Hvorfor du ikke bør aktivere "FIPS-kompatibel" kryptering på Windows

Jul 12, 2025
Personvern og sikkerhet

Windows har en skjult innstilling som bare aktiverer statlig sertifisert "FIPS-kompatibel" kryptering . Det kan høres ut som en måte å øke PC-ens sikkerhet, men det er det ikke. Du bør ikke aktivere denne innstillingen med mindre du jobber i myndighetene eller trenger å teste hvordan programvaren vil oppføre seg på offentlige PC-er.

Denne justeringen passer rett sammen med andre unyttig Windows tweaking myter . Hvis du har snublet over denne innstillingen i Windows eller sett den nevnt andre steder, må du ikke aktivere den. Hvis du allerede har aktivert det uten god grunn, kan du bruke trinnene nedenfor for å deaktivere “FIPS-modus”.

Hva er FIPS-kompatibel kryptering?

I SLEKT: 10 Windows Tweaking Myts Debunked

FIPS står for "Federal Information Processing Standards." Det er et sett med myndighetsstandarder som definerer hvordan visse ting brukes i myndighetene - for eksempel krypteringsalgoritmer. FIPS definerer visse spesifikke krypteringsmetoder som kan brukes, samt metoder for å generere krypteringsnøkler. Den er utgitt av National Institute of Standards and Technology, eller NIST.

Innstillingen i Windows er i samsvar med den amerikanske regjeringen FIPS 140. Når den er aktivert, tvinger den Windows til å bare bruke FIPS-validerte krypteringsordninger og råder applikasjoner til å gjøre det også.

"FIPS-modus" gjør ikke Windows sikrere. Det blokkerer bare tilgang til nyere kryptografiske ordninger som ikke er FIPS-validert. Det betyr at den ikke kan bruke nye krypteringsordninger eller raskere måter å bruke de samme krypteringsskjemaene på. Med andre ord gjør det datamaskinen tregere, mindre funksjonell og uten tvil mindre sikre.

Hvordan Windows oppfører seg annerledes hvis du aktiverer denne innstillingen

Microsoft forklarer hva denne innstillingen faktisk gjør i et blogginnlegg med tittelen “ Hvorfor anbefaler vi ikke "FIPS-modus" lenger . ” Microsoft anbefaler bare at du bruker FIPS-modus hvis du må. For eksempel, hvis du bruker en amerikansk regjeringscomputer, skal datamaskinen ha "FIPS-modus" aktivert i henhold til myndighetens egne regler. Det er ingen reelle tilfeller der du vil aktivere dette på din egen personlige datamaskin - med mindre du testet hvordan programvaren din oppfører seg på amerikanske myndigheters datamaskiner med denne innstillingen aktivert.

Denne innstillingen gjør to ting mot selve Windows. Det tvinger Windows og Windows-tjenester til å bare bruke FIPS-validert kryptografi. For eksempel fungerer Schannel-tjenesten som er innebygd i Windows ikke med eldre SSL 2.0- og 3.0-protokoller, og vil kreve minst TLS 1.0 i stedet.

Microsofts .NET-rammeverk vil også blokkere tilgang til algoritmer som ikke er FIPS-validert. .NET-rammeverket tilbyr flere forskjellige algoritmer for de fleste kryptografi-algoritmer, og ikke alle har til og med blitt sendt inn for validering. Som et eksempel bemerker Microsoft at det er tre forskjellige versjoner av SHA256-hashingalgoritmen i .NET-rammeverket. Den raskeste er ikke sendt inn for validering, men skal være like sikker. Så å aktivere FIPS-modus vil enten bryte .NET-applikasjoner som bruker den mer effektive algoritmen eller tvinge dem til å bruke den mindre effektive algoritmen og være tregere.

Bortsett fra disse to tingene, kan aktivering av FIPS-modus anbefale applikasjoner at de også bare bruker FIPS-validert kryptering. Men det tvinger ikke noe annet. Tradisjonelle Windows-skrivebordsprogrammer kan velge å implementere hvilken som helst krypteringskode de vil ha - til og med fryktelig sårbar kryptering - eller ingen kryptering i det hele tatt. FIPS-modus gjør ikke noe med andre applikasjoner med mindre de følger denne innstillingen.

Slik deaktiverer du FIPS-modus (eller aktiverer det hvis du må)

Du bør ikke aktivere denne innstillingen med mindre du bruker en offentlig datamaskin og er tvunget til å gjøre det. Hvis du aktiverer denne innstillingen, kan noen forbrukerapplikasjoner faktisk be deg om å deaktivere FIPS-modus, slik at de kan fungere skikkelig.

Hvis du trenger å aktivere eller deaktivere FIPS-modus - kanskje du har sett en feilmelding etter at du har aktivert den, må du teste hvordan programvaren din vil oppføre seg på en datamaskin med FIPS-modus aktivert, eller om du bruker en statlig datamaskin og har for å aktivere det - du kan gjøre det på flere måter. FIPS-modus kan bare aktiveres når den er koblet til et bestemt nettverk, eller via en systemomfattende innstilling som alltid vil gjelde.

For å aktivere FIPS-modus bare når den er koblet til et bestemt nettverk, gjør du følgende:

  1. Åpne Kontrollpanel-vinduet.
  2. Klikk på "Vis nettverksstatus og oppgaver" under Nettverk og Internett.
  3. Klikk på "Endre adapterinnstillinger."
  4. Høyreklikk på nettverket du vil aktivere FIPS for, og velg "Status".
  5. Klikk på "Trådløse egenskaper" -knappen i Wi-Fi-statusvinduet.
  6. Klikk på "Sikkerhet" -fanen i nettverksegenskapsvinduet.
  7. Klikk på “Avanserte innstillinger” -knappen.
  8. Veksle alternativet "Aktiver Federal Information Processing Standards (FIPS) compliance for dette nettverket" under 802.11-innstillinger.

Denne innstillingen kan også endres hele systemet i redigeringsprogrammet for gruppepolicy. Dette verktøyet er bare tilgjengelig i Professional-, Enterprise- og Education-versjoner av Windows – ikke Home-versjoner. Du kan bare bruke lokal gruppepolitisk redaktør for å endre dette verktøyet hvis du er på en datamaskin som ikke er koblet til et domene som administrerer datamaskinens gruppepolicyinnstillinger for deg. Hvis datamaskinen din er koblet til et domene og gruppepolicyinnstillingene administreres sentralt av organisasjonen din, vil du ikke kunne endre det selv. Slik endrer du denne innstillingen i gruppepolicy:

  1. Trykk på Windows-tasten + R for å åpne Kjør-dialogboksen.
  2. Skriv "gpedit.msc" i dialogboksen Kjør (uten anførselstegn) og trykk Enter.
  3. Naviger til “Computer Configuration \ Windows Settings \ Security Settings \ Local Policies \ Security Options” i gruppepolicyeditoren.
  4. Finn innstillingen "Systemkryptografi: Bruk FIPS-kompatible algoritmer for kryptering, hashing og signering" i høyre rute og dobbeltklikk på den.
  5. Sett innstillingen til "Deaktivert" og klikk "OK".
  6. Start datamaskinen på nytt.

På hjemmeversjoner av Windows kan du fortsatt aktivere eller deaktivere FIPS-innstillingen via en registerinnstilling. For å sjekke om FIPS er aktivert eller deaktivert i registeret , følg følgende trinn:

  1. Trykk på Windows-tasten + R for å åpne Kjør-dialogboksen.
  2. Skriv "regedit" i dialogboksen Kjør (uten anførselstegn) og trykk Enter.
  3. Naviger til “HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \”.
  4. Se på "Aktivert" -verdien i høyre rute. Hvis den er satt til "0", er FIPS-modus deaktivert. Hvis den er satt til "1", er FIPS-modus aktivert. For å endre innstillingen, dobbeltklikk på "Enabled" -verdien og sett den til enten "0" eller "1".
  5. Start datamaskinen på nytt.

Takk til @SwiftOnSecurity på Twitter for å inspirere dette innlegget!

.post-innhold .inngangs-bunntekst

Why You Shouldn’t Enable “FIPS-compliant” Encryption On Windows

Personvern og sikkerhet - Mest populære artikler

Slik tilbakestiller du Roku

Personvern og sikkerhet Jun 30, 2025

UCACHED INNHOLD Gi bort Roku-en din? Enten du gir den til en venn eller selger den online, vil du sannsynligvis ikke la Roku-kontoen din være koblet til enheten. Den kon..

Hvordan åpner du en Windows-brannmurmelding?

Personvern og sikkerhet Dec 13, 2024

Hvis du setter opp et nytt program som trenger nettverkstilgang, men ikke følger nøye med, kan det hende at du ved et uhell får Windows-brannmuren til å blokkere programmet. Hvo..

Hvordan gjøre alle dine tidligere Facebook-innlegg mer private

Personvern og sikkerhet Jul 13, 2025

Når du legger ut på Facebook, kan du velg hvem som vil se innlegget , samt alle fremtidige innlegg. Men hva om du vil begrense hvem som kan se alle innleggene du ha..

Saken mot rot: Hvorfor Android-enheter ikke kommer forankret

Personvern og sikkerhet Jun 20, 2025

UCACHED INNHOLD Vi har skrevet om å rote Android-smarttelefonene og nettbrettene dine tidligere, men hvorfor kommer de ikke forankret? Google hevder at rooting er en feil av sikk..

Hvordan skrive ut skjult tekst i Word

Personvern og sikkerhet Aug 26, 2025

Word gjør det enkelt å formatere tekst som skjult, slik at den ikke kan vises eller skrives ut. Hva om du vil ha litt tekst skjult på skjermen, men du vil være i stand til å sk..

Firefox 4 Endelig utgitt, og det ser ut som Opera [Screenshot Tour]

Personvern og sikkerhet Mar 22, 2025

Firefox 4 er endelig utgitt, og selv om det ser veldig ut som Opera, er det ingen tvil om at den er raskere, bedre og en allsidig flott oppgradering fra 3.6. Her er et par høydepun..

Automatiser Windows 7 vedlikeholdsoppgaver for å holde PCen din i gang som ny

Personvern og sikkerhet Jul 9, 2025

UCACHED INNHOLD Med en Windows-datamaskin er det flere vedlikeholdsoppgaver du bør kjøre regelmessig, selv om de fleste av oss glemmer. Slik automatiserer du de viktigste vedlikeholdsoppg..

Ulike versjoner av CC Cleaner med Yahoo! ??

Personvern og sikkerhet Sep 16, 2025

UCACHED INNHOLD I dag kjørte jeg på en ny versjon av CC Cleaner v 2.06 som inkluderer Yahoo Toolbar med installasjonen. I henhold til instruksjonene lar dette deg bruke CC Cleaner fra net..

Kategorier