Nach dem Aktivieren von FIPS unter Windows 7 funktioniert die Verbindung zu XP MOde und XP Remote Desktop nicht mehr

Um meine Windows 7 Pro x64-Workstation zu schützen, habe ich FIPS im Editor für lokale Sicherheitsrichtlinien aktiviert.

Security Settings/Local Policies/Security Options/
System cryptography: Use FIPS compliant algorithms for encryption, hashing and signing = Enabled

Ich kann nicht mehr über Remotedesktop auf meinen XP Pro SP3 x32-Laptop zugreifen, und meine lokale virtuelle Maschine im XP-Modus akzeptiert die automatische Anmeldung oder die Integrationstools nicht mehr.

Ich habe die Funktion in beiden XP-Umgebungen aktiviert, aber es hat nicht geholfen. Durch Deaktivieren der Funktion auf meinem Windows 7-PC wurden die Funktionen wieder aktiviert. Ich konnte eine beidseitige Verbindung zwischen meinem Windows 7 Pro x64-Laptop und meiner Workstation herstellen, wobei FIPS auf beiden aktiviert war.

Habe ich einen Schritt verpasst?

Das Einschalten von FIPS schützt nichts. Es ist nur für Leute, die es unbedingt einschalten müssen, egal wie viel es kaputt geht und keine andere Wahl haben. Wenn Sie eine Wahl haben, schalten Sie sie nicht ein. FIPS ist eine Sache zur Einhaltung gesetzlicher Vorschriften, und die Einhaltung von Vorschriften, die Sie nicht einhalten müssen, ist ein enormer Aufwand für die Null-Auszahlung.

Ob Sie es glauben oder nicht, selbst die Leute, die Microsoft dazu gebracht haben, FIPS-Unterstützung zu erhalten, schalten es nicht ein. Sie müssen lediglich ein Kontrollkästchen mit der Aufschrift "FIPS-konform" auf ihren Kaufformularen markieren. Aber sie müssen es nicht einschalten, und sie tun es nicht, aus den gleichen Gründen, die Sie nicht sollten.

Es interessiert niemanden, ob der FIPS-Modus funktioniert, nur, dass er tatsächlich FIPS-kompatibel ist. Auch hier ist es nicht erforderlich, dass im FIPS-Modus etwas funktioniert. Wenn es also nicht funktioniert, ist dies kein Problem, das behoben werden sollte. Wenn Sie den FIPS-Modus aktivieren, werden alle nicht FIPS-kompatiblen Elemente deaktiviert.

Diese Antwort scheint etwas hart zu sein. Das Aktivieren des FIPS-140-Kompatibilitätsmodus bietet in der Tat einige Schutzfunktionen. Es verhindert die Verwendung eines schwächeren Kryptoschemas, das Schutz bietet.

Dies lässt sich tatsächlich aus dem obigen Kommentar ableiten, dass "die Auswahlmöglichkeiten des Systems drastisch reduziert werden" - Krypto-Schemata werden entfernt, die von den "Federal Powers That Be" nicht mehr als angemessen angesehen werden. Und wie in der Antwort angegeben: "Wenn Sie den FIPS 140-Modus aktivieren, werden alle nicht FIPS-kompatiblen Elemente deaktiviert." Sachen , die nicht FIPS 140 kompatibel ist , wird nicht bekannt zu arbeiten.

Es stellt sich heraus, dass das eine gute Sache ist. In den ersten fünf Jahren des Kryptomodul-Überprüfungsprogramms wurde festgestellt, dass 25% der eingereichten Pakete Dokumentationsfehler und 8% Implementierungsfehler aufwiesen. Das heißt, wenn Sie von einem bereits erhältlichen Handelspaket abhängig waren, gab es ungefähr eine Chance von zwölf, dass es kaputt ging und KEINEN anderen Schutz als Rauch bot.

Aber der Ton der Botschaft - dass das Aktivieren der FIPS 140-Disziplin die Dinge bricht - ist leider richtig. Krypto ist schwer. Programmierer haben oft nicht die Disziplin, um es richtig zu machen, insbesondere mit älterer Software. Wenn man sich nicht in einer föderalen Umgebung befindet, in der man es tun muss, tun es die meisten Leute nicht .

Das ändert sich aber offenbar. Unternehmen erwarten von ihren Programmierern disziplinierte Sicherheitstechnik. Ich höre Kunden sagen: "Weißt du, es gibt diesen STIG, den die Regierung benutzt, sollten wir das nicht tun?" Standards zu haben (und FIPS ist nur "Federal Information Processing Standards") ist eine gute Sache und unterstützt Interoperabilität und Genauigkeit.

Wenn Sie also den FIPS 140-Modus ordnungsgemäß aktivieren, haben Sie guten Grund zu der Annahme, dass die andere Seite bei ordnungsgemäßer Konfiguration auch im FIPS 140-Modus arbeiten kann. Wenn nicht, melden Sie es als Fehler beim Systemanbieter!