Windows有一个隐藏设置,将只启用**认证的“FIPS兼容”加密。这听起来像是一种提高电脑安全性的方法,但事实并非如此。除非您在**部门工作或需要测试软件在**电脑上的行为,否则不应启用此设置。
这个调整正好符合其他无用的窗口调整神话。如果您在Windows中偶然发现此设置或在其他地方看到它,请不要启用它。如果您已经没有充分的理由启用了它,请使用以下步骤禁用“FIPS模式”。
相关报道:10个Windows微调神话被揭穿
FIPS代表“联邦信息处理标准”。这是一套**标准,定义了**如何使用某些东西,例如加密算法。FIPS定义了可以使用的特定加密方法,以及生成加密密钥的方法。它由国家标准与技术研究所(NIST)出版。
Windows中的设置符合美国**的FIPS 140标准。启用后,它会强制Windows只使用FIPS验证的加密方案,并建议应用程序也这样做。
“FIPS模式”并不能使Windows更安全。它只是阻止了对未经FIPS验证的新加密方案的访问。这意味着它将无法使用新的加密方案,或更快的方式使用相同的加密方案。换句话说,它会让你的电脑速度变慢,功能变差,而且可以说不太安全。
微软在一篇题为“为什么我们不再推荐”FIPS模式“的博客文章中解释了这个设置的实际用途。微软只建议你在必要时使用FIPS模式。例如,如果您使用的是美国**的计算机,则根据**自己的法规,该计算机应该启用“FIPS模式”。在您自己的个人计算机上启用此设置的情况并不存在,除非您在启用此设置的美国**计算机上测试软件的行为。
这个设置对Windows本身有两个作用。它强制Windows和Windows服务只使用FIPS验证的密码。例如,内置在Windows中的Schannel服务不能与较旧的ssl2.0和3.0协议一起工作,至少需要tls1.0。
微软的.NET框架还将阻止对未经FIPS验证的算法的访问。NET框架为大多数加密算法提供了几种不同的算法,甚至不是所有算法都已提交验证。例如,Microsoft注意到.NET framework中有三种不同版本的SHA256哈希算法。最快的一个还没有提交验证,但应该同样安全。因此,启用FIPS模式要么会中断使用更高效算法的.NET应用程序,要么会迫使它们使用效率较低的算法,速度较慢。
除了这两件事,启用FIPS模式还建议应用程序也只使用FIPS验证的加密。但它没有强迫其他任何东西。传统的Windows桌面应用程序可以选择实现他们想要的任何加密代码,甚至是极易受攻击的加密,或者根本不加密。FIPS模式不会对其他应用程序执行任何操作,除非它们遵守此设置。
您不应该启用此设置,除非您使用的是**计算机并被迫启用。如果启用此设置,某些使用者应用程序可能会要求您禁用FIPS模式,以便它们可以正常工作。
如果您需要启用或禁用FIPS模式-可能您在启用后看到错误消息,您需要测试您的软件在启用FIPS模式的计算机上的行为,或者您使用的是**计算机并且必须启用它-您可以通过多种方式来执行此操作。FIPS模式只能在连接到特定网络时启用,或通过始终适用的系统范围设置启用。
要仅在连接到特定网络时启用FIPS模式,请执行以下步骤:
也可以在组策略编辑器中在系统范围内更改此设置。此工具仅在Windows的专业版、企业版和教育版上可用,而不是家庭版。如果您所在的计算机未加入为您管理计算机组策略设置的域,则只能使用本地组策略编辑器更改此工具。如果您的计算机已加入域,并且组策略设置由您的组织集中管理,您将无法自己更改。要在组策略中更改此设置,请执行以下操作:
在Windows的家庭版本上,您仍然可以通过注册表设置启用或禁用FIPS设置。要检查注册表中是否启用或禁用了FIPS,请执行以下步骤:
感谢Twitter上的@SwiftOnSecurity激发了这篇文章的灵感!
...法的潜在攻击,但破解密钥需要数百万年的时间。这就是为什么人们把AES称为“军用级加密” ...
...这些操作,并且当BitLocker切换到基于软件的加密时,您不应该看到明显的速度减慢。 如果您愿意,BitLocker仍然可以信任硬件加密。默认情况下,该选项处于禁用状态。对于拥有其信任的固件驱动器的企业,组策略中“计算机配...
...,你应该切换到一个新的协议或更换你的路由器尽快。 为什么Windows10会警告你 你可能知道你应该用密码保护你的Wi-Fi网络。无论是让邻居或漫游坏演员出你的系统,这只是最好的做法,以保护你的无线网络。但是,当你给你...
...决方案,如免费的TrueCrypt的继承者VeraCrypt。 相关报道:为什么其他人都赠送加密软件,微软却要收100美元? bitlocker有时会将您的密钥上载到microsoft 许多现代Windows 10 PC都带有一种名为“设备加密”的加密类型。如果您的PC支持...
...硬件加密。 相关:如何用VeraCrypt加密Windows系统驱动器 为什么bitlocker信任SSD? 如果可用,基于硬件的加密可以比基于软件的加密更快。因此,如果SSD有可靠的基于硬件的加密技术,那么依赖SSD将提高性能。 不幸的是,似乎许多...
...电话号码。 如果你已经放弃拿回iPhone或iPad,你可以而且应该远程删除它。即使是离线,下次上线时也会被删除。 GrayKey可以让警察部门和其他**机构绕过你的密码,但苹果正在用USB限制模式解决这个问题。 相关报道:iPhone、iPad...
...能,你就需要专业版的windows10-100美元从windowshome升级。 为什么磁盘加密很重要 磁盘加密非常重要,尤其是对于笔记本电脑。即使有人偷了你的笔记本电脑或者你把它放错了地方,只要你的磁盘是加密的,人们也不能在没有许...
...。在本文中,我们将讨论如何在PC上进行设置。 相关:你应该升级到Windows10的专业版吗? 注意:BitLocker驱动器加密和BitLocker To Go需要Windows 8或10的专业版或企业版,或Windows 7的最终版本。但是,从windows8.1开始,Windows的Home和Pro版...
...访问权限,你可以向他们提供诱饵操作系统的密码,他们应该根本分辨不出有隐藏的操作系统。 在加密方面,使用“普通”加密可以保证文件的安全。“隐藏”卷只有在你被迫向某人透露密码,并且想要对任何其他文件的存在...