หลังจากเปิดใช้งาน FIPS บน Windows 7 การเชื่อมต่อกับ XP MOde และ XP Remote Desktop หยุดทำงาน

ในความพยายามที่จะรักษาความปลอดภัย Windows 7 Pro x64 เวิร์กสเตชันของฉันเปิดใช้งาน FIPS ในตัวแก้ไขนโยบายความปลอดภัยท้องถิ่น

Security Settings/Local Policies/Security Options/
System cryptography: Use FIPS compliant algorithms for encryption, hashing and signing = Enabled

ฉันไม่สามารถเข้าถึงแล็ปท็อป XP Pro SP3 x32 ของฉันผ่านเดสก์ท็อประยะไกลและเครื่องเสมือนโหมด XP ในพื้นที่ของฉันไม่ยอมรับการลงชื่อเข้าใช้อัตโนมัติหรือเครื่องมือการรวม

ฉันเปิดฟีเจอร์ในทั้งสองสภาพแวดล้อม XP แต่ก็ไม่ได้ช่วยอะไร การปิดคุณสมบัติในพีซี Windows 7 ของฉันเปิดใช้งานคุณสมบัติอีกครั้ง ฉันสามารถเชื่อมต่อทั้งสองวิธีระหว่างแล็ปท็อป Windows 7 Pro x64 ของฉันกับเวิร์กสเตชันที่เปิดใช้งาน FIPS ได้ทั้งสองแบบ

ฉันพลาดขั้นตอนหรือไม่?

การเปิดใช้งาน FIPS ไม่ช่วยป้องกันอะไรเลย เป็นเพียงสำหรับผู้ที่ต้องเปิดใช้อย่างแน่นอนไม่ว่าจะแบ่งเท่าไรและไม่มีทางเลือก หากคุณมีทางเลือกอย่าเปิดใช้งาน FIPS เป็นสิ่งที่ปฏิบัติตามกฎระเบียบและปฏิบัติตามกฎระเบียบที่คุณไม่จำเป็นต้องปฏิบัติตามเป็นค่าใช้จ่ายมากสำหรับการจ่ายผลตอบแทนเป็นศูนย์

เชื่อหรือไม่ว่าแม้แต่คนที่ผลักดัน Microsoft ให้มีการสนับสนุน FIPS ก็ไม่เปิดใช้งาน พวกเขาเพียงต้องการทำเครื่องหมายในช่องที่ระบุว่า "สอดคล้องกับ FIPS" ในแบบฟอร์มการซื้อของพวกเขา แต่พวกเขาไม่จำเป็นต้องเปิดใช้งานและไม่ทำเช่นนั้นด้วยเหตุผลเดียวกันกับที่คุณไม่ควรทำ

ไม่มีใครสนใจว่าโหมด FIPS นั้นทำงานได้จริงหรือไม่ว่าเป็นจริงหรือไม่นั้นก็เป็นไปตามมาตรฐาน FIPS อีกครั้งไม่มีข้อกำหนดว่าอะไรที่ทำงานในโหมด FIPS ดังนั้นหากไม่ได้ผลนั่นก็ไม่ถือว่าเป็นปัญหาที่ควรแก้ไข การเปิดโหมด FIPS จะเป็นการปิดสิ่งที่ไม่เป็นไปตามข้อกำหนดของ FIPS

คำตอบนี้ดูเหมือนจะรุนแรงเล็กน้อย การเปิดโหมดความสอดคล้องกับ FIPS-140 จริง ๆ แล้วมีการป้องกันบางอย่าง มันป้องกันการใช้สคี crypto ที่อ่อนแอกว่าซึ่งป้องกัน

สิ่งนี้สามารถอนุมานได้จริงจากความคิดเห็นข้างต้นว่า "มันช่วยลดทางเลือกที่ระบบมี" ได้อย่างมาก - มันลบรูปแบบการเข้ารหัสลับที่ไม่ถือว่าเหมาะสมโดย Federal Powers นั่นคือ และตามคำตอบที่ระบุไว้ "การเปิดโหมด FIPS 140 จะเป็นการปิดสิ่งที่ไม่เป็นไปตามมาตรฐาน FIPS" สิ่งที่ไม่สอดคล้องกับ FIPS 140 จะไม่ได้เป็นที่รู้จักกันในการทำงาน

ปรากฎว่าเป็นสิ่งที่ดี ในห้าปีแรกของโปรแกรมตรวจสอบโมดูล crypto พบว่า 25% ของแพคเกจที่ส่งมีข้อผิดพลาดในเอกสารและ 8% มีข้อผิดพลาดในการใช้งาน นั่นคือถ้าคุณขึ้นอยู่กับแพคเกจการค้าที่มีอยู่แล้วมีประมาณหนึ่งโอกาสในสิบสองที่มันถูกทำลายและให้การป้องกันอื่น ๆ ที่ไม่ใช่ควัน

แต่น้ำเสียงของข้อความ - ที่เปิดใช้งานวินัย 140 FIPS แบ่งสิ่งต่าง ๆ - เป็นอนิจจาถูกต้อง Crypto นั้นยาก โปรแกรมเมอร์มักจะไม่มีวินัยในการทำสิ่งที่ถูกต้องโดยเฉพาะกับซอฟต์แวร์รุ่นเก่า หากไม่มีอยู่ในสภาพแวดล้อมของรัฐบาลกลางที่คุณต้องทำคนส่วนใหญ่ไม่ทำ

แต่นี่เปลี่ยนไป องค์กรต่างๆคาดหวังว่าวิศวกรรมความปลอดภัยจะได้รับการลงโทษทางวินัยจากผู้เขียนโค้ด ฉันได้ยินลูกค้าพูดว่า "คุณรู้หรือไม่ว่า STIG นี้มีสิ่งที่ feds ใช้เราไม่ควรทำเช่นนี้" การมีมาตรฐาน (และ FIPS เป็นเพียง "มาตรฐานการประมวลผลข้อมูลของรัฐบาลกลาง") เป็นสิ่งที่ดีและสนับสนุนการทำงานร่วมกันและความแม่นยำ

ดังนั้นหากคุณเปิดใช้งานโหมด FIPS 140 อย่างถูกต้องคุณมีเหตุผลที่ดีที่คาดหวังว่าอีกด้านหนึ่งควรได้รับการกำหนดค่าอย่างถูกต้องหากสามารถทำงานในโหมด FIPS 140 ได้เช่นกัน ถ้าไม่ให้ยื่นเป็นข้อผิดพลาดกับผู้จำหน่ายระบบ!