de.phhsnews.com


de.phhsnews.com / Warum sollten Sie die "FIPS-kompatible" Verschlüsselung unter Windows nicht aktivieren?

Warum sollten Sie die "FIPS-kompatible" Verschlüsselung unter Windows nicht aktivieren?


Windows hat eine versteckte Einstellung, die nur die von der Regierung zertifizierte "FIPS-konforme" Verschlüsselung ermöglicht. Es klingt vielleicht nach einer Möglichkeit, die Sicherheit Ihres PCs zu erhöhen, ist es aber nicht. Sie sollten diese Einstellung nicht aktivieren, es sei denn, Sie arbeiten in der Regierung oder müssen testen, wie sich Software auf Regierungs-PCs verhält.

Diese Optimierung passt genau neben anderen nutzlosen Windows-Optimierungsmythen. Wenn Sie in Windows über diese Einstellung gestolpert sind oder sie an anderer Stelle erwähnt haben, aktivieren Sie sie nicht. Wenn Sie es bereits ohne guten Grund aktiviert haben, verwenden Sie die folgenden Schritte, um den "FIPS-Modus" zu deaktivieren.

Was ist FIPS-kompatible Verschlüsselung?

VERWANDT: 10 Windows Tweaking Mythen entlarvt

FIPS steht für "Federal Information Processing Standards". Es ist eine Reihe von Regierungsstandards, die definieren, wie bestimmte Dinge in der Regierung verwendet werden - zum Beispiel Verschlüsselungsalgorithmen. FIPS definiert bestimmte spezifische Verschlüsselungsmethoden, die verwendet werden können, sowie Methoden zum Generieren von Verschlüsselungsschlüsseln. Es wird vom National Institute of Standards and Technology (NIST) veröffentlicht.

Die Einstellung in Windows entspricht dem FIPS 140-Standard der US-Regierung. Wenn es aktiviert ist, wird Windows gezwungen, nur FIPS-validierte Verschlüsselungsschemas zu verwenden, und Anwendungen werden dazu aufgefordert.

"FIPS-Modus" macht Windows nicht sicherer. Es blockiert nur den Zugriff auf neuere Kryptographieschemata, die nicht FIPS-validiert wurden. Das bedeutet, dass neue Verschlüsselungsschemata oder schnellere Methoden zur Verwendung derselben Verschlüsselungsschemata nicht verwendet werden können. Mit anderen Worten: Ihr Computer wird langsamer, weniger funktional und sicher weniger .

Wie sich Windows anders verhält, wenn Sie diese Einstellung aktivieren

Microsoft erläutert, was diese Einstellung in einem Blogpost tatsächlich bewirkt mit dem Titel "Warum wir nicht empfehlen" FIPS-Modus "Anymore". Microsoft empfiehlt nur, den FIPS-Modus zu verwenden, wenn dies erforderlich ist. Wenn Sie beispielsweise einen Computer der US-Regierung verwenden, sollte dieser Computer den "FIPS-Modus" gemäß den eigenen Vorschriften der Regierung aktiviert haben. Es gibt keinen wirklichen Fall, in dem Sie dies auf Ihrem eigenen Computer aktivieren möchten - es sei denn, Sie testen, wie sich Ihre Software auf Computern der US-Regierung verhält, wenn diese Einstellung aktiviert ist.

Diese Einstellung macht zwei Dinge für Windows selbst. Es zwingt Windows- und Windows-Dienste, nur FIPS-validierte Kryptografie zu verwenden. Beispielsweise funktioniert der in Windows integrierte Schannel-Dienst nicht mit älteren SSL 2.0- und 3.0-Protokollen und erfordert stattdessen mindestens TLS 1.0.

Microsoft .NET Framework blockiert auch den Zugriff auf Algorithmen, die nicht FIPS-validiert sind . Das .NET-Framework bietet verschiedene Algorithmen für die meisten Kryptografiealgorithmen, von denen nicht alle zur Validierung eingereicht wurden. Als ein Beispiel stellt Microsoft fest, dass es im .NET-Framework drei verschiedene Versionen des Hash-Algorithmus SHA256 gibt. Der schnellste wurde nicht zur Validierung eingereicht, sollte aber genauso sicher sein. Wenn Sie also den FIPS-Modus aktivieren, werden entweder .NET-Anwendungen, die den effizienteren Algorithmus verwenden, unterbrochen oder sie werden gezwungen, den weniger effizienten Algorithmus zu verwenden.

Abgesehen von diesen beiden Dingen empfiehlt die Aktivierung des FIPS-Modus den Anwendungen, nur FIPS zu verwenden. validierte Verschlüsselung auch. Aber es zwingt nichts anderes. Herkömmliche Windows-Desktop-Anwendungen können beliebige Verschlüsselungscodes implementieren, die sie möchten - selbst eine entsetzlich verwundbare Verschlüsselung - oder gar keine Verschlüsselung. Der FIPS-Modus führt nur dann zu anderen Anwendungen, wenn er diese Einstellung beachtet.

So deaktivieren Sie den FIPS-Modus (oder aktivieren Sie ihn gegebenenfalls)

Sie sollten diese Einstellung nur aktivieren, wenn Sie a verwenden Regierungscomputer und gezwungen werden. Wenn Sie diese Einstellung aktivieren, werden Sie möglicherweise von einigen Benutzeranwendungen aufgefordert, den FIPS-Modus zu deaktivieren, damit sie ordnungsgemäß funktionieren.

Wenn Sie den FIPS-Modus aktivieren oder deaktivieren müssen - nachdem Sie ihn aktiviert haben, wurde möglicherweise eine Fehlermeldung angezeigt. Sie müssen testen, wie sich Ihre Software auf einem Computer verhält, auf dem der FIPS-Modus aktiviert ist, oder Sie verwenden einen Regierungscomputer und müssen ihn aktivieren - Sie können dies auf verschiedene Arten tun. Der FIPS-Modus kann nur aktiviert werden, wenn eine Verbindung zu einem bestimmten Netzwerk besteht, oder über eine systemweite Einstellung, die immer zutrifft.

Um den FIPS-Modus nur zu aktivieren, wenn Sie mit einem bestimmten Netzwerk verbunden sind, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie das Fenster der Systemsteuerung.
  2. Klicken Sie unter Netzwerk und Internet auf "Netzwerkstatus und Aufgaben anzeigen" . "
  3. Klicken Sie mit der rechten Maustaste auf das Netzwerk, für das Sie FIPS aktivieren möchten, und wählen Sie" Status ".
  4. Klicken Sie im Wi-Fi-Statusfenster auf die Schaltfläche" Drahtlose Eigenschaften ".
  5. Klicken Sie auf die Registerkarte" Sicherheit " das Fenster Netzwerkeigenschaften
  6. Klicken Sie auf die Schaltfläche "Erweiterte Einstellungen".
  7. Aktivieren Sie die Option "FIPS-Konformität für dieses Netzwerk aktivieren" unter 802.11-Einstellungen.
  8. Diese Einstellung kann auch im System geändert werden im Gruppenrichtlinieneditor. Dieses Tool ist nur in Professional-, Enterprise- und Education-Versionen von Windows-Nicht-Home-Versionen verfügbar. Sie können den lokalen Gruppenrichtlinieneditor nur verwenden, um dieses Tool zu ändern, wenn Sie sich auf einem Computer befinden, der nicht Mitglied einer Domäne ist, die die Gruppenrichtlinieneinstellungen Ihres Computers für Sie verwaltet. Wenn Ihr Computer einer Domäne angehört und die Gruppenrichtlinieneinstellungen von Ihrer Organisation zentral verwaltet werden, können Sie diese nicht selbst ändern. So ändern Sie diese Einstellung in der Gruppenrichtlinie:

Drücken Sie die Windows-Taste + R, um das Dialogfeld Ausführen zu öffnen.

  1. Geben Sie "gpedit.msc" in das Dialogfeld Ausführen ein (ohne Anführungszeichen) und drücken Sie die Eingabetaste "Computerkonfiguration Windows-Einstellungen Sicherheitseinstellungen Lokale Richtlinien Sicherheitsoptionen" im Gruppenrichtlinien-Editor.
  2. Suchen Sie im rechten Fensterbereich die Einstellung "Systemkryptografie: FIPS-konforme Algorithmen für Verschlüsselung, Hashing und Signierung verwenden" und doppelklicken Sie darauf -Klicken Sie darauf.
  3. Setzen Sie die Einstellung auf "Disabled" und klicken Sie auf "OK".
  4. Starten Sie den Computer neu.
  5. In Home-Versionen von Windows können Sie die FIPS-Einstellung weiterhin über eine Registrierungseinstellung aktivieren oder deaktivieren. Gehen Sie folgendermaßen vor, um zu überprüfen, ob FIPS in der Registrierung aktiviert oder deaktiviert ist:
  6. Drücken Sie Windows-Taste + R, um den Ausführen-Dialog zu öffnen

Geben Sie "regedit" in das Dialogfeld Ausführen (ohne die Anführungszeichen) ein und drücken Sie Geben Sie ein.

  1. Navigieren Sie zu "HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa FipsAlgorithmPolicy ".
  2. Sehen Sie sich den Wert "Enabled" im rechten Bereich an. Wenn es auf "0" gesetzt ist, ist der FIPS-Modus deaktiviert. Wenn es auf "1" eingestellt ist, ist der FIPS-Modus aktiviert. Um die Einstellung zu ändern, doppelklicken Sie auf den Wert "Enabled" und setzen Sie ihn auf "0" oder "1".
  3. Starten Sie den Computer neu.
  4. Vielen Dank an @SwiftOnSecurity auf Twitter für diesen Beitrag!

  5. Video und Screenshots von einer Spielkonsole oder TV-Streaming-Box aufnehmen

    Video und Screenshots von einer Spielkonsole oder TV-Streaming-Box aufnehmen

    Sie können Videos (oder Screenshots) von jedem Gerät mit einem HDMI-Kabel oder Composite-Videoausgängen mit einem Basisgerät aufnehmen. Mit einem solchen Gerät könntest du auch das Spiel auf Twitch TV live streamen. Moderne Spielekonsolen - die PlayStation 4, Xbox One und Wii U - haben auch einige nützliche integrierte Screenshot- und Videoaufzeichnungsfunktionen.

    (how-to)

    5 Aufgaben, die in Windows 8 einfacher hätten sein sollen

    5 Aufgaben, die in Windows 8 einfacher hätten sein sollen

    Ich benutze Windows 8 seit einiger Zeit und obwohl ich es gerne benutze, gibt es immer noch einige wirklich nervige Aspekte des Betriebssystems, die ich einfach nicht verstehe. Warum ist es zum Beispiel so schwierig, Dinge zu tun, die früher so einfach waren? Starte deinen Computer neu? Drucken von einer Windows App?

    (How-to)