आपको विंडोज पर "FIPS-अनुपालन" एन्क्रिप्शन सक्षम क्यों नहीं करना चाहिए

विंडोज में एक छिपी हुई सेटिंग है जो केवल सरकार द्वारा प्रमाणित "FIPS-अनुपालन" को सक्षम करेगी एन्क्रिप्शन । यह आपके पीसी की सुरक्षा को बढ़ावा देने के तरीके की तरह लग सकता है, लेकिन यह नहीं है। जब तक आप सरकार में काम नहीं करते हैं या आपको यह जांचने की आवश्यकता नहीं है कि सरकारी पीसी पर सॉफ्टवेयर कैसे व्यवहार करेगा, आपको यह सक्षम नहीं करना चाहिए।

यह ट्विक दूसरे के साथ सही बैठता है बेकार विंडोज मिथक । यदि आपने विंडोज में इस सेटिंग को ठोकर खाया है या इसे कहीं और उल्लेख किया है, तो इसे सक्षम न करें। यदि आप पहले से ही बिना किसी कारण के इसे सक्षम कर चुके हैं, तो "FIPS मोड" को अक्षम करने के लिए नीचे दिए गए चरणों का उपयोग करें।

FIPS अनुपालन एन्क्रिप्शन क्या है?

सम्बंधित: 10 विंडोज Tweaking मिथकों Debunked

FIPS "संघीय सूचना प्रसंस्करण मानकों" के लिए खड़ा है। यह सरकार के मानकों का एक सेट है जो परिभाषित करता है कि सरकार में कुछ चीजों का उपयोग कैसे किया जाता है - उदाहरण के लिए, एन्क्रिप्शन एल्गोरिदम। FIPS कुछ विशिष्ट एन्क्रिप्शन विधियों को परिभाषित करता है, जिनका उपयोग किया जा सकता है, साथ ही एन्क्रिप्शन कुंजी बनाने के लिए तरीके भी। यह राष्ट्रीय मानक और प्रौद्योगिकी संस्थान या NIST द्वारा प्रकाशित किया गया है।

विंडोज में सेटिंग अमेरिकी सरकार के 140 मानक मानक का अनुपालन करती है। जब यह सक्षम हो जाता है, तो यह विंडोज़ को केवल FIPS-मान्य एन्क्रिप्शन योजनाओं का उपयोग करने के लिए मजबूर करता है और अनुप्रयोगों को ऐसा करने की सलाह देता है।

"FIPS मोड" विंडोज को अधिक सुरक्षित नहीं बनाता है। यह सिर्फ नई क्रिप्टोग्राफी योजनाओं तक पहुंच को अवरुद्ध करता है जो कि FIPS-मान्य नहीं हैं। इसका मतलब है कि यह नई एन्क्रिप्शन योजनाओं का उपयोग करने में सक्षम नहीं होगा, या समान एन्क्रिप्शन योजनाओं का उपयोग करने के तेज़ तरीके। दूसरे शब्दों में, यह आपके कंप्यूटर को धीमा, कम कार्यात्मक और यकीनन बनाता है कम से सुरक्षित।

यदि आप इस सेटिंग को सक्षम करते हैं, तो Windows भिन्न रूप से कैसे व्यवहार करता है

Microsoft बताता है कि यह सेटिंग वास्तव में एक ब्लॉग पोस्ट में क्या करती है " क्यों हम "दानव मोड" Anymore की सिफारिश नहीं कर रहे हैं । " Microsoft आपको केवल यदि आप करने के लिए FIPS मोड का उपयोग करने की अनुशंसा करता है। उदाहरण के लिए, यदि आप अमेरिकी सरकार के कंप्यूटर का उपयोग कर रहे हैं, तो उस कंप्यूटर को सरकार के स्वयं के नियमों के अनुसार "FIPS मोड" सक्षम होना चाहिए। कोई वास्तविक मामला नहीं है जहां आप इसे अपने निजी कंप्यूटर पर सक्षम करना चाहते हैं - जब तक कि आप परीक्षण नहीं कर रहे थे कि इस सेटिंग के साथ आपका सॉफ़्टवेयर अमेरिकी सरकार के कंप्यूटरों पर कैसे व्यवहार करता है।

यह सेटिंग विंडोज को ही दो काम करती है। यह विंडोज और विंडोज सेवाओं को केवल FIPS-मान्य क्रिप्टोग्राफी का उपयोग करने के लिए मजबूर करता है। उदाहरण के लिए, Windows में निर्मित Schannel सेवा पुराने SSL 2.0 और 3.0 प्रोटोकॉल के साथ काम नहीं करती है, और इसके बजाय कम से कम TLS 1.0 की आवश्यकता होगी।

Microsoft का .NET फ्रेमवर्क उन एल्गोरिदम तक पहुंच को भी रोक देगा जो दान-मान्य नहीं हैं। .NET फ्रेमवर्क अधिकांश क्रिप्टोग्राफी एल्गोरिदम के लिए कई अलग-अलग एल्गोरिदम प्रदान करता है, और उन सभी को सत्यापन के लिए भी प्रस्तुत नहीं किया गया है। एक उदाहरण के रूप में, Microsoft नोट करता है कि .NET फ्रेमवर्क में SHA256 हैशिंग एल्गोरिथ्म के तीन अलग-अलग संस्करण हैं। सबसे तेज़ एक सत्यापन के लिए प्रस्तुत नहीं किया गया है, लेकिन यह उतना ही सुरक्षित होना चाहिए। तो FIPS मोड को सक्षम करना या तो .NET अनुप्रयोगों को तोड़ देगा जो अधिक कुशल एल्गोरिथ्म का उपयोग करते हैं या उन्हें कम कुशल एल्गोरिदम का उपयोग करने के लिए मजबूर करते हैं और धीमी गति से होते हैं।

उन दो चीजों के अलावा, FIPS मोड को सक्षम करने से उन अनुप्रयोगों के लिए अनुशंसा की जाती है जो वे केवल FIPS-मान्य एन्क्रिप्शन का उपयोग करते हैं। लेकिन यह कुछ और करने के लिए मजबूर नहीं करता है। पारंपरिक विंडोज डेस्कटॉप अनुप्रयोग वे चाहते हैं कि किसी भी एन्क्रिप्शन कोड को लागू करने के लिए चुन सकते हैं-यहां तक ​​कि भयानक रूप से कमजोर एन्क्रिप्शन या बिल्कुल भी एन्क्रिप्शन नहीं। जब तक वे इस सेटिंग को नहीं मानते तब तक अन्य मोड के लिए कुछ भी नहीं किया जाता है।

दान मोड को अक्षम कैसे करें (या इसे सक्षम करें, यदि आपके पास है)

जब तक आप सरकारी कंप्यूटर का उपयोग नहीं करते और आपको मजबूर किया जाता है, तब तक आपको यह सेटिंग सक्षम नहीं करनी चाहिए। यदि आप इस सेटिंग को सक्षम करते हैं, तो कुछ उपभोक्ता एप्लिकेशन आपको वास्तव में FIPS मोड को अक्षम करने के लिए कह सकते हैं ताकि वे ठीक से काम कर सकें।

यदि आपको FIPS मोड को सक्षम या अक्षम करने की आवश्यकता है - शायद आपने इसे सक्षम करने के बाद एक त्रुटि संदेश देखा है, तो आपको यह परीक्षण करने की आवश्यकता है कि आपका सॉफ़्टवेयर कंप्यूटर पर सक्षम मोड के साथ कैसे व्यवहार करेगा, या आप एक सरकारी कंप्यूटर का उपयोग कर रहे हैं और आपके पास है इसे सक्षम करने के लिए-आप कई तरीकों से ऐसा कर सकते हैं। किसी विशिष्ट नेटवर्क से कनेक्ट होने पर, या सिस्टम-वाइड सेटिंग के माध्यम से केवल तभी मोड सक्षम किया जा सकता है जो हमेशा लागू होगा।

केवल किसी विशिष्ट नेटवर्क से कनेक्ट होने पर FIPS मोड को सक्षम करने के लिए, निम्न चरणों का पालन करें:

1. नियंत्रण कक्ष विंडो खोलें।
2. नेटवर्क और इंटरनेट के अंतर्गत "नेटवर्क स्थिति और कार्य देखें" पर क्लिक करें।
3. "एडेप्टर सेटिंग्स बदलें" पर क्लिक करें।
4. जिस नेटवर्क को आप सक्षम करना चाहते हैं उसके लिए राइट-क्लिक करें और "स्थिति" चुनें।
5. वाई-फाई स्थिति विंडो में "वायरलेस गुण" बटन पर क्लिक करें।
6. नेटवर्क गुण विंडो में "सुरक्षा" टैब पर क्लिक करें।
7. "उन्नत सेटिंग्स" बटन पर क्लिक करें।
8. 802.11 सेटिंग्स के तहत "इस नेटवर्क के लिए संघीय सूचना प्रसंस्करण मानकों (FIPS) अनुपालन को सक्षम करें" को टॉगल करें।

समूह नीति संपादक में इस सेटिंग को सिस्टम-वाइड भी बदला जा सकता है। यह टूल केवल विंडोज के प्रोफेशनल, एंटरप्राइज और एजुकेशन वर्जन पर उपलब्ध है, न कि होम वर्जन में। आप केवल उपयोग कर सकते हैं स्थानीय समूह नीति संपादक इस उपकरण को बदलने के लिए यदि आप उस कंप्यूटर पर नहीं हैं जो आपके डोमेन के लिए आपके कंप्यूटर की समूह नीति सेटिंग्स का प्रबंधन करने वाले डोमेन में शामिल नहीं हुआ है। यदि आपका कंप्यूटर किसी डोमेन से जुड़ा हुआ है और समूह नीति सेटिंग्स को आपके संगठन द्वारा केंद्रीय रूप से प्रबंधित किया जाता है, तो आप इसे स्वयं नहीं बदल पाएंगे। समूह नीति में इस सेटिंग को बदलने के लिए:

1. रन डायलॉग खोलने के लिए विंडोज की + आर दबाएँ।
2. रन डायलॉग बॉक्स (उद्धरण के बिना) में "gpedit.msc" टाइप करें और एंटर दबाएं।
3. समूह नीति संपादक में "कंप्यूटर कॉन्फ़िगरेशन \ Windows सेटिंग्स \ सुरक्षा सेटिंग्स \ स्थानीय नीतियों \ सुरक्षा विकल्प" पर नेविगेट करें।
4. "सिस्टम क्रिप्टोग्राफी: एन्क्रिप्शन, हैशिंग और साइनिंग के लिए FIPS आज्ञाकारी एल्गोरिदम का उपयोग करें और सही फलक में सेटिंग" का पता लगाएँ और इसे डबल-क्लिक करें।
5. सेटिंग को "अक्षम" पर सेट करें और "ओके" पर क्लिक करें।
6. कंप्यूटर को पुनरारंभ।

विंडोज के होम संस्करणों पर, आप अभी भी रजिस्ट्री सेटिंग के माध्यम से FIPS सेटिंग को सक्षम या अक्षम कर सकते हैं। यह जाँचने के लिए कि क्या सक्षम है या अक्षम है रजिस्ट्री में , निम्नलिखित चरणों का पालन करें:

1. रन डायलॉग खोलने के लिए विंडोज की + आर दबाएँ।
2. रन डायलॉग बॉक्स (उद्धरण के बिना) में "regedit" टाइप करें और Enter दबाएं।
3. "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \" पर नेविगेट करें।
4. दाएँ फलक में "सक्षम" मान देखें। यदि यह "0" पर सेट है, तो FIPS मोड अक्षम है। यदि यह "1" पर सेट है, तो FIPS मोड सक्षम है। सेटिंग बदलने के लिए, "सक्षम" मान को डबल-क्लिक करें और इसे "0" या "1" पर सेट करें।
5. कंप्यूटर को पुनरारंभ।

---

करने के लिए धन्यवाद @SwiftOnSecurity इस पोस्ट को प्रेरित करने के लिए ट्विटर पर!