Windowsには、政府認定の「FIPS準拠」のみを有効にする非表示の設定があります 暗号化 。 PCのセキュリティを強化する方法のように聞こえるかもしれませんが、そうではありません。政府機関で働いている場合、または政府機関のPCでソフトウェアがどのように動作するかをテストする必要がある場合を除いて、この設定を有効にしないでください。
この調整は他の調整とぴったり合います 役に立たないWindowsの微調整の神話 。 Windowsでこの設定に遭遇した場合、または他の場所で言及されている場合は、有効にしないでください。正当な理由なしにすでに有効にしている場合は、以下の手順を使用して「FIPSモード」を無効にします。
FIPS準拠の暗号化とは何ですか?
FIPSは、「連邦情報処理標準」の略です。これは、暗号化アルゴリズムなど、特定のものが政府でどのように使用されるかを定義する一連の政府標準です。 FIPSは、使用できる特定の暗号化方法と、暗号化キーを生成する方法を定義しています。これは、米国国立標準技術研究所(NIST)によって発行されています。
Windowsの設定は、米国政府のFIPS140標準に準拠しています。有効にすると、WindowsはFIPSで検証された暗号化スキームのみを使用するように強制され、アプリケーションにも使用するようにアドバイスされます。
「FIPSモード」では、Windowsの安全性は向上しません。 FIPSで検証されていない新しい暗号化スキームへのアクセスをブロックするだけです。つまり、新しい暗号化スキームを使用したり、同じ暗号化スキームをより高速に使用したりすることはできなくなります。言い換えれば、それはあなたのコンピュータを遅くし、機能を低下させ、そして間違いなく もっと少なく 安全です。
この設定を有効にした場合のWindowsの動作の違い
Microsoftは、この設定が実際に何をするかを「 「FIPSモード」を推奨しない理由 。」 Microsoftは、必要な場合にのみFIPSモードを使用することをお勧めします。たとえば、米国政府のコンピュータを使用している場合、そのコンピュータでは、政府独自の規制に従って「FIPSモード」が有効になっている必要があります。この設定を有効にして米国政府のコンピューターでソフトウェアがどのように動作するかをテストしていない限り、自分のパーソナルコンピューターでこれを有効にする実際のケースはありません。
この設定は、Windows自体に対して2つのことを行います。これにより、WindowsおよびWindowsサービスはFIPSで検証された暗号化のみを使用するようになります。たとえば、Windowsに組み込まれているSchannelサービスは、古いSSL 2.0および3.0プロトコルでは機能せず、代わりに少なくともTLS1.0が必要になります。
Microsoftの.NETFrameworkは、FIPSで検証されていないアルゴリズムへのアクセスもブロックします。 .NET Frameworkは、ほとんどの暗号化アルゴリズムに対していくつかの異なるアルゴリズムを提供しており、それらのすべてが検証のために提出されているわけではありません。例として、Microsoftは、.NETFrameworkには3つの異なるバージョンのSHA256ハッシュアルゴリズムがあることに注意しています。最速のものは検証のために提出されていませんが、同じように安全である必要があります。したがって、FIPSモードを有効にすると、より効率的なアルゴリズムを使用する.NETアプリケーションが破損するか、効率の低いアルゴリズムを使用するように強制され、速度が低下します。
これら2つのこととは別に、FIPSモードを有効にすると、FIPSで検証された暗号化のみを使用することもアプリケーションに推奨されます。しかし、それは他に何も強制しません。従来のWindowsデスクトップアプリケーションは、必要な暗号化コードを実装することを選択できます。ひどく脆弱な暗号化であっても、暗号化をまったく実装しないこともできます。 FIPSモードは、他のアプリケーションがこの設定に従わない限り、他のアプリケーションには何もしません。
FIPSモードを無効にする方法(または必要に応じて有効にする方法)
政府のコンピューターを使用していて、強制されない限り、この設定を有効にしないでください。この設定を有効にすると、一部のコンシューマーアプリケーションは、正しく機能できるようにFIPSモードを無効にするように実際に要求する場合があります。
FIPSモードを有効または無効にする必要がある場合-有効にした後にエラーメッセージが表示される場合は、FIPSモードが有効になっているコンピューターでソフトウェアがどのように動作するかをテストする必要があります。または、政府機関のコンピューターを使用していて、それを有効にするには–いくつかの方法でそうすることができます。 FIPSモードは、特定のネットワークに接続されている場合、または常に適用されるシステム全体の設定を介してのみ有効にできます。
特定のネットワークに接続している場合にのみFIPSモードを有効にするには、次の手順を実行します。
- コントロールパネルウィンドウを開きます。
- [ネットワークとインターネット]の下の[ネットワークステータスとタスクの表示]をクリックします。
- 「アダプタ設定の変更」をクリックします。
- FIPSを有効にするネットワークを右クリックし、「ステータス」を選択します。
- Wi-Fiステータスウィンドウの「ワイヤレスプロパティ」ボタンをクリックします。
- ネットワークプロパティウィンドウの「セキュリティ」タブをクリックします。
- 「詳細設定」ボタンをクリックします。
- 802.11設定で[このネットワークの連邦情報処理標準(FIPS)準拠を有効にする]オプションを切り替えます。
この設定は、グループポリシーエディターでシステム全体で変更することもできます。このツールは、WindowsのProfessional、Enterprise、およびEducationバージョンでのみ使用でき、Homeバージョンでは使用できません。使用できるのは ローカルグループポリシーエディター コンピューターのグループポリシー設定を管理しているドメインに参加していないコンピューターを使用している場合は、このツールを変更します。コンピューターがドメインに参加していて、グループポリシー設定が組織によって一元管理されている場合、自分で変更することはできません。グループポリシーでこの設定を変更するには:
- Windowsキー+ Rを押して、[実行]ダイアログを開きます。
- [ファイル名を指定して実行]ダイアログボックスに「gpedit.msc」と入力し(引用符なし)、Enterキーを押します。
- グループポリシーエディターで[コンピューターの構成]、[Windowsの設定]、[セキュリティの設定]、[ローカルポリシー]、[セキュリティのオプション]の順に移動します。
- 右ペインで「システム暗号化:暗号化、ハッシュ、および署名にFIPS準拠のアルゴリズムを使用する」設定を見つけてダブルクリックします。
- 設定を「無効」に設定し、「OK」をクリックします。
- コンピューターを再起動します。
ホームバージョンのWindowsでも、レジストリ設定を介してFIPS設定を有効または無効にできます。 FIPSが有効か無効かを確認するには レジストリ内 、次の手順に従います。
- Windowsキー+ Rを押して、[実行]ダイアログを開きます。
- [実行]ダイアログボックス(引用符なし)に「regedit」と入力し、Enterキーを押します。
- 「HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \」に移動します。
- 右ペインの「有効」値を確認します。 「0」に設定されている場合、FIPSモードは無効になります。 「1」に設定すると、FIPSモードが有効になります。設定を変更するには、「有効」の値をダブルクリックして、「0」または「1」に設定します。
- コンピューターを再起動します。
おかげで @SwiftOnSecurity この投稿を刺激してくれたTwitterで!
