Kenapa Anda Tidak Boleh Aktifkan Penyesuaian FIPS Penyulitan pada Windows
Windows mempunyai tetapan tersembunyi yang akan membolehkan hanya penyulitan "disesuaikan dengan FIPS" kerajaan. Ia mungkin terdengar seperti cara untuk meningkatkan keselamatan PC anda, tetapi tidak. Anda tidak boleh mendayakan tetapan ini melainkan jika anda bekerja di kerajaan atau perlu menguji bagaimana perisian akan bertindak pada PC kerajaan.
Tweak ini betul-betul bersesuaian dengan mitos tweak Windows lain yang tidak berguna. Jika anda telah tersandung pada tetapan ini di Windows atau melihatnya disebut di tempat lain, jangan aktifkannya. Sekiranya anda sudah mendayakannya tanpa alasan yang baik, gunakan langkah-langkah di bawah untuk melumpuhkan mod "FIPS".
Apakah Enkripsi yang terserah padanya?
FIPS bermaksud "Standard Pemprosesan Maklumat Persekutuan." Ini adalah satu set piawaian kerajaan yang menentukan bagaimana perkara-perkara tertentu digunakan dalam kerajaan-contohnya, algoritma penyulitan. FIPS mendefinisikan kaedah penyulitan tertentu tertentu yang boleh digunakan, serta kaedah untuk menghasilkan kunci penyulitan. Ia diterbitkan oleh Institut Standard dan Teknologi Kebangsaan, atau NIST.
Tetapan di Windows mematuhi piawaian FIPS 140 kerajaan AS. Apabila ia diaktifkan, ia memaksa Windows untuk menggunakan skema penyulitan tersahkan FIPS dan menasihati aplikasi untuk melakukannya, juga.
"Mod FIPS" tidak menjadikan Windows lebih selamat. Ia hanya menghalang akses kepada skrip kriptografi yang lebih baru yang tidak diluluskan. Ini bermakna ia tidak dapat menggunakan skim penyulitan baru, atau cara yang lebih cepat menggunakan skim penyulitan yang sama. Dengan kata lain, ia menjadikan komputer anda lebih perlahan, kurang berfungsi, dan boleh dikatakan kurang selamat.
Bagaimana Windows Berubah Berbeza Jika Anda Membolehkan Tetapan Ini
Microsoft menjelaskan apa sebenarnya tetapan ini dalam catatan blog bertajuk "Mengapa Kami Tidak Merekomendasikan" Mod Mod "Lagi." Microsoft hanya mengesyorkan anda menggunakan mod FIPS jika anda perlu. Sebagai contoh, jika anda menggunakan komputer kerajaan AS, komputer itu sepatutnya mempunyai mod "FIPS" yang dibolehkan mengikut peraturan kerajaan sendiri. Tidak ada kes sebenar di mana anda ingin mendayakan ini pada komputer peribadi anda-melainkan anda telah menguji bagaimana perisian anda berkelakuan pada komputer kerajaan AS dengan tetapan ini didayakan.
Tetapan ini melakukan dua perkara kepada Windows sendiri. Ia memaksa perkhidmatan Windows dan Windows untuk menggunakan hanya cryptography yang sah. Sebagai contoh, perkhidmatan Schannel yang dibina ke dalam Windows tidak akan berfungsi dengan protokol SSL 2.0 dan 3.0 yang lebih lama, dan memerlukan sekurang-kurangnya TLS 1.0.
Rangka kerja Microsoft.NET juga akan menyekat akses ke algoritma yang tidak dikesahkan FIPS. Rangka kerja NET menyediakan beberapa algoritma yang berbeza untuk kebanyakan algoritma kriptografi, dan tidak semuanya telah dikemukakan untuk pengesahan. Sebagai contoh, Microsoft menyatakan bahawa terdapat tiga versi algoritma hash SHA256 dalam rangka NET. Yang terpantas belum diserahkan untuk pengesahan, tetapi sepatutnya selamat. Jadi membolehkan mod FIPS akan memecahkan aplikasi NET yang menggunakan algoritma yang lebih efisien atau memaksa mereka menggunakan algoritma yang kurang efisien dan perlahan.
Selain dari kedua-dua perkara tersebut, membolehkan mod FIPS mengesyorkan kepada aplikasi yang mereka gunakan hanya penyulitan tersahkan FIPS. Tetapi ia tidak memaksa apa-apa lagi. Aplikasi desktop Windows tradisional boleh memilih untuk melaksanakan mana-mana kod penyulitan yang mereka mahu-walaupun menyulitkan penyulitan-atau tidak ada penyulitan sama sekali. Mod FIPS tidak melakukan apa-apa pada aplikasi lain kecuali mereka mematuhi tetapan ini.
Bagaimana untuk Matikan Mod FIPS (atau Enable It, If You Have To)
Anda tidak boleh mendayakan tetapan ini melainkan anda menggunakan komputer kerajaan dan terpaksa. Jika anda mendayakan tetapan ini, sesetengah aplikasi pengguna sememangnya boleh meminta anda melumpuhkan mod FIPS supaya ia berfungsi dengan baik.
Sekiranya anda perlu mengaktifkan atau menyahdayakan mod mod-mungkin anda telah melihat mesej ralat selepas anda mendayakannya, anda perlu menguji bagaimana perisian anda akan berkelakuan pada komputer dengan mode FIPS diaktifkan, atau anda menggunakan komputer kerajaan dan mempunyai untuk membolehkannya-anda boleh berbuat demikian dalam beberapa cara. Mod FIPS boleh diaktifkan hanya apabila disambungkan ke rangkaian tertentu, atau melalui tetapan seluruh sistem yang akan sentiasa terpakai.
Untuk mengaktifkan mod FIPS hanya apabila disambungkan ke rangkaian tertentu, lakukan langkah-langkah berikut:
- Buka tetingkap Panel Kawalan.
- Klik "Lihat status dan tugas rangkaian" di bawah Rangkaian dan Internet.
- Klik "Tukar tetapan penyesuai."
- Klik kanan rangkaian yang anda mahu untuk mengaktifkan FIPS dan pilih "Status."
- Klik butang "Properties Wireless" dalam tetingkap Status Wi-Fi.
- Klik tab "Keselamatan" dalam tetingkap sifat rangkaian.
- Klik butang "Tetapan lanjutan".
- Togol "Aktifkan pilihan Pemprosesan Maklumat Persekutuan (FIPS) untuk rangkaian ini" pilihan di bawah tetapan 802.11.
Tetapan ini juga boleh diubah secara menyeluruh ke dalam editor dasar kumpulan. Alat ini hanya terdapat pada versi Windows-bukan Rumah versi Profesional, Perusahaan, dan Pendidikan. Anda hanya boleh menggunakan editor dasar kumpulan tempatan untuk menukar alat ini jika anda berada di komputer yang tidak disertai dengan domain yang mengurus tetapan dasar kumpulan komputer anda untuk anda. Sekiranya komputer anda disatukan ke domain dan tetapan dasar kumpulan diuruskan secara berpusat oleh organisasi anda, anda tidak akan dapat mengubahnya sendiri. Untuk menukar tetapan ini dalam Dasar Kumpulan:
- Tekan Windows Key + R untuk membuka dialog Run.
- Taip "gpedit.msc" ke dalam kotak dialog Main (tanpa petikan) dan tekan Enter.
- Navigasi ke "Konfigurasi Komputer \ Windows Settings \ Tetapan Keselamatan \ Templat Lokal \ Opsyen Keselamatan" di Editor Dasar Kumpulan.
- Cari "Sistem kriptografi: Gunakan algoritma mematuhi FIPS untuk penyulitan, hashing dan tandatangan" pada tetingkap kanan dan klik dua kali.
- Tetapkan tetapan ke "Dilumpuhkan" dan klik "OK."
- Mulakan semula komputer.
Pada Windows Home versi, anda masih boleh mendayakan atau melumpuhkan tetapan FIPS melalui tetapan registri. Untuk memeriksa sama ada FIPS diaktifkan atau dilumpuhkan dalam pendaftaran, ikut langkah-langkah berikut:
- Tekan Windows Key + R untuk membuka dialog Run.
- Ketik "regedit" ke dalam kotak dialog Run (tanpa petikan) dan tekan Enter.
- Navigasi ke "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
- Lihat nilai "Dipanaskan" dalam anak tetingkap kanan. Jika ia ditetapkan kepada "0", mod FIPS dinyahdayakan. Jika ia ditetapkan kepada "1", mod FIPS diaktifkan. Untuk menukar tetapan, klik dua kali nilai "Diaktifkan" dan tetapkannya sama ada "0" atau "1".
- Mulakan semula komputer.
Terima kasih kepada @SwiftOnSecurity di Twitter untuk memberi inspirasi kepada siaran ini!