После включения FIPS в Windows 7 перестает работать соединение с XP MOde и XP Remote Desktop

Question

Чтобы защитить свою рабочую станцию Windows 7 Pro x64, я включил FIPS в редакторе локальной политики безопасности.

Security Settings/Local Policies/Security Options/
System cryptography: Use FIPS compliant algorithms for encryption, hashing and signing = Enabled

Я больше не могу получить доступ к своему ноутбуку XP Pro SP3 x32 через удаленный рабочий стол, и моя локальная виртуальная машина в режиме XP больше не принимает автоматический вход в систему или инструменты интеграции.

Я включил эту функцию в обеих средах XP, но это не помогло. Отключение функции на моем ПК с Windows 7 включило эти функции. Я смог соединить оба пути между моим ноутбуком с Windows 7 Pro x64 и моей рабочей станцией с включенным FIPS на обоих.

Я пропустил шаг?

Answer 1

Включение FIPS не помогает защитить что-либо. Это только для людей, которые абсолютно должны включить его, независимо от того, сколько он ломается и не имеет выбора. Если у вас есть выбор, не включайте его. FIPS - это нормативно-правовое соответствие, а соблюдение правил, которые вам не нужно соблюдать, - это огромные затраты для нулевой выплаты.

Верьте или нет, даже люди, которые подтолкнули Microsoft к поддержке FIPS, не включают ее. Им просто нужно отметить флажок "Соответствует FIPS" в своих формах покупки. Но они не обязаны включать его, и они этого не делают по тем же причинам, что и вы.

Никого не волнует, работает ли режим FIPS, только то, что он действительно совместим с FIPS. Опять же, не требуется, чтобы что- либо работало в режиме FIPS. Так что, если это не сработает, это не считается проблемой, которую стоит исправить. Включение режима FIPS отключает все, что не соответствует FIPS.

Answer 2

Этот ответ кажется немного резким. Включение режима соответствия FIPS-140 действительно обеспечивает некоторую защиту. Это предотвращает использование более слабой криптосхемы, которая является защитной.

На самом деле, из вышеприведенного комментария можно сделать вывод, что «он резко сокращает выбор, который имеет система», - он удаляет крипто-схемы, которые федеральные державы больше не считают подходящими. И, как отмечается в ответе: «Включение режима FIPS 140 отключает все, что не соответствует FIPS». Вещи , которые не FIPS 140 совместимый не будет известно работать.

Оказывается, это хорошо. В течение первых пяти лет работы программы проверки криптомодулей было обнаружено, что 25% представленных пакетов имели ошибки в документации, а 8% - ошибки в реализации. То есть, если вы зависели от уже имеющегося коммерческого пакета, был один шанс из двенадцати, что он был сломан и не обеспечивал никакой защиты, кроме дыма.

Но тон сообщения - что включение дисциплины FIPS 140 разрушает вещи - увы, правильно. Крипто сложно. У программистов часто нет дисциплины, чтобы делать это правильно, особенно с устаревшим программным обеспечением. Если вы не в федеральной среде, где вы должны это делать, большинство людей этого не делают.

Но это, видимо, меняется. Предприятия ожидают от своих программистов дисциплинированного обеспечения безопасности. Я слышу, как клиенты говорят: «Вы знаете, есть этот STIG, который используют федералы, разве мы не должны это делать?«Наличие стандартов (а FIPS - это просто" Федеральные стандарты обработки информации ") - это хорошо, и поддерживает функциональную совместимость и точность.

Поэтому, если вы правильно включите режим FIPS 140, у вас есть веские основания ожидать, что другая сторона, если она правильно настроена, сможет работать и в режиме FIPS 140. Если нет, сообщите об этом как об ошибке поставщику системы!