Чтобы защитить свою рабочую станцию Windows 7 Pro x64, я включил FIPS в редакторе локальной политики безопасности.
Security Settings/Local Policies/Security Options/
System cryptography: Use FIPS compliant algorithms for encryption, hashing and signing = Enabled
Я больше не могу получить доступ к своему ноутбуку XP Pro SP3 x32 через удаленный рабочий стол, а моя локальная виртуальная машина XP Mode больше не принимает автоматический вход или инструменты интеграции.
Я включил эту функцию в обеих средах XP, но это не помогло. Отключение этой функции на моем ПК с Windows 7 снова включило ее. Я смог подключиться в обоих направлениях между моим ноутбуком с Windows 7 Pro x64 и моей рабочей станцией с включенным FIPS на обоих.
Я что-то пропустил?
решение1
Включение FIPS не помогает защитить что-либо. Это только для людей, которым абсолютно необходимо включить его, независимо от того, насколько он сломается, и у которых нет выбора. Если у вас есть выбор, не включайте его. FIPS — это вопрос соответствия нормативным требованиям, и соответствие нормативным требованиям, которые вам не нужно соблюдать, — это огромные расходы с нулевой отдачей.
Хотите верьте, хотите нет, но даже те, кто подтолкнул Microsoft к поддержке FIPS, не включают ее. Им просто нужно поставить галочку в поле «Соответствует FIPS» в своих формах покупки. Но они не обязаны ее включать, и они этого не делают по тем же причинам, по которым не должны делать и вы.
Никого не волнует, работает ли режим FIPS, важно, чтобы он был совместим с FIPS. Опять же, нет требования, чточто-либоработать в режиме FIPS. Так что если не работает, это не считается проблемой, которую стоит исправлять. Включение режима FIPS отключает все, что не соответствует FIPS.
решение2
Этот ответ кажется немного резким. Включение режима соответствия FIPS-140 на самом деле обеспечивает некоторую защиту. Он предотвращает использование более слабой криптосхемы, что является защитным.
Это можно вывести, на самом деле, из комментария выше, что "это радикально сокращает выбор, который имеет система" - это удаляет криптографические схемы, которые больше не считаются подходящими федеральными властями. И как отмечено в ответе, "Включение режима FIPS 140 отключает все, что не соответствует FIPS". То, что не соответствует FIPS 140, не будетизвестенработать.
Оказывается, это хорошо. За первые пять лет программы проверки криптомодулей было обнаружено, что 25% представленных пакетов имели ошибки в документации, а 8% имели ошибки в реализации. То есть, если вы зависели от уже существующего коммерческого пакета, был примерно один шанс из двенадцати, что он был сломан и не обеспечивал НИКАКОЙ защиты, кроме дыма.
Но тон сообщения — что включение дисциплины FIPS 140 ломает все — увы, правильный. Криптография — это сложно. Программисты часто не обладают дисциплиной, чтобы делать это правильно, особенно с устаревшим программным обеспечением. Если вы не находитесь в федеральной среде, где выдолженделают это, большинство людейнесделай это.
Но это, по-видимому, меняется. Предприятия ожидают от своих кодеров дисциплинированной инженерии безопасности. Я слышу, как клиенты говорят: «Знаете, есть этот STIG, который используют федералы, разве мы не должны это сделать?» Наличие стандартов (а FIPS — это просто «Федеральные стандарты обработки информации») — это хорошо, оно поддерживает совместимость и точность.
Поэтому, если вы правильно включили режим FIPS 140, у вас есть все основания ожидать, что другая сторона, если она правильно настроена, также сможет работать в режиме FIPS 140. Если нет, сообщите об этом как об ошибке поставщику системы!