS definerer bestemte spesifikke krypteringsmetoder som kan brukes, samt metoder for generering av krypteringsnøkler. Den er publisert av National Institute of Standards and Technology, eller NIST.

Innstillingen i Windows overholder den amerikanske regjeringen FIPS 140-standarden. Når den er aktivert, tvinger den Windows til å bare bruke FIPS-godkjente krypteringsordninger og anbefaler applikasjoner for å gjøre det også.

"FIPS-modus" gjør ikke Windows sikrere. Det blokkerer bare tilgang til nyere krypteringsordninger som ikke er FIPS-validerte. Det betyr at det ikke vil kunne bruke nye krypteringsordninger, eller raskere måter å bruke de samme krypteringsordninger på. Med andre ord gjør datamaskinen din tregere, mindre funksjonell og uten tvil mindre sikker.

Slik fungerer Windows forskjellig hvis du aktiverer denne innstillingen

Microsoft forklarer hva denne innstillingen faktisk gjør i et blogginnlegg med tittelen "Hvorfor anbefaler vi ikke" FIPS-modus "Anymore." Microsoft anbefaler bare at du bruker FIPS-modus hvis du må. Hvis du for eksempel bruker en amerikansk regjerings datamaskin, skal den datamaskinen ha "FIPS-modus" aktivert i henhold til regjeringens egne regler. Det er ingen reell sak hvor du vil aktivere dette på din egen personlige datamaskin - med mindre du testet hvordan programvaren oppfører deg på amerikanske regjeringens datamaskiner med denne innstillingen aktivert.

Denne innstillingen gjør to ting til Windows selv. Det tvinger Windows og Windows-tjenester til å bruke bare FIPS-validert kryptering. For eksempel vil Schannel-tjenesten som er innebygd i Windows, ikke fungere med eldre SSL 2.0 og 3.0-protokoller, og vil i stedet kreve minst TLS 1.0.

Microsofts .NET-rammeverk vil også blokkere tilgangen til algoritmer som ikke er FIPS-validerte . .NET Framework tilbyr flere forskjellige algoritmer for de fleste krypteringsalgoritmer, og ikke alle av dem har selv blitt sendt inn for validering. Som et eksempel, bemerker Microsoft at det er tre forskjellige versjoner av SHA256 hashing-algoritmen i .NET-rammen. Den raskeste har ikke blitt sendt inn for validering, men skal være like sikker. Så aktiverer FIPS-modus vil enten bryte .NET-applikasjoner som bruker den mer effektive algoritmen eller tvinge dem til å bruke den mindre effektive algoritmen og bli langsommere.

Bortsett fra disse to tingene, tillater FIPS-modus at programmer som de bruker bare FIPS- validert kryptering også. Men det tvinge ikke noe annet. Tradisjonelle Windows-skrivebordsprogrammer kan velge å implementere en krypteringskode de vil ha - til og med grusomt sårbar kryptering - eller ingen kryptering i det hele tatt. FIPS-modus gjør ikke noe for andre programmer, med mindre de adlyder denne innstillingen.

Slik deaktiverer du FIPS modus (eller aktiver den hvis du må)

Du bør ikke aktivere denne innstillingen med mindre du bruker en statlig datamaskin og er tvunget til å. Hvis du aktiverer denne innstillingen, kan enkelte forbrukerprogrammer faktisk be deg om å deaktivere FIPS-modus slik at de kan fungere skikkelig.

Hvis du trenger å aktivere eller deaktivere FIPS-modus, har du kanskje sett en feilmelding etter at du aktiverte den, du må teste hvordan programvaren vil oppføre deg på en datamaskin med FIPS modus aktivert, eller du bruker en offentlig datamaskin og må aktivere den - du kan gjøre det på flere måter. FIPS-modus kan bare aktiveres når den er koblet til et bestemt nettverk, eller via en systemomfattende innstilling som alltid vil gjelde.

For å aktivere FIPS modus bare når du er koblet til et bestemt nettverk, utfør følgende trinn:

  1. Åpne kontrollpanelvinduet.
  2. Klikk på "Vis nettverksstatus og oppgaver" under Nettverk og Internett.
  3. Klikk på "Endre adapterinnstillinger . "
  4. Høyreklikk nettverket du vil aktivere FIPS for, og velg" Status ".
  5. Klikk på knappen" Trådløse egenskaper "i Wi-Fi-statusvinduet.
  6. Klikk kategorien" Sikkerhet "i vinduet for nettverksegenskaper.
  7. Klikk på "Avanserte innstillinger" -knappen.
  8. Slå på "Aktiver føderal informasjonsprosessstandarder (FIPS) overensstemmelse for dette nettverket" alternativet under 802.11-innstillinger.

Denne innstillingen kan også endres system - i hele gruppepolicyredaktøren. Dette verktøyet er bare tilgjengelig på profesjonelle, Enterprise og Education versjoner av Windows-ikke Hjem versjoner. Du kan bare bruke den lokale gruppepolicyeditoren til å endre dette verktøyet hvis du er på en datamaskin som ikke er med i et domene som administrerer datamaskinens gruppepolicyinnstillinger for deg. Hvis datamaskinen din er sluttet til et domene og gruppepolicyinnstillingene blir sentralt administrert av organisasjonen, kan du ikke endre det selv. For å endre denne innstillingen i gruppepolicy:

  1. Trykk Windows-tast + R for å åpne dialogboksen Kjør.
  2. Skriv "gpedit.msc" i dialogboksen Kjør (uten anførselstegn) og trykk Enter.
  3. Naviger til "Datamaskinkonfigurasjon Windows Innstillinger Sikkerhetsinnstillinger Lokale retningslinjer Sikkerhetsalternativer" i Gruppepolicyeditoren.
  4. Finn "Systemkryptografi: Bruk FIPS-kompatible algoritmer for kryptering, hashing og signering" i høyre rute og dobbelt
  5. Sett innstillingen til "Deaktivert" og klikk "OK".
  6. Start datamaskinen på nytt.

På hjemmeversjoner av Windows kan du fortsatt aktivere eller deaktivere FIPS-innstillingen via en registerinnstilling. For å kontrollere om FIPS er aktivert eller deaktivert i registret, følg disse trinnene:

  1. Trykk på Windows-tast + R for å åpne dialogboksen Kjør.
  2. Skriv "regedit" i dialogboksen Kjør (uten anførselstegn) og trykk Skriv inn.
  3. Naviger til "HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa FipsAlgorithmPolicy ".
  4. Se på "Aktivert" -verdien i høyre rute. Hvis den er satt til "0", er FIPS-modus deaktivert. Hvis den er satt til "1", er FIPS-modus aktivert. For å endre innstillingen, dobbeltklikk på "Aktivert" -verdien og sett den til enten "0" eller "1".
  5. Start datamaskinen på nytt.


Takk til @SwiftOnSecurity på Twitter for å inspirere dette innlegget!


HTG Anmeldelser Netgear Nighthawk X6: En Beefy Tri-Band Router for et opptatt, moderne hjem

HTG Anmeldelser Netgear Nighthawk X6: En Beefy Tri-Band Router for et opptatt, moderne hjem

Hvis du er i markedet for en routeroppgradering (vi ser på de av dere roper fortsatt ruteren din ISP ga for mange år siden), er Nighthawk X6 en ultra-premium gjør-det-alle ruteren med fart og funksjoner som er ekstra. Videre ser det ut som en gal forsker eksperiment som involverer cross-breeding en bille med Batmobile.

(how-to)

Slik låser du Ecobee-termostaten med en PIN-kode

Slik låser du Ecobee-termostaten med en PIN-kode

Hvis du har barn i huset og er strengt om termostaten, kan du låse din Ecobee med en PIN-kode slik at ingen kan justere temperaturen med unntak av de som er autorisert til å gjøre det. Med en ikke-smart termostat må du vanligvis få et låst kabinett for å sette rundt det, som du ser i de fleste bedrifter.

(how-to)