sv.phhsnews.com


sv.phhsnews.com / Varför bör du inte aktivera "FIPS-kompatibel" -kryptering i Windows

Varför bör du inte aktivera "FIPS-kompatibel" -kryptering i Windows


Windows har en dold inställning som endast tillåter regeringskert "FIPS-kompatibel" kryptering. Det kan låta som ett sätt att öka din dators säkerhet, men det är det inte. Du bör inte aktivera den här inställningen om du inte arbetar i regeringen eller behöver testa hur mjukvaran kommer att fungera på regeringens datorer.

Denna tweak passar rätt tillsammans med andra värdelösa Windows tweaking myter. Om du har snubblat över den här inställningen i Windows eller sett den som nämns någon annanstans, aktivera inte den. Om du redan har aktiverat det utan bra skäl, använd stegen nedan för att inaktivera "FIPS-läget".

Vad är FIPS-kompatibel kryptering?

RELATERAD: 10 Windows Tweaking Myths Debunked

FIPS står för "Federal Information Processing Standards." Det är en uppsättning regeringens standarder som definierar hur vissa saker används i regeringen, till exempel krypteringsalgoritmer. FIPS definierar vissa specifika krypteringsmetoder som kan användas, liksom metoder för att generera krypteringsnycklar. Det publiceras av National Institute of Standards and Technology eller NIST.

Inställningen i Windows överensstämmer med USA: s regering FIPS 140-standard. När det är aktiverat, tvingar det Windows att endast använda FIPS-validerade krypteringssystem och rekommenderar även applikationer att göra det.

"FIPS-läge" gör inte Windows säkrare. Det blockerar bara tillgång till nyare krypteringssystem som inte har blivit FIPS-validerade. Det betyder att det inte kommer att kunna använda nya krypteringssystem eller snabbare sätt att använda samma krypteringssystem. Med andra ord gör datorn din långsammare, mindre funktionell och utan tvekan mindre säker.

Hur Windows fungerar annorlunda om du aktiverar den här inställningen

Microsoft förklarar vad den här inställningen faktiskt gör i ett blogginlägg med titeln "Varför rekommenderar vi inte" FIPS Mode "Anymore." Microsoft rekommenderar endast att du använder FIPS-läget om du måste. Om du till exempel använder en amerikansk regeringsdator, ska den datorn ha "FIPS-läge" aktiverat enligt regeringens egna regler. Det finns inget riktigt fall där du vill aktivera det här på din egen dator, om du inte testar hur din programvara beter sig på amerikanska regeringar med den här inställningen.

Denna inställning gör två saker till Windows själv. Det tvingar Windows och Windows-tjänster att endast använda FIPS-validerad kryptering. Schannel-tjänsten som är inbyggd i Windows fungerar inte med äldre SSL 2.0 och 3.0-protokoll och kräver i stället åtminstone TLS 1.0.

Microsofts .NET-ramverk blockerar också åtkomst till algoritmer som inte är FIPS-validerade . .NET Framework erbjuder flera olika algoritmer för de flesta krypteringsalgoritmer, och inte alla har ens inlämnats för validering. Som ett exempel noterar Microsoft att det finns tre olika versioner av SHA256 hashing-algoritmen i .NET-ramen. Den snabbaste har inte lämnats in för validering, men bör vara lika säker. Så att aktivera FIPS-läge bryter antingen .NET-applikationer som använder den mer effektiva algoritmen eller tvingar dem att använda den mindre effektiva algoritmen och blir långsammare.

Bortsett från dessa två saker rekommenderar man att FIPS-läge rekommenderar att program som de använder endast FIPS- validerad kryptering också. Men det tvingar inte något annat. Traditionella Windows-skrivbordsapplikationer kan välja att implementera någon krypteringskod som de vill ha - till och med grymt sårbar kryptering - eller ingen kryptering alls. FIPS-läget gör ingenting för andra applikationer om de inte följer denna inställning.

Så här inaktiverar du FIPS-läge (eller aktivera det, om du måste)

Du bör inte aktivera den här inställningen om du inte använder en regeringens dator och är tvungna att Om du aktiverar den här inställningen kan vissa konsumentprogram låta dig avaktivera FIPS-läget så att de kan fungera korrekt.

Om du vill aktivera eller inaktivera FIPS-läget - kanske du har sett ett felmeddelande när du aktiverat det, Du måste testa hur din programvara ska fungera på en dator med FIPS-läge aktiverat, eller om du använder en regeringsdator och måste aktivera den - du kan göra det på flera sätt. FIPS-läget kan endast aktiveras när det är anslutet till ett visst nätverk eller via en systemövergripande inställning som alltid gäller.

Gör så här om du vill aktivera FIPS-läge endast när du är anslutet till ett visst nätverk:

  1. Öppna kontrollpanelfönstret.
  2. Klicka på "Visa nätverksstatus och uppgifter" under Nätverk och Internet.
  3. Klicka på "Ändra adapterinställningar . "
  4. Högerklicka på nätverket som du vill aktivera FIPS för och välj" Status ".
  5. Klicka på knappen" Trådlösa egenskaper "i fönstret Wi-Fi-status.
  6. Klicka på fliken" Säkerhet "i fönstret för nätverksegenskaper.
  7. Klicka på knappen "Avancerade inställningar".
  8. Växla till "Aktivera Federal Information Processing Standards (FIPS) compliance för detta nätverk" under 802.11-inställningar.

Denna inställning kan också ändras -somfattande i grupppolisredaktören. Det här verktyget är endast tillgängligt på Professional, Enterprise och Education versioner av Windows, inte hemversioner. Du kan bara använda den lokala grupppolisredigeraren för att ändra det här verktyget om du är på en dator som inte är ansluten till en domän som hanterar datorns grupppolicyinställningar för dig. Om din dator är ansluten till en domän och grupppolicyinställningarna hanteras centralt av din organisation, kan du inte ändra det själv. För att ändra den här inställningen i grupppolicy:

  1. Tryck på Windows-tangenten + R för att öppna dialogrutan Kör.
  2. Skriv "gpedit.msc" i dialogrutan Kör (utan citat) och tryck på Enter.
  3. Navigera till "Datorkonfiguration Windows-inställningar Säkerhetsinställningar Lokala policies Säkerhetsalternativ" i grupprincipredigeraren.
  4. Leta reda på "Systemkryptografi: Använd FIPS-kompatibla algoritmer för kryptering, hashing och signering" i den högra rutan och dubbel
  5. Ställ in inställningen på "Disabled" och klicka på "OK".
  6. Starta om datorn.

På Hemversioner av Windows kan du fortfarande aktivera eller inaktivera FIPS-inställningen via en registerinställning. För att kontrollera om FIPS är aktiverat eller inaktiverat i registret följer du följande steg:

  1. Tryck på Windows-tangenten + R för att öppna dialogrutan Kör.
  2. Skriv "regedit" i dialogrutan Kör (utan citat) och tryck på Ange.
  3. Navigera till "HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa FipsAlgorithmPolicy ".
  4. Titta på "Enabled" -värdet i den högra rutan. Om den är inställd på "0", är FIPS-läge inaktiverat. Om den är inställd på "1" är FIPS-läge aktiverat. För att ändra inställningen dubbelklickar du på "Enabled" -värdet och ställer in det på antingen "0" eller "1".
  5. Starta om datorn.


Tack vare @SwiftOnSecurity på Twitter för att inspirera detta inlägg!


Hur man väljer, formaterar och arbetar med text på iPhone

Hur man väljer, formaterar och arbetar med text på iPhone

Skrivning på en telefon är sällan kul. Lyckligtvis gör det lite enklare med iOS med alternativ att kopiera och klistra in, dela text, slå upp ord och utföra en rad andra formateringsalternativ. Så här arbetar du med text på din iPhone eller iPad som en mästare. Välja text på en iPhone är en enkel sak att placera fingret på det objekt du vill markera tills du får de två valhandtagen.

(how-to)

Använd din Macs Preview App för att beskära, ändra storlek, rotera och redigera bilder

Använd din Macs Preview App för att beskära, ändra storlek, rotera och redigera bilder

Appens förhandsgranskningsapp innehåller inte bara PDF-redigeringsfunktioner. Det är också en bra liten bildredigerare. Förhandsgranskning erbjuder grundläggande verktyg för beskärning, resizing, rotering, annotering och annars tweaking av bilder. Precis som QuickTime aldrig kommer att ersätta iMovie trots alla användbara funktioner för mediaredigering, kommer Preview aldrig att ersätta Photoshop eller till och med iPhoto.

(how-to)