Как Windows ведет себя по-другому, если вы включите этот параметр
Microsoft объясняет, что на самом деле делает этот параметр, в своем блоге, озаглавленном « Почему мы больше не рекомендуем« режим FIPS » .» Microsoft рекомендует использовать режим FIPS, только если это необходимо. Например, если вы используете компьютер правительства США, на этом компьютере должен быть включен «режим FIPS» в соответствии с собственными нормативными актами правительства. Нет реального случая, когда вы захотите включить это на своем персональном компьютере — если только вы не тестировали поведение своего программного обеспечения на компьютерах правительства США с включенным этим параметром.
Этот параметр делает две вещи для самой Windows. Это заставляет службы Windows и Windows использовать только проверенную FIPS криптографию. Например, служба Schannel, встроенная в Windows, не будет работать со старыми протоколами SSL 2.0 и 3.0, и вместо этого потребуется как минимум TLS 1.0.
Microsoft .NET Framework также будет блокировать доступ к алгоритмам, которые не проверены FIPS. .NET Framework предлагает несколько различных алгоритмов для большинства алгоритмов криптографии, и не все из них даже были представлены для проверки. В качестве примера Microsoft отмечает, что в .NET Framework есть три разные версии алгоритма хеширования SHA256. Самый быстрый из них не был представлен для проверки, но должен быть таким же безопасным. Таким образом, включение режима FIPS приведет к поломке приложений .NET, которые используют более эффективный алгоритм, или заставит их использовать менее эффективный алгоритм и будет медленнее.
Помимо этих двух вещей, включение режима FIPS рекомендует приложениям использовать только проверенное шифрование FIPS. Но это не заставляет больше ничего. Традиционные настольные приложения Windows могут выбрать для реализации любой код шифрования, который им нужен — даже ужасно уязвимое шифрование — или вообще не шифровать. Режим FIPS ничего не делает с другими приложениями, если они не подчиняются этому параметру.
What Is FIPS-compliant Encryption?
RELATED: 10 Windows Tweaking Myths Debunked
FIPS stands for “Federal Information Processing Standards.” It’s a set of government standards that define how certain things are used in the government–for example, encryption algorithms. FIPS defines certain specific encryption methods that can be used, as well as methods for generating encryption keys. It’s published by the National Institute of Standards and Technology, or NIST.
The setting in Windows complies with the US government FIPS 140 standard. When it’s enabled, it forces Windows to only use FIPS-validated encryption schemes and advises applications to do so, as well.
“FIPS mode” doesn’t make Windows more secure. It just blocks access to newer cryptography schemes that haven’t been FIPS-validated. That means it won’t be able to use new encryption schemes, or faster ways of using the same encryption schemes. In other words, it makes your computer slower, less functional, and arguably less secure.
Новый открытый VPN-протокол — на что обратить внимание
Большинство VPN-провайдеров для построения сервисов использует стандартные решения вроде OpenVPN и IKEv2. Однако малая их часть выбирает другой путь и разрабатывает собственные протоколы — одним из них стал Lightway. В статье обсуждаем его возможности, достоинства, недостатки и безопасность.
Unsplash / Dayne Topkin
Что «под капотом»
Lightway разработал VPN-провайдер ExpressVPN, который в начале августа передал исходники в open source под лицензией GPLv2. По словам авторов, они хотели сделать легкий и производительный протокол, поэтому использовали язык программирования C и реализовали только необходимые функции безопасности — объем кодовой базы составил примерно две тысячи строк. Lightway совместим с Linux, Windows, macOS, мобильными платформами и маршрутизаторами (Netgear, Linksys).
В основе нового протокола лежит криптографическая библиотека wolfSSL. Она соответствует стандарту компьютерной безопасности FIPS 140-2, который разрабатывает институт NIST в США, и уже нашла применение в «боевых» криптографических задачах. Например, её используют разработчики IoT-систем и производители GPRS-терминалов. Первые шифруют данные в устройствах умного дома, а вторые — реализуют интерфейсы типа machine-to-machine (M2M).
При передаче данных Lightway использует UDP, а для установления защищенного канала связи — DTLS. В то же время протокол может работать поверх TCP и TLS 1.3. Для обмена ключами разработчики использовали механизм Диффи-Хеллмана на эллиптических кривых (ECDH). Обмен происходит каждые 15 минут или при переключении сети. Если по какой-то причине использовать ECDH невозможно, система обращается к классическому протоколу Диффи — Хеллмана (DH).
Lightway не привязывает ключи к внутренним IP-адресам (как это делают некоторые VPN-протоколы), и пользователи получают новый адрес при каждом переподключении — в теории такой подход повышает приватность.
Перспективы и критика
Протокол обладает высокой производительностью, и по оценкам разработчиков, в 2,5 раза быстрее конкурентов — OpenVPN, IKEv2, PPTP и SSTP. Но справедливости ради стоит отметить, что авторы не раскрыли критерии и условия тестирования. В связи с этим к указанному показателю стоит относиться с долей скептицизма.
В то же время разработчики говорят, что кодовая база протокола меньше, чем у других популярных решений, и её проще проверять на ошибки. Хотя один из резидентов Hacker News в тематическом треде отметил некоторые непостоянства в структурировании кода, что немного мешает оценить его качество.
Однако в начале лета код прошел независимый аудит безопасности — его провели специалисты из Cure53, оценившие реализацию NTP-протокола NTPsec и свободный IMAP-сервер Dovecot. Проект получил высокий балл, хотя эксперты обнаружили уязвимости (стр.3), открывающие возможности для DoS . Ряд недостатков связали со сторонними библиотеками и компонентами — например, была уязвимость CVE-2020-3336 в WolfSSL, позволяющая злоумышленникам проводить MITM-атаки .
Unsplash / Jon Moore
Ряд ИБ-специалистов среди потенциальных недостатков также выделяет отсутствие обфускации. Так, интернет-провайдер, в сети которого работает Lightway, может понять, что клиент использует VPN-подключение. В любом случае это довольно молодой протокол, поэтому может пройти еще какое-то время, прежде чем недостатки устранят. Разработчики приглашают поучаствовать всех желающих — свои предложения и «пул-реквесты» можно оставлять на GitHub.
Кто еще
К относительно новым VPN-протоколам можно отнести WireGuard. Это — VPN-туннель, разработка которого идет с 2016 года. Он использует алгоритмы ChaCha20 и Poly1305, а его пропускная способность в четыре раза выше, чем у OpenVPN.
В начале прошлого года его даже включили в ядро Linux. Однако авторы отмечают, что WireGuard — экспериментальный протокол и работа с ним несет определенные риски. Например, он сохраняет подключённые IP-адреса на сервере, что отрицательно влияет на приватность. Потенциальным проблемам, связанным с ним, даже была посвящена отдельная большая статья на Хабре.
Хотя сегодня многие VPN-провайдеры нашли способы борьбы с этими недостатками и постепенно внедряют WireGuard в свои сервисы. Возможно, в будущем он и Lightway найдут более широкое применение, если на их развитии не отразится желание регуляторов ввести ограничения на работу с end-to-end шифрованием.
Универсальные приложения против настольных приложений
Steam и другие игровые сервисы для ПК распространяют игры как традиционные настольные приложения Windows. Вы покупаете игру, она загружает установщик .exe или .msi и устанавливает его. С другой стороны, все приложения в Магазине Windows созданы с использованием новой «универсальной платформы Windows» Microsoft или UWP..
Вот почему здесь такая огромная разница. Это не просто ограничения самого магазина. Внизу вы выбираете между версией игры «универсальное приложение» и версией игры «рабочий стол Windows»..
Новая платформа приложений Microsoft значительно улучшилась по сравнению с предыдущей версией Windows 8. Но она по-прежнему не так мощна, как настольная платформа Windows. Может быть, однажды, но это еще не там.
Отключение автотюнинга TCP/IP (TCP/IP Autotunning)
В программной реализации стека TCP/IP в WindowsVista / Windows Server 2008 появился новый функционал под названием TCP Receive Window Auto—Tuning, предназначенный для динамического изменения размера буфер памяти на принимающей стороне (благодаря данной функции максимальный размер окна передачи может быть увеличен до 16 MB). Теоретически эта функция должна повысить эффективность использования пропускной способности сети и оптимизировать работу сетевой подсистемы. Но на практике автонастройка размера Receive Window (RWIN) является источником множества сетевых проблем. В Windows 10 как и в Windows 8.1 функционал TCP RWIN Auto-Tuning сохранился и в некоторых случаях средства автоматической настройки TCP вступают в конфликт с настройками сетевого оборудования или брандмауэров (не поддерживающих или запрещающих масштабирование окна TCP), в результате чего начинаются теряться пакеты, падает скорость работы по локальной сети, периодически или совсем пропадает доступ в Интернет.
Поэтому рекомендуем попробовать отключить автоматическую настройку TCP/IP. Для этого откройте командную строку с правами администратора и последовательно выполните команды:
Совет. Данные команды обычно 100% эффективны на устройствах с Windows RT (в т.ч. Surface), но могут помочь и на десктопных версиях Windows 10/8.1.
Проверить, что автотюнинг TCP/IP отключен можно с помощью команды:
После выполнения всех команд систему необходимо перезагрузить.
Cisco VPN Client
Cisco provides an end-to-end remote access security solution for our customers that require FIPS compliance. Our FIPS-compliant VPN clients and the FIPS-certified ASA 5500 Series Adaptive Security Appliance allow organizations to establish end-to-end, encrypted VPN tunnels for secure connectivity for mobile employees and telecommuters.
The FIPS-compliant Cisco VPN client is available in a separate FIPS-compliant release. FIPS-compliance for the AnyConnect VPN client is a feature enabled in the local policy, and does not require a different release of the AnyConnect client.
Both FIPS-compliant clients are licensed and available from your Cisco representative. This document provides general information about these products and contains the following sections:
•Information about FIPS
•New Features for the FIPS-Compliant VPN Client (IPsec)
•Licensing Requirements for the FIPS-Compliant VPN Client
•Where to go for Additional information
Information about FIPS
Cisco FIPS-compliant VPN clients comply with Level 1 of the Federal Information Processing Standard (FIPS) 140-2, a U.S. government standard for specific security requirements for cryptographic modules. The FIPS 140-2 standard applies to all federal agencies that use cryptographic-based security systems to protect sensitive information in computer and telecommunication systems.
The National Institute of Standards and Technology (NIST) authorizes independent, accredited Cryptographic Module Testing (CMT) laboratories to test and validate cryptographic modules against FIPS. A letter from the CMT laboratory that tested the Cisco FIPS-compliant VPN client is available from your Cisco representative at your request.
New Features for the FIPS-Compliant VPN Client (IPsec)
The FIPS-compliant VPN client (IPsec) is a separate release of the client. The following are some of the new features added since the last release of the FIPS-compliant VPN client, Release 3.6.3:
•A redesigned user interface for greater usability.
•Windows Vista support.
•Windows Vista Smartcard support.
•A new virtual adapter improves performance of application requiring the client IP address, such as Netmeeting and VoIP applications.
•Includes the latest fixes to customer-found defects and addresses most past vulnerabilities (PSIRTs).
Licensing Requirements for the FIPS-Compliant VPN Client
The Cisco FIPS-compliant VPN clients are licensed based on the ASA 5500 Series Adaptive Security Appliance model. Each security appliance model requires a different license. The license does not affect the number of allowed concurrent VPN sessions.
The following table shows the Product numbers (also called SKUs) of the licenses for each security appliance model:
Product Number(also called SKU) |
Security Appliance Model |
Description |
ASA-FPS-CL-5510= |
ASA 5510 |
FIPS-compliant VPN Client License |
ASA-FPS-CL-5520= |
ASA 5520 |
FIPS-compliant VPN Client License |
ASA-FPS-CL-5540= |
ASA 5540 |
FIPS-compliant VPN Client License |
ASA-FPS-CL-5580= |
ASA 5580 |
FIPS-compliant VPN Client License |
ASA-FPS-CL-5505= |
ASA 5505 |
FIPS-compliant VPN Client License |
ASA-FPS-CL-5550= |
ASA 5550 |
FIPS-compliant VPN Client License |
Note Each new security appliance model purchased after August 31st, 2009 requires a FIPS-compliant VPN client license. Cisco customers with current SMARTnet contracts who purchased an ASA 5500 Series Adaptive Security Appliance before August 31st, 2009 are not required to purchase a license for these specific appliances and may contact the Cisco federal account team for information on upgrade rights for the FIPS-compliant VPN client.
Зачем BitLocker нужен TPM?
BitLocker обычно требует надежного платформенного модуля или TPM на материнской плате вашего компьютера. Этот чип генерирует и хранит текущие коды шифрования. Он может автоматически разблокировать диск с вашего ПК при запуске, поэтому вы можете просто подключиться, введя пароль для входа в Windows. Это просто, но TPM выполняет тяжелую работу под капотом.
Когда человек манипулирует компьютером или извлекает диск из компьютера и пытается расшифровать его, он не может получить к нему доступ без ключа, хранящегося в доверенном платформенном модуле. TPM также не будет работать, если его перенести на материнскую плату другого ПК.
Вы можете купить чип TPM и добавить его на некоторые материнские платы, но если ваша материнская плата (или ноутбук) не поддерживает его, вам следует использовать BitLocker без TPM. Это менее безопасно, но лучше, чем ничего.
Обновление за май 2023 года:
Теперь вы можете предотвратить проблемы с ПК с помощью этого инструмента, например, защитить вас от потери файлов и вредоносных программ. Кроме того, это отличный способ оптимизировать ваш компьютер для достижения максимальной производительности. Программа с легкостью исправляет типичные ошибки, которые могут возникнуть в системах Windows — нет необходимости часами искать и устранять неполадки, если у вас под рукой есть идеальное решение:
- Шаг 1: (Windows 10, 8, 7, XP, Vista — Microsoft Gold Certified).
- Шаг 2: Нажмите «Начать сканирование”, Чтобы найти проблемы реестра Windows, которые могут вызывать проблемы с ПК.
- Шаг 3: Нажмите «Починить все», Чтобы исправить все проблемы.
Разрешить BitLocker без совместимого TPM в редакторе локальной групповой политики
Если вы разрешите BitLocker без TPM, вы должны разблокировать диск из операционной системы во время загрузки с помощью пароля или загрузочного ключа на USB-накопителе.
Шаг 1: Откройте редактор локальной групповой политики.
Нажмите Windows Logo + R, чтобы открыть диалоговое окно «Выполнить», введите gpedit.msc, затем нажмите Enter.
Шаг 2. На левой панели редактора локальной групповой политики перейдите по стратегическому пути ниже:
Политика локального компьютера> Конфигурация компьютера> Шаблоны администрирования> Компоненты Windows> Шифрование диска BitLocker> Диски операционной системы
Шаг 3. На правой панели дисков операционной системы дважды щелкните «Требуется дополнительная аутентификация при запуске», чтобы настроить их.
Шаг 4. Затем нажмите кнопку «Включить» и убедитесь, что установлен флажок «Включить BitLocker без совместимого TPM». Затем нажмите ОК.
Затем вы можете активировать BitLocker.
Вот и все! Сообщите мне, помогло ли вам это руководство, оставив свои комментарии о своем опыте. Спасибо, что с удовольствием поделились этим руководством, чтобы помочь другим.
Совет экспертов:
Эд Мойес
CCNA, веб-разработчик, ПК для устранения неполадок
Я компьютерный энтузиаст и практикующий ИТ-специалист. У меня за плечами многолетний опыт работы в области компьютерного программирования, устранения неисправностей и ремонта оборудования. Я специализируюсь на веб-разработке и дизайне баз данных. У меня также есть сертификат CCNA для проектирования сетей и устранения неполадок.
Сообщение Просмотров: 510
Как отключить режим FIPS (или включить его, если нужно)
Вам не следует включать этот параметр, если вы не используете государственный компьютер и не обязаны это делать. Если вы включите этот параметр, некоторые потребительские приложения могут фактически попросить вас отключить режим FIPS, чтобы они могли нормально работать.
Если вам нужно включить или отключить режим FIPS — возможно, вы увидели сообщение об ошибке после его включения, вам нужно проверить, как ваше программное обеспечение будет работать на компьютере с включенным режимом FIPS, или вы используете правительственный компьютер и имеете чтобы включить его — вы можете сделать это несколькими способами. Режим FIPS можно включить только при подключении к определенной сети или через общесистемный параметр, который всегда будет применяться.
Чтобы включить режим FIPS только при подключении к определенной сети, выполните следующие действия:
- Откройте окно панели управления.
- Нажмите «Просмотр состояния сети и задач» в разделе «Сеть и Интернет»..
- Нажмите «Изменить настройки адаптера».
- Щелкните правой кнопкой мыши сеть, для которой вы хотите включить FIPS, и выберите «Статус».
- Нажмите кнопку «Свойства беспроводной сети» в окне статуса Wi-Fi..
- Перейдите на вкладку «Безопасность» в окне свойств сети..
- Нажмите кнопку «Дополнительные настройки».
- Установите флажок «Включить соответствие федеральным стандартам обработки информации (FIPS) для этой сети» в настройках 802.11.
Этот параметр также можно изменить в масштабе всей системы в редакторе групповой политики. Этот инструмент доступен только в Профессиональной, Корпоративной и Образовательной версиях Windows-not Home. Вы можете использовать редактор локальной групповой политики только для изменения этого инструмента, если вы находитесь на компьютере, который не присоединен к домену, который управляет параметрами групповой политики вашего компьютера для вас. Если ваш компьютер присоединен к домену и параметры групповой политики централизованно управляются вашей организацией, вы не сможете изменить его самостоятельно. Чтобы изменить этот параметр в групповой политике:
- Нажмите клавиши Windows + R, чтобы открыть диалоговое окно «Выполнить».
- Введите «gpedit.msc» в диалоговом окне «Выполнить» (без кавычек) и нажмите Enter.
- Перейдите к «Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности» в редакторе групповой политики..
- Найдите параметр «Системная криптография: используйте FIPS-совместимые алгоритмы для шифрования, хэширования и подписи» на правой панели и дважды щелкните его.
- Установите параметр «Отключено» и нажмите «ОК».
- Перезагрузите компьютер.
В домашних версиях Windows вы все равно можете включить или отключить параметр FIPS через параметр реестра. Чтобы проверить, включен или выключен FIPS в реестре, выполните следующие действия:
- Нажмите клавиши Windows + R, чтобы открыть диалоговое окно «Выполнить».
- Введите «regedit» в диалоговом окне «Выполнить» (без кавычек) и нажмите Enter.
- Перейдите к «HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \».
- Посмотрите на значение «Включено» на правой панели. Если установлено значение «0», режим FIPS отключен. Если установлено значение «1», режим FIPS включен. Чтобы изменить настройку, дважды щелкните значение «Включено» и установите для него значение «0» или «1»..
- Перезагрузите компьютер.
Спасибо @SwiftOnSecurity в Твиттере за вдохновение в этот пост!
How to Disable FIPS Mode (or Enable It, If You Have To)
You shouldn’t enable this setting unless you’re using a government computer and are forced to. If you do enable this setting, some consumer applications may actually ask you to disable FIPS mode so they can function properly.
If you need to enable or disable FIPS mode–maybe you’ve seen an error message after you enabled it, you need to test how your software will behave on a computer with FIPS mode enabled, or you’re using a government computer and have to enable it–you can do so in several ways. FIPS mode can be enabled only when connected to a specific network, or via a system-wide setting that will always apply.
To enable FIPS mode only when connected to a specific network, perform the following steps:
- Open the Control Panel window.
- Click “View network status and tasks” under Network and Internet.
- Click “Change adapter settings.”
- Right-click the network you want to enable FIPS for and select “Status.”
- Click the “Wireless Properties” button in the Wi-Fi Status window.
- Click the “Security” tab in the network properties window.
- Click the “Advanced settings” button.
- Toggle the “Enable Federal Information Processing Standards (FIPS) compliance for this network” option under 802.11 settings.
This setting can also be changed system-wide in the group policy editor. This tool is only available on Professional, Enterprise, and Education versions of Windows–not Home versions. You can only use the local group policy editor to change this tool if you’re on a computer that isn’t joined to a domain that’s managing your computer’s group policy settings for you. If your computer is joined to a domain and the group policy settings are centrally managed by your organization, you won’t be able to change it yourself. To change this setting in Group Policy:
- Press Windows Key+R to open the Run dialog.
- Type “gpedit.msc” into the Run dialog box (without the quotes) and press Enter.
- Navigate to “Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options” in the Group Policy Editor.
- Locate the “System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing” setting in the right pane and double-click it.
- Set the setting to “Disabled” and click “OK.”
- Restart the computer.
On Home versions of Windows, you can still enable or disable the FIPS setting via a registry setting. To check whether FIPS is enabled or disabled in the registry, follow the following steps:
- Press Windows Key+R to open the Run dialog.
- Type “regedit” into the Run dialog box (without the quotes) and press Enter.
- Navigate to “HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy\”.
- Look at the “Enabled” value in the right pane. If it’s set to “0”, FIPS mode is disabled. If it’s set to “1”, FIPS mode is enabled. To change the setting, double-click the “Enabled” value and set it to either “0” or “1”.
- Restart the computer.
Thanks to @SwiftOnSecurity on Twitter for inspiring this post!
READ NEXT
- › Hardware Security Keys Keep Getting Recalled; Are They Safe?
- › How to Add and Remove Users on Ubuntu
- › How to Play Diablo 1 on a Modern PC for Retro Hack and Slash Fun
- › How to Watch the Marvel Movies in the Correct Order on Disney+
- › Disney Is Pulling Its Own Shows and Movies From Disney+ and Hulu
- › How to Skip “Hey Google” with Google Assistant
- › How to Track Price Drops Using Google Chrome
Если шифрование не поддерживается
Что делать, если ваше устройство не предназначено для включения функции шифрования? В этом случае нам поможет системная утилита Windows 10 под названием BitLocker. Она тоже доступна только в Pro версии ОС, но отличается гораздо большей надежностью, так как информация хранится только на компьютере, а не на серверах.
BitLocker представляет собой программу, с помощью которой можно включить шифрование данных. Утилита использует продвинутый алгоритм защиты, который невозможно взломать обычными способами. Если ваш ноутбук будет украден, то вор никаким способом не сможет получить доступ к его содержимому.
Как включить шифрование с помощью BitLocker? Сделать это очень просто. Достаточно щелкнуть правой клавишей мыши по изображению диска и выбрать пункт «Включить BitLocker». Далее будет предложено выбрать способ разблокировки диска: с помощью пароля или смарт-карты. Выбираем пароль и вводим его. Нажимаем кнопку «Далее», после чего видим окно с вариантами сохранения ключа для восстановления пароля. Лучше всего выбрать вариант с сохранением на компьютер. Потом его можно будет перенести куда угодно. Теперь нужно нажать кнопку «Завершить». Теперь полнодисковое шифрование включено.
Утилита BitLocker доступна и пользователям предыдущих версий Windows. Она имеется даже в седьмой версии. Это значит, что все пользователи могут надежно защитить свои данные.