Windows ir slēpts iestatījums, kas ļaus piekļūt tikai ar valsts sertificētu "FIPS-compliant" šifrēšanu. Tas var izklausīties kā veids, kā uzlabot datora drošību, taču tas tā nav. Šo iestatījumu nevajadzētu iespējot, ja vien jūs neesat strādājis valdībā vai jums ir jāpārbauda, kā programmatūra darbosies valsts datoros.
Šis kniebiens piemērots kopā ar citiem bezjēdzīgi Windows tweaking mīti. Ja jūs esat pakļāvies šim iestatījumam sistēmā Windows vai redzējis citur minētos iestatījumus, to neļaujiet. Ja jūs to jau esat aktivizējis bez pamatota iemesla, izmantojiet tālāk norādītās darbības, lai atspējotu "FIPS režīmu".
FIPS nozīmē "federālos informācijas apstrādes standartus". Tas ir valdības standartu kopums, kas nosaka, kā valdībā tiek izmantotas noteiktas lietas, piemēram, šifrēšanas algoritmi. FIPS definē dažas konkrētas šifrēšanas metodes, kuras var izmantot, kā arī šifrēšanas atslēgu ģenerēšanas metodes. To publicē Nacionālais standartu un tehnoloģiju institūts vai NIST.
Windows iestatījums atbilst ASV valdības FIPS 140 standartam. Ja tas ir aktivizēts, tas liek sistēmai Windows izmantot tikai FIPS apstiprinātas šifrēšanas shēmas, kā arī iesaka lietojumprogrammām to darīt.
"FIPS režīms" nenodrošina Windows drošību. Tas vienkārši bloķē piekļuvi jaunākajām kriptogrāfijas shēmām, kas nav FIPS apstiprinātas. Tas nozīmē, ka tā nevarēs izmantot jaunas šifrēšanas shēmas vai ātrāk izmantot tos pašus šifrēšanas shēmas. Citiem vārdiem sakot, tas padara jūsu datoru lēnāku, mazāk funkcionālu un neapšaubāmi mazāk droši.
Microsoft paskaidro, kāds šis iestatījums faktiski tiek izdarīts emuāra ziņā ar nosaukumu "Kāpēc mēs nevēlamies" FIPS režīmu "vairs." Microsoft tikai iesaka lietot FIPS režīmu, ja jums tas ir. Piemēram, ja jūs izmantojat ASV valdības datoru, domājams, ka šim datoram ir iespējots FIPS režīms saskaņā ar valdības noteikumiem. Nav reāla gadījuma, kad vēlaties to iespējot savā personālajā datorā, ja vien neesat pārbaudījis, kā jūsu programmatūra darbojas uz ASV valdības datoriem, ja šis iestatījums ir iespējots.
Šis iestatījums dara divas lietas ar pašu Windows. Tas liek Windows un Windows pakalpojumiem izmantot tikai FIPS apstiprinātu kriptogrāfiju. Piemēram, Windows sistēmā iebūvētais Schannel pakalpojums nedarbosies ar vecākiem SSL 2.0 un 3.0 protokoliem, un tā vietā būs nepieciešams vismaz TLS 1.0.
Microsoft .NET sistēma arī bloķē piekļuvi algoritmiem, kas nav FIPS apstiprināti. .NET sistēma piedāvā vairākus dažādus algoritmus lielākajai daļai kriptogrāfijas algoritmu, un ne visi no tiem pat ir iesniegti validācijai. Piemēram, Microsoft norāda, ka .NET pamatprogrammā ir trīs dažādas SHA256 maiņas algoritma versijas. Ātrākais no tiem nav iesniegts apstiprināšanai, bet tam jābūt tikpat drošam. FIPS režīma aktivizēšana vai nu pārtrauks .NET lietojumprogrammas, kas izmanto efektīvāku algoritmu, vai piespiež tos izmantot mazāk efektīvu algoritmu, un būt lēnākiem.
Neskatoties uz šīm divām lietām, FIPS režīma ieslēgšana iesaka lietojumprogrammām, kurās tie izmanto tikai FIPS apstiprinātu šifrēšanu. Bet tas neuzliek neko citu. Tradicionālās Windows darbvirsmas lietojumprogrammas var izvēlēties ieviest jebkuru šifrēšanas kodu, ko tās vēlas - pat šausmīgi neaizsargāto šifrēšanu, vai arī nekādu šifrēšanu. FIPS režīms nedara neko citu lietojumprogrammām, ja vien tie nepakļaujas šim iestatījumam.
Jums nevajadzētu iespējot šo iestatījumu, ja vien jūs neizmantojat valdības datoru un esat spiesti to darīt. Ja jūs iespējojat šo iestatījumu, daži patērētāju lietojumi faktiski var lūgt atslēgt FIPS režīmu, lai tie varētu pareizi darboties.
Ja jums ir jāiestata vai jāatspējo FIPS režīms - varbūt pēc tam, kad to esat aktivizējis, esat redzējis kļūdas ziņojumu, jums jāpārbauda, kā programmatūra darbosies datorā ar FIPS režīmu, vai arī jūs izmantojat valdības datoru un lai to varētu izdarīt - to var izdarīt vairākos veidos. FIPS režīmu var aktivizēt tikai tad, ja tas ir savienots ar konkrētu tīklu vai arī visā sistēmas iestatījumos, kas vienmēr tiks piemēroti.
Lai iespējotu FIPS režīmu tikai tad, kad izveidots savienojums ar konkrētu tīklu, veiciet šādas darbības:
Šo iestatījumu grupas politikas redaktorā var mainīt arī visā sistēmā. Šis rīks ir pieejams tikai Windows versijās, nevis Windows versijās. Lai mainītu šo rīku, varat izmantot vietējo grupu politikas redaktoru tikai tad, ja esat datorā, kas nav pievienots domēnam, kas pārvaldīs jūsu datora grupas politikas iestatījumus. Ja jūsu dators ir pievienots domēnam un jūsu grupas politikas iestatījumus centralizēti pārvalda jūsu organizācija, to nevarēs mainīt pats. Lai mainītu šo iestatījumu grupas politikā:
Windows sākuma versijās joprojām varat iespējot vai atspējot FIPS iestatījumu, izmantojot reģistra iestatījumu. Lai pārbaudītu, vai reģistra FIPS ir iespējota vai atspējota, izpildiet šādas darbības:
Paldies @SwiftOnSecurity par čivināt, lai iedvesmotu šo ziņu!