Как включить FIPS на виндовс 7

Необходимо протестировать приложение С# от клиента, которое должно работать на машине с включенным FIPS.


windows fips windows-7
person qazwsx    schedule 03.02.2011    source источник
comment
Федеральный стандарт обработки информации?   -  person Cody Gray    schedule 03.02.2011
comment
Да, это так. Не уверен в другом требовании   -  person qazwsx    schedule 03.02.2011

Ответы (2)


arrow_upward
51
arrow_downward

Во-первых, узнайте, что на самом деле происходит, когда вы применяете шифрование, соответствующее стандарту FIPS140-2, в Windows. Подробности на http://technet.microsoft.com/en-us/library/cc750357.aspx. Тем не менее, основная проблема (старые веб-сайты SSL больше не работают в IE) подробно описана в статье, ссылка на которую приведена ниже.

Официальные инструкции по обеспечению соответствия FIPS 140-2 находятся по адресу http://support.microsoft.com/kb/811833. но можно резюмировать следующим образом:

  1. Используя учетную запись с правами администратора, войдите в систему на компьютере.
  2. Нажмите «Пуск», выберите «Выполнить», введите gpedit.msc и нажмите клавишу ВВОД.
  3. В редакторе локальной групповой политики в узле Конфигурация компьютера дважды щелкните Параметры Windows, а затем дважды щелкните Параметры безопасности.
  4. В узле "Параметры безопасности" дважды щелкните Локальные политики, а затем нажмите Параметры безопасности.
  5. В области сведений дважды нажмите Системная криптография: используйте алгоритмы, соответствующие FIPS, для шифрования, хеширования и подписи.
  6. В диалоговом окне «Криптография системы: использовать алгоритмы, совместимые с FIPS, для шифрования, хеширования и подписи» нажмите Включено, а затем нажмите ОК, чтобы закрыть диалоговое окно.
  7. Закройте редактор локальной групповой политики.

Если вы хотите сделать это вручную, вы также можете просто изменить ключ реестра HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled на 1

Наконец, повторюсь, очень важно, чтобы вы прочитали документацию, прежде чем включать эту функцию — она изменяет криптографию в масштабе всей системы, в том числе то, как файловая система (как EFS, так и Bitlocker) и сеть (IE, Remote Desktop и основные криптографические библиотеки) разрешено шифровать, а также, если вы разрешили восстанавливать утерянные ключи шифрования.

person Alex    schedule 29.11.2012
comment
По-видимому, стандартный способ записи путей к значению реестра — использовать \ для разделителей ключей и предварять имя значения /. - person jpmc26; 19.05.2016
comment
+1 за параметр реестра (если вам случится заблокировать себя от RDP с помощью FIPS + IISAdmin, psexec и команда reg могут вас спасти...) - person Gert van den Berg; 27.01.2017

arrow_upward
2
arrow_downward

В качестве альтернативы для пользователей Windows 7 (с правами администратора) это одно из «Свойства сети». Шаг за шагом:

  1. щелкните значок «Сеть» на панели задач.
  2. щелкните правой кнопкой мыши> Свойства на конкретном сетевом подключении
  3. перейдите на вкладку «Безопасность».
  4. нажмите на кнопку «Дополнительные настройки».
  5. установите флажок «Включить соответствие федеральным стандартам обработки информации (FIPS) для этой сети».

Также имейте в виду:

  • Рекомендуемое чтение: http://technet.microsoft.com/en-us/magazine/ff847520.aspx
  • Этот параметр зависит от того, что вы выбрали в качестве «Типа безопасности» на вкладке «Безопасность».
  • Ваша плата адаптера беспроводной сети возможно уже использует аппаратное шифрование. Этот флажок переключится с этого на более эффективное шифрование AES в программном обеспечении.
person Marcelo Finki    schedule 28.04.2013