Τα Windows έχουν μια κρυφή ρύθμιση που θα επιτρέπει μόνο την πιστοποίηση από το κράτος "συμβατό με το FIPS" κρυπτογράφηση . Μπορεί να ακούγεται σαν τρόπος ενίσχυσης της ασφάλειας του υπολογιστή σας, αλλά δεν είναι. Δεν θα πρέπει να ενεργοποιήσετε αυτήν τη ρύθμιση, εκτός εάν εργάζεστε σε κυβερνητικό ή δεν χρειάζεται να ελέγξετε πώς θα συμπεριφέρεται το λογισμικό σε κυβερνητικούς υπολογιστές.
Αυτό το τσίμπημα ταιριάζει ακριβώς δίπλα σε άλλα άχρηστοι μύθοι για τα Windows . Εάν έχετε σκοντάψει αυτήν τη ρύθμιση στα Windows ή έχετε δει ότι αναφέρεται αλλού, μην την ενεργοποιήσετε. Εάν το έχετε ήδη ενεργοποιήσει χωρίς καλό λόγο, ακολουθήστε τα παρακάτω βήματα για να απενεργοποιήσετε τη λειτουργία "FIPS".
Τι είναι η συμβατή με FIPS κρυπτογράφηση;
ΣΧΕΤΙΖΟΜΑΙ ΜΕ: 10 Μύθοι Tweaking Windows που έχουν αποσυρθεί
Το FIPS σημαίνει "Ομοσπονδιακά Πρότυπα Επεξεργασίας Πληροφοριών". Είναι ένα σύνολο κυβερνητικών προτύπων που καθορίζουν τον τρόπο με τον οποίο ορισμένα πράγματα χρησιμοποιούνται στην κυβέρνηση –για παράδειγμα, αλγόριθμοι κρυπτογράφησης. Το FIPS καθορίζει συγκεκριμένες μεθόδους κρυπτογράφησης που μπορούν να χρησιμοποιηθούν, καθώς και μεθόδους για τη δημιουργία κλειδιών κρυπτογράφησης. Δημοσιεύεται από το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας ή το NIST.
Η ρύθμιση στα Windows συμμορφώνεται με το πρότυπο FIPS 140 της κυβέρνησης των ΗΠΑ. Όταν είναι ενεργοποιημένο, αναγκάζει τα Windows να χρησιμοποιούν μόνο σχήματα κρυπτογράφησης με πιστοποίηση FIPS και συμβουλεύει τις εφαρμογές να το κάνουν.
Η λειτουργία "FIPS" δεν καθιστά τα Windows πιο ασφαλή. Απλώς αποκλείει την πρόσβαση σε νεότερα σχήματα κρυπτογραφίας που δεν έχουν επικυρωθεί από το FIPS. Αυτό σημαίνει ότι δεν θα μπορεί να χρησιμοποιήσει νέα σχήματα κρυπτογράφησης ή πιο γρήγορους τρόπους χρήσης των ίδιων σχεδίων κρυπτογράφησης. Με άλλα λόγια, καθιστά τον υπολογιστή σας πιο αργό, λιγότερο λειτουργικό και αναμφισβήτητα πιο λιγο ασφαλής.
Πώς τα Windows συμπεριφέρονται διαφορετικά εάν ενεργοποιήσετε αυτήν τη ρύθμιση
Η Microsoft εξηγεί τι πραγματικά κάνει αυτή η ρύθμιση σε μια ανάρτηση ιστολογίου με τίτλο « Γιατί δεν προτείνουμε ξανά τη "Λειτουργία FIPS" " Η Microsoft συνιστά να χρησιμοποιείτε τη λειτουργία FIPS μόνο αν πρέπει. Για παράδειγμα, εάν χρησιμοποιείτε έναν κυβερνητικό υπολογιστή των ΗΠΑ, αυτός ο υπολογιστής υποτίθεται ότι έχει ενεργοποιήσει τη λειτουργία "FIPS mode" σύμφωνα με τους κανονισμούς της κυβέρνησης. Δεν υπάρχει πραγματική περίπτωση όπου θα θέλατε να το ενεργοποιήσετε στον προσωπικό σας υπολογιστή - εκτός εάν δοκιμάσατε τη συμπεριφορά του λογισμικού σας σε κυβερνητικούς υπολογιστές των ΗΠΑ με ενεργοποιημένη αυτήν τη ρύθμιση.
Αυτή η ρύθμιση κάνει δύο πράγματα στα ίδια τα Windows. Αναγκάζει τις υπηρεσίες Windows και Windows να χρησιμοποιούν μόνο κρυπτογράφηση επικυρωμένη από FIPS. Για παράδειγμα, η ενσωματωμένη υπηρεσία Schannel στα Windows δεν θα λειτουργεί με παλαιότερα πρωτόκολλα SSL 2.0 και 3.0 και θα απαιτήσει τουλάχιστον TLS 1.0.
Το πλαίσιο .NET της Microsoft θα αποκλείσει επίσης την πρόσβαση σε αλγόριθμους που δεν έχουν επικυρωθεί από το FIPS. Το πλαίσιο .NET προσφέρει διάφορους διαφορετικούς αλγόριθμους για τους περισσότερους αλγόριθμους κρυπτογραφίας και δεν έχουν υποβληθεί ακόμη και όλοι για επικύρωση. Για παράδειγμα, η Microsoft σημειώνει ότι υπάρχουν τρεις διαφορετικές εκδόσεις του αλγορίθμου κατακερματισμού SHA256 στο πλαίσιο .NET. Το γρηγορότερο δεν έχει υποβληθεί για επικύρωση, αλλά θα πρέπει να είναι εξίσου ασφαλές. Έτσι, η ενεργοποίηση της λειτουργίας FIPS θα σπάσει είτε τις εφαρμογές .NET που χρησιμοποιούν τον πιο αποτελεσματικό αλγόριθμο είτε θα τις αναγκάσει να χρησιμοποιήσουν τον λιγότερο αποδοτικό αλγόριθμο και να είναι πιο αργές.
Εκτός από αυτά τα δύο πράγματα, η ενεργοποίηση της λειτουργίας FIPS συνιστά σε εφαρμογές που χρησιμοποιούν μόνο κρυπτογράφηση επικυρωμένη από FIPS. Αλλά δεν αναγκάζει τίποτα άλλο. Οι παραδοσιακές εφαρμογές για επιτραπέζιους υπολογιστές των Windows μπορούν να επιλέξουν να εφαρμόσουν οποιονδήποτε κωδικό κρυπτογράφησης που θέλουν –ακόμη και εξαιρετικά τρομερή κρυπτογράφηση– ή καθόλου κρυπτογράφηση. Η λειτουργία FIPS δεν κάνει τίποτα σε άλλες εφαρμογές, εκτός εάν συμμορφώνονται με αυτήν τη ρύθμιση.
Πώς να απενεργοποιήσετε τη λειτουργία FIPS (ή να την ενεργοποιήσετε, εάν πρέπει)
Δεν θα πρέπει να ενεργοποιήσετε αυτήν τη ρύθμιση, εκτός εάν χρησιμοποιείτε κυβερνητικό υπολογιστή και είστε υποχρεωμένοι. Εάν ενεργοποιήσετε αυτήν τη ρύθμιση, ορισμένες εφαρμογές καταναλωτών ενδέχεται να σας ζητήσουν να απενεργοποιήσετε τη λειτουργία FIPS, ώστε να μπορούν να λειτουργήσουν σωστά.
Εάν πρέπει να ενεργοποιήσετε ή να απενεργοποιήσετε τη λειτουργία FIPS - ίσως έχετε δει ένα μήνυμα σφάλματος μετά την ενεργοποίησή του, πρέπει να ελέγξετε πώς θα συμπεριφέρεται το λογισμικό σας σε έναν υπολογιστή με ενεργοποιημένη τη λειτουργία FIPS ή εάν χρησιμοποιείτε έναν κυβερνητικό υπολογιστή και έχετε για να το ενεργοποιήσετε - μπορείτε να το κάνετε με διάφορους τρόπους. Η λειτουργία FIPS μπορεί να ενεργοποιηθεί μόνο όταν είναι συνδεδεμένη σε ένα συγκεκριμένο δίκτυο ή μέσω μιας ρύθμισης σε όλο το σύστημα που θα ισχύει πάντα.
Για να ενεργοποιήσετε τη λειτουργία FIPS μόνο όταν είστε συνδεδεμένοι σε ένα συγκεκριμένο δίκτυο, ακολουθήστε τα παρακάτω βήματα:
- Ανοίξτε το παράθυρο του Πίνακα Ελέγχου.
- Κάντε κλικ στην επιλογή "Προβολή κατάστασης και εργασιών δικτύου" στην περιοχή Δίκτυο και Διαδίκτυο.
- Κάντε κλικ στην επιλογή "Αλλαγή ρυθμίσεων προσαρμογέα".
- Κάντε δεξί κλικ στο δίκτυο για το οποίο θέλετε να ενεργοποιήσετε το FIPS και επιλέξτε "Κατάσταση".
- Κάντε κλικ στο κουμπί "Ιδιότητες ασύρματου δικτύου" στο παράθυρο Κατάσταση Wi-Fi.
- Κάντε κλικ στην καρτέλα "Ασφάλεια" στο παράθυρο ιδιοτήτων δικτύου.
- Κάντε κλικ στο κουμπί "Σύνθετες ρυθμίσεις".
- Ενεργοποιήστε την επιλογή "Ενεργοποίηση συμμόρφωσης ομοσπονδιακών προτύπων επεξεργασίας πληροφοριών (FIPS) για αυτό το δίκτυο" στις ρυθμίσεις 802.11
Αυτή η ρύθμιση μπορεί επίσης να αλλάξει σε όλο το σύστημα στο πρόγραμμα επεξεργασίας πολιτικής ομάδας. Αυτό το εργαλείο είναι διαθέσιμο μόνο σε επαγγελματικές, εταιρικές και εκπαιδευτικές εκδόσεις των Windows - όχι σε οικιακές εκδόσεις. Μπορείτε να χρησιμοποιήσετε μόνο το τοπικός συντάκτης πολιτικής ομάδας για να αλλάξετε αυτό το εργαλείο εάν χρησιμοποιείτε υπολογιστή που δεν είναι συνδεδεμένος σε τομέα που διαχειρίζεται τις ρυθμίσεις πολιτικής ομάδας του υπολογιστή σας για εσάς. Εάν ο υπολογιστής σας είναι συνδεδεμένος σε έναν τομέα και οι ρυθμίσεις πολιτικής ομάδας διαχειρίζονται κεντρικά από τον οργανισμό σας, δεν θα μπορείτε να τον αλλάξετε μόνοι σας. Για να αλλάξετε αυτήν τη ρύθμιση στην Πολιτική ομάδας:
- Πατήστε το πλήκτρο Windows + R για να ανοίξετε το παράθυρο διαλόγου Εκτέλεση.
- Πληκτρολογήστε "gpedit.msc" στο πλαίσιο διαλόγου Εκτέλεση (χωρίς τα εισαγωγικά) και πατήστε Enter.
- Μεταβείτε στο "Computer Configuration \ Windows Settings \ Security Settings \ Local Policies \ Security Options" στο Group Policy Editor.
- Εντοπίστε τη ρύθμιση "Κρυπτογραφία συστήματος: Χρησιμοποιήστε αλγόριθμους συμβατούς με FIPS για κρυπτογράφηση, κατακερματισμό και υπογραφή" στο δεξιό τμήμα του παραθύρου και κάντε διπλό κλικ σε αυτό.
- Ορίστε τη ρύθμιση σε "Απενεργοποιημένη" και κάντε κλικ στο "OK".
- Επανεκκινήστε τον υπολογιστή.
Στις οικιακές εκδόσεις των Windows, μπορείτε ακόμα να ενεργοποιήσετε ή να απενεργοποιήσετε τη ρύθμιση FIPS μέσω μιας ρύθμισης μητρώου. Για να ελέγξετε αν το FIPS είναι ενεργοποιημένο ή απενεργοποιημένο στο μητρώο , ακολουθήστε τα παρακάτω βήματα:
- Πατήστε το πλήκτρο Windows + R για να ανοίξετε το παράθυρο διαλόγου Εκτέλεση.
- Πληκτρολογήστε "regedit" στο παράθυρο διαλόγου Εκτέλεση (χωρίς τα εισαγωγικά) και πατήστε Enter.
- Μεταβείτε στο "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
- Κοιτάξτε την τιμή "Ενεργοποιημένη" στο δεξιό τμήμα του παραθύρου. Εάν έχει οριστεί σε "0", η λειτουργία FIPS είναι απενεργοποιημένη. Εάν έχει οριστεί σε "1", η λειτουργία FIPS είναι ενεργοποιημένη. Για να αλλάξετε τη ρύθμιση, κάντε διπλό κλικ στην τιμή "Enabled" και ορίστε την σε "0" ή "1".
- Επανεκκινήστε τον υπολογιστή.
Χάρη σε @SwiftOnSecurity στο Twitter για την έμπνευση αυτής της ανάρτησης!
