为了保护我的 Windows 7 Pro x64 工作站,我在本地安全策略编辑器中打开了 FIPS。
Security Settings/Local Policies/Security Options/
System cryptography: Use FIPS compliant algorithms for encryption, hashing and signing = Enabled
我无法再通过远程桌面访问我的 XP Pro SP3 x32 笔记本电脑,并且我的本地 XP Mode 虚拟机不再接受自动登录或集成工具。
我在两个 XP 环境中都启用了该功能,但没用。在 Windows 7 PC 上关闭该功能后,该功能重新启用。我能够在 Windows 7 Pro x64 笔记本电脑和工作站之间双向连接,并且两者都启用了 FIPS。
我是不是漏掉了什么步骤?
答案1
启用 FIPS 并不能保护任何东西。它只适合那些无论它有多坏都必须打开它并且别无选择的人。如果你有选择,就不要打开它。FIPS 是一种监管合规性,遵守你不必遵守的法规会花费巨大而没有任何回报。
不管你信不信,即使是推动微软支持 FIPS 的人也不会启用它。他们只需在购买表格上勾选“符合 FIPS 标准”即可。但他们不需要启用它,他们也不会这么做,原因和你一样。
没人关心 FIPS 模式是否有效,只关心它是否符合 FIPS 标准。同样,没有要求任何事物在 FIPS 模式下工作。因此,如果它不工作,则不认为这是一个值得修复的问题。打开 FIPS 模式会关闭任何不符合 FIPS 要求的功能。
答案2
这个答案似乎有点苛刻。打开 FIPS-140 合规模式确实提供了一些保护。它可以防止使用较弱的加密模式,这是一种保护。
实际上,从上面的评论中可以推断出“它大大减少了系统的选择”——它删除了联邦权力机构不再认为合适的加密方案。正如答案所指出的那样,“打开 FIPS 140 模式会关闭任何不符合 FIPS 要求的东西”。不符合 FIPS 140 要求的东西将不会被已知上班。
事实证明这是件好事。在加密模块验证程序实施的头五年里,人们发现 25% 的提交软件包在文档中存在错误,8% 在实施中存在错误。也就是说,如果你依赖已经存在的商业软件包,那么它被破坏的概率约为十二分之一,而且除了烟雾之外没有提供任何保护。
但消息的语气——启用 FIPS 140 规则会破坏一切——很遗憾,是正确的。加密很难。程序员通常没有正确执行加密的规则,尤其是对于旧版软件。如果你不在联邦环境中,必须大多数人都会这么做不去做吧。
但这种情况显然正在改变。企业希望他们的程序员能够进行严格的安全工程。我听到客户说:“你知道,联邦政府使用 STIG,我们不应该这样做吗?” 拥有标准(FIPS 只是“联邦信息处理标准”)是一件好事,它支持互操作性和准确性。
因此,如果您正确启用了 FIPS 140 模式,您有充分的理由期望另一端(如果配置正确)也能够在 FIPS 140 模式下工作。如果不行,请将其作为错误提交给系统供应商!