de.phhsnews.com


de.phhsnews.com / Warum sollten Sie die "FIPS-kompatible" Verschlüsselung unter Windows nicht aktivieren?

Warum sollten Sie die "FIPS-kompatible" Verschlüsselung unter Windows nicht aktivieren?


Windows hat eine versteckte Einstellung, die nur die von der Regierung zertifizierte "FIPS-konforme" Verschlüsselung ermöglicht. Es klingt vielleicht nach einer Möglichkeit, die Sicherheit Ihres PCs zu erhöhen, ist es aber nicht. Sie sollten diese Einstellung nicht aktivieren, es sei denn, Sie arbeiten in der Regierung oder müssen testen, wie sich Software auf Regierungs-PCs verhält.

Diese Optimierung passt genau neben anderen nutzlosen Windows-Optimierungsmythen. Wenn Sie in Windows über diese Einstellung gestolpert sind oder sie an anderer Stelle erwähnt haben, aktivieren Sie sie nicht. Wenn Sie es bereits ohne guten Grund aktiviert haben, verwenden Sie die folgenden Schritte, um den "FIPS-Modus" zu deaktivieren.

Was ist FIPS-kompatible Verschlüsselung?

VERWANDT: 10 Windows Tweaking Mythen entlarvt

FIPS steht für "Federal Information Processing Standards". Es ist eine Reihe von Regierungsstandards, die definieren, wie bestimmte Dinge in der Regierung verwendet werden - zum Beispiel Verschlüsselungsalgorithmen. FIPS definiert bestimmte spezifische Verschlüsselungsmethoden, die verwendet werden können, sowie Methoden zum Generieren von Verschlüsselungsschlüsseln. Es wird vom National Institute of Standards and Technology (NIST) veröffentlicht.

Die Einstellung in Windows entspricht dem FIPS 140-Standard der US-Regierung. Wenn es aktiviert ist, wird Windows gezwungen, nur FIPS-validierte Verschlüsselungsschemas zu verwenden, und Anwendungen werden dazu aufgefordert.

"FIPS-Modus" macht Windows nicht sicherer. Es blockiert nur den Zugriff auf neuere Kryptographieschemata, die nicht FIPS-validiert wurden. Das bedeutet, dass neue Verschlüsselungsschemata oder schnellere Methoden zur Verwendung derselben Verschlüsselungsschemata nicht verwendet werden können. Mit anderen Worten: Ihr Computer wird langsamer, weniger funktional und sicher weniger .

Wie sich Windows anders verhält, wenn Sie diese Einstellung aktivieren

Microsoft erläutert, was diese Einstellung in einem Blogpost tatsächlich bewirkt mit dem Titel "Warum wir nicht empfehlen" FIPS-Modus "Anymore". Microsoft empfiehlt nur, den FIPS-Modus zu verwenden, wenn dies erforderlich ist. Wenn Sie beispielsweise einen Computer der US-Regierung verwenden, sollte dieser Computer den "FIPS-Modus" gemäß den eigenen Vorschriften der Regierung aktiviert haben. Es gibt keinen wirklichen Fall, in dem Sie dies auf Ihrem eigenen Computer aktivieren möchten - es sei denn, Sie testen, wie sich Ihre Software auf Computern der US-Regierung verhält, wenn diese Einstellung aktiviert ist.

Diese Einstellung macht zwei Dinge für Windows selbst. Es zwingt Windows- und Windows-Dienste, nur FIPS-validierte Kryptografie zu verwenden. Beispielsweise funktioniert der in Windows integrierte Schannel-Dienst nicht mit älteren SSL 2.0- und 3.0-Protokollen und erfordert stattdessen mindestens TLS 1.0.

Microsoft .NET Framework blockiert auch den Zugriff auf Algorithmen, die nicht FIPS-validiert sind . Das .NET-Framework bietet verschiedene Algorithmen für die meisten Kryptografiealgorithmen, von denen nicht alle zur Validierung eingereicht wurden. Als ein Beispiel stellt Microsoft fest, dass es im .NET-Framework drei verschiedene Versionen des Hash-Algorithmus SHA256 gibt. Der schnellste wurde nicht zur Validierung eingereicht, sollte aber genauso sicher sein. Wenn Sie also den FIPS-Modus aktivieren, werden entweder .NET-Anwendungen, die den effizienteren Algorithmus verwenden, unterbrochen oder sie werden gezwungen, den weniger effizienten Algorithmus zu verwenden.

Abgesehen von diesen beiden Dingen empfiehlt die Aktivierung des FIPS-Modus den Anwendungen, nur FIPS zu verwenden. validierte Verschlüsselung auch. Aber es zwingt nichts anderes. Herkömmliche Windows-Desktop-Anwendungen können beliebige Verschlüsselungscodes implementieren, die sie möchten - selbst eine entsetzlich verwundbare Verschlüsselung - oder gar keine Verschlüsselung. Der FIPS-Modus führt nur dann zu anderen Anwendungen, wenn er diese Einstellung beachtet.

So deaktivieren Sie den FIPS-Modus (oder aktivieren Sie ihn gegebenenfalls)

Sie sollten diese Einstellung nur aktivieren, wenn Sie a verwenden Regierungscomputer und gezwungen werden. Wenn Sie diese Einstellung aktivieren, werden Sie möglicherweise von einigen Benutzeranwendungen aufgefordert, den FIPS-Modus zu deaktivieren, damit sie ordnungsgemäß funktionieren.

Wenn Sie den FIPS-Modus aktivieren oder deaktivieren müssen - nachdem Sie ihn aktiviert haben, wurde möglicherweise eine Fehlermeldung angezeigt. Sie müssen testen, wie sich Ihre Software auf einem Computer verhält, auf dem der FIPS-Modus aktiviert ist, oder Sie verwenden einen Regierungscomputer und müssen ihn aktivieren - Sie können dies auf verschiedene Arten tun. Der FIPS-Modus kann nur aktiviert werden, wenn eine Verbindung zu einem bestimmten Netzwerk besteht, oder über eine systemweite Einstellung, die immer zutrifft.

Um den FIPS-Modus nur zu aktivieren, wenn Sie mit einem bestimmten Netzwerk verbunden sind, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie das Fenster der Systemsteuerung.
  2. Klicken Sie unter Netzwerk und Internet auf "Netzwerkstatus und Aufgaben anzeigen" . "
  3. Klicken Sie mit der rechten Maustaste auf das Netzwerk, für das Sie FIPS aktivieren möchten, und wählen Sie" Status ".
  4. Klicken Sie im Wi-Fi-Statusfenster auf die Schaltfläche" Drahtlose Eigenschaften ".
  5. Klicken Sie auf die Registerkarte" Sicherheit " das Fenster Netzwerkeigenschaften
  6. Klicken Sie auf die Schaltfläche "Erweiterte Einstellungen".
  7. Aktivieren Sie die Option "FIPS-Konformität für dieses Netzwerk aktivieren" unter 802.11-Einstellungen.
  8. Diese Einstellung kann auch im System geändert werden im Gruppenrichtlinieneditor. Dieses Tool ist nur in Professional-, Enterprise- und Education-Versionen von Windows-Nicht-Home-Versionen verfügbar. Sie können den lokalen Gruppenrichtlinieneditor nur verwenden, um dieses Tool zu ändern, wenn Sie sich auf einem Computer befinden, der nicht Mitglied einer Domäne ist, die die Gruppenrichtlinieneinstellungen Ihres Computers für Sie verwaltet. Wenn Ihr Computer einer Domäne angehört und die Gruppenrichtlinieneinstellungen von Ihrer Organisation zentral verwaltet werden, können Sie diese nicht selbst ändern. So ändern Sie diese Einstellung in der Gruppenrichtlinie:

Drücken Sie die Windows-Taste + R, um das Dialogfeld Ausführen zu öffnen.

  1. Geben Sie "gpedit.msc" in das Dialogfeld Ausführen ein (ohne Anführungszeichen) und drücken Sie die Eingabetaste "Computerkonfiguration Windows-Einstellungen Sicherheitseinstellungen Lokale Richtlinien Sicherheitsoptionen" im Gruppenrichtlinien-Editor.
  2. Suchen Sie im rechten Fensterbereich die Einstellung "Systemkryptografie: FIPS-konforme Algorithmen für Verschlüsselung, Hashing und Signierung verwenden" und doppelklicken Sie darauf -Klicken Sie darauf.
  3. Setzen Sie die Einstellung auf "Disabled" und klicken Sie auf "OK".
  4. Starten Sie den Computer neu.
  5. In Home-Versionen von Windows können Sie die FIPS-Einstellung weiterhin über eine Registrierungseinstellung aktivieren oder deaktivieren. Gehen Sie folgendermaßen vor, um zu überprüfen, ob FIPS in der Registrierung aktiviert oder deaktiviert ist:
  6. Drücken Sie Windows-Taste + R, um den Ausführen-Dialog zu öffnen

Geben Sie "regedit" in das Dialogfeld Ausführen (ohne die Anführungszeichen) ein und drücken Sie Geben Sie ein.

  1. Navigieren Sie zu "HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa FipsAlgorithmPolicy ".
  2. Sehen Sie sich den Wert "Enabled" im rechten Bereich an. Wenn es auf "0" gesetzt ist, ist der FIPS-Modus deaktiviert. Wenn es auf "1" eingestellt ist, ist der FIPS-Modus aktiviert. Um die Einstellung zu ändern, doppelklicken Sie auf den Wert "Enabled" und setzen Sie ihn auf "0" oder "1".
  3. Starten Sie den Computer neu.
  4. Vielen Dank an @SwiftOnSecurity auf Twitter für diesen Beitrag!

  5. Sollten Sie Batterien im Kühlschrank aufbewahren?

    Sollten Sie Batterien im Kühlschrank aufbewahren?

    Einige Leute schwören darauf, ihre Batterien im Kühlschrank aufzubewahren, um die Lebensdauer der Batterie zu verlängern und sie frisch zu halten (Entschuldigung für den offensichtlichen Lebensmittelspaß-Witz) ). Aber hilft es wirklich? Gibt es irgendeinen legitimen Grund, Ihre Batterien in einem Kühlraum zu lagern?

    (how-to)

    So legen Sie einen Zeitplan für Ihr Nest Thermostat fest

    So legen Sie einen Zeitplan für Ihr Nest Thermostat fest

    Ihr Nest Thermostat kann Ihre Einstellungen im Laufe der Zeit lernen und die Temperatur automatisch entsprechend anpassen. Wenn du jedoch spezifische Temperaturen für bestimmte Zeiten programmieren möchtest, kannst du hier einen Zeitplan für dein Nest festlegen. Natürlich kann eine Funktion wie diese auf jedem programmierbaren Thermostat gefunden werden, aber das Nest macht es ziemlich schnell und einfach um einen Zeitplan zu erstellen und dies direkt von deinem Smartphone aus in der Nest App zu tun, aber du kannst es auch direkt am Thermostat selbst tun.

    (how-to)