Fips wifi что это
Что делает FIPS в домашней беспроводной сети?
Я недавно купил новый ноутбук, который будет подключаться по беспроводной сети,но без доступа в Интернет к маршрутизатору Tenda Wireless N. Техническая поддержка сказала мне, что это была ошибка DNS провайдера (да правильно). Однако, я галочкой «включить ФИПС» и теперь все зашибись!
Почему это? Что здесь делает FIPS?
2 ответов
из того немногого, что я знаю о FIPS, я думаю, что это своего рода шифрование,федеральные стандарты обработки информации (FIPS).
федеральный стандарт обработки информации (FIPS) США определяет требования безопасности и функциональной совместимости для компьютерных систем, используемых федеральным правительством США. Стандарт FIPS 140 определяет утвержденные криптографические алгоритмы. Стандарт FIPS 140 также устанавливает требования к генерации ключей и ключей управление. Национальный институт стандартов и технологий (NIST) использует программу проверки криптографических модулей (CMVP) для определения соответствия конкретной реализации криптографического алгоритма стандарту FIPS 140. Реализация алгоритма шифрования считаются FIPS 140 совместим, только если он внесен и прошел проверку NIST. Алгоритм, который не был представлен, не может считаться FIPS-совместимым, даже если реализация создает идентичные данные в качестве проверенной реализации того же алгоритма.
в некоторых сценариях приложение может использовать неподтвержденные алгоритмы или процессы, в то время как приложение работает в режиме, совместимом с FIPS. Например, использование несертифицированных алгоритмов может быть разрешено в следующих случаях: Некоторые внутренние процессы остаются внутри компьютера. Некоторые внешние данные должны быть дополнительно зашифрованы с помощью FIPS-совместимые реализации.
Почему вы не должны включать «FIPS-совместимое» шифрование в Windows
Что такое FIPS-совместимое шифрование?
FIPS расшифровывается как «Федеральные стандарты обработки информации». Это набор государственных стандартов, которые определяют, как определенные вещи используются в правительстве, например, алгоритмы шифрования. FIPS определяет определенные конкретные методы шифрования, которые можно использовать, а также методы генерации ключей шифрования. Он публикуется Национальным институтом стандартов и технологий или NIST.
Настройка в Windows соответствует стандарту FIPS 140 правительства США. Когда он включен, он заставляет Windows использовать только схемы шифрования, проверенные FIPS, и рекомендует приложениям также делать это.
«Режим FIPS» не делает Windows более безопасной. Он просто блокирует доступ к новым схемам криптографии, которые не прошли FIPS-проверку. Это означает, что он не сможет использовать новые схемы шифрования или более быстрые способы использования тех же схем шифрования. Другими словами, это делает ваш компьютер медленным, менее функциональным и, возможно, менее безопасным.
Как Windows ведет себя по-другому, если вы включите этот параметр
Этот параметр делает две вещи для самой Windows. Это заставляет службы Windows и Windows использовать только проверенную FIPS криптографию. Например, служба Schannel, встроенная в Windows, не будет работать со старыми протоколами SSL 2.0 и 3.0, и вместо этого потребуется как минимум TLS 1.0.
Помимо этих двух вещей, включение режима FIPS рекомендует приложениям использовать только проверенное шифрование FIPS. Но это не заставляет больше ничего. Традиционные настольные приложения Windows могут выбрать для реализации любой код шифрования, который им нужен — даже ужасно уязвимое шифрование — или вообще не шифровать. Режим FIPS ничего не делает с другими приложениями, если они не подчиняются этому параметру.
Как отключить режим FIPS (или включить его, если нужно)
Вам не следует включать этот параметр, если вы не используете государственный компьютер и не обязаны это делать. Если вы включите этот параметр, некоторые потребительские приложения могут фактически попросить вас отключить режим FIPS, чтобы они могли работать должным образом.
Если вам нужно включить или отключить режим FIPS — возможно, вы увидели сообщение об ошибке после его включения, вам нужно проверить, как ваше программное обеспечение будет работать на компьютере с включенным режимом FIPS, или вы используете правительственный компьютер и имеете чтобы включить его — вы можете сделать это несколькими способами. Режим FIPS можно включить только при подключении к определенной сети или через общесистемный параметр, который всегда будет применяться.
Чтобы включить режим FIPS только при подключении к определенной сети, выполните следующие действия:
Этот параметр также можно изменить в масштабе всей системы в редакторе групповой политики. Этот инструмент доступен только в версиях Windows, а не Home для Professional, Enterprise и Education. Вы можете использовать редактор локальной групповой политики только для изменения этого инструмента, если вы находитесь на компьютере, который не присоединен к домену, который управляет параметрами групповой политики вашего компьютера для вас. Если ваш компьютер присоединен к домену, а параметры групповой политики централизованно управляются вашей организацией, вы не сможете изменить его самостоятельно. Чтобы изменить этот параметр в групповой политике:
Спасибо @SwiftOnSecurity в Твиттере за то, что вдохновили этот пост!
Ограниченный доступ к Wi-Fi сети в Windows 10 / 8.1: решаем проблему
В этой статье мы попытаемся разобраться с довольно часто возникающей проблемой при подключении Windows 10 / 8.1 к Wi-FI точке доступа, выражающейся в ограниченном подключении к Интернету или периодическом самопроизвольном отключении вашей системы Windows от Wi-Fi сети.
Проблема может проявляться так:
Такая же проблема может наблюдаться при обновлении драйвера Wi-Fi адаптера. В обоих случаях любые другие устройства (смартфоны, компьютеры, ноутбуки) могут подключаться к той же самой беспроводной точке доступа и пользоваться Интернетом без каких-либо проблем или ограничений (т.е. вы должны убедиться, что проблема точно не в самой точке доступа).
В том случае, если наблюдаются проблемы с подключением к Wi-Fi сети в Windows 10 или Windows 8.1, система не видит беспроводные Wi-Fi сети, возникают проблемы с выходом в Интернет через Wi-Fi или периодически пропадает доступ в Интернет, стоит попробовать последовательно выполнить следующие шаги:
Удаление Wi-Fi профиля
Возможно проблема в том, что на Wi-FI роутере просто были изменены настройки и/или ключ WEP/WPA2. Ваш компьютер при этом пытается подключиться к точке доступа со старыми параметрами, сохраненными в профиле беспроводной сети Windows. Попробуйте удалить сохраненный профиль Wi-Fi сети (как это сделать описано в главе: Как удалить профиль Wi-Fi соединения в Windows).
netsh wlan delete profile name=[profile name]
После удаления профиля стоит попробовать заново подключиться к точке доступа и указать пароль.
Отключения режима энергосбережения Wi-Fi адаптера
Еще одна возможная причина периодического пропадания доступа к Wi-Fi точке доступа из Win 10/8.1– некорректные настройки режима энергосбережения Wi-Fi адаптера, в результате чего Windows через определенное время простоя автоматически отключает сетевой адаптер с целью экономии электроэнергии. Проверьте, не включен ли этот режим в настройках Wi-Fi устройства. Откройте свойства беспроводного подключения и нажмите кнопку Configure.
Перейдите на вкладку Power Management (Управление электропитанием) и проверьте, что флажок Allow the computer to turn off this device to save power (Разрешить отключение этого устройства для экономии энергии) снят.
Сброс параметров стека TCP/IP
Также стоит убедиться, что на компьютере используется стек TCP/ IP со стандартными настройками. Для этого с помощью команды netsh попробуйте сбросить параметры стека TCP/IP на стандартные:
netsh int ip reset C:\resetlog.log
В том случае, если при выполни сброса появится у любого из компонентов появится ошибка достпа «Access is denied», нужно предоставить своей учетной записи полный доступ (Full control) в свойствах ветки реестра HKLM\SYSTEM\CurrentControlSet\Control\Nsi\
После выполнения команды нужно перезагрузить Windows, подключиться к Wi-Fi точке доступа и попробовать выйти в Интернет.
Отключение автотюнинга TCP/IP (TCP/IP Autotunning)
В программной реализации стека TCP/IP в WindowsVista / Windows Server 2008 появился новый функционал под названием TCP Receive Window Auto—Tuning, предназначенный для динамического изменения размера буфер памяти на принимающей стороне (благодаря данной функции максимальный размер окна передачи может быть увеличен до 16 MB). Теоретически эта функция должна повысить эффективность использования пропускной способности сети и оптимизировать работу сетевой подсистемы. Но на практике автонастройка размера Receive Window (RWIN) является источником множества сетевых проблем. В Windows 10 как и в Windows 8.1 функционал TCP RWIN Auto-Tuning сохранился и в некоторых случаях средства автоматической настройки TCP вступают в конфликт с настройками сетевого оборудования или брандмауэров (не поддерживающих или запрещающих масштабирование окна TCP), в результате чего начинаются теряться пакеты, падает скорость работы по локальной сети, периодически или совсем пропадает доступ в Интернет.
Поэтому рекомендуем попробовать отключить автоматическую настройку TCP/IP. Для этого откройте командную строку с правами администратора и последовательно выполните команды:
netsh int tcp set heuristics disabled
netsh int tcp set global autotuninglevel=disabled
netsh int tcp set global rss=enabled
Проверить, что автотюнинг TCP/IP отключен можно с помощью команды:
netsh int tcp show global
После выполнения всех команд систему необходимо перезагрузить.
Обновление драйвера Wi-Fi адаптера
Еще одним вероятным источником проблем могут быть неполадки с драйверами Wi-Fi адаптера. Попробуйте обновить драйвер вашего беспроводного сетевого адаптера до последней версии, доступной на сайте производителя адаптера. В том случае, если это не решит проблемы с ограниченным подключением к интернету, попробуйте воспользоваться старой версией драйвера. Подробнее об этом в следующем разделе.
Откат к старой версии драйвера Wi-Fi адаптера
Еще одной довольно эффективной методикой устранения неисправности Wi-Fi подключения является откат (возврат) к старой версии драйвера беспроводного адаптера.
Чтобы откатится к старой версии Wi-Fi адаптера в Windows 10 / 8:
Отключение антивируса (межсетевого экрана)
В комментариях читатели несколько раз упоминали, что проблема также может быть вызвана особенностями работы межсетевого экрана (файервола), встроенного в большинство популярных антивирусов. В частности, в подобном поведении были уличены Check Point и McAfee Internet Security. Рекомендуем попробовать временно отключить этот функционал антивируса и проверить наблюдается ли проблема.
Режим совместимости с FIPS
В качестве общих рекомендаций, которые нужно проверить:
Указанные методики должны помочь решить проблемы с ограниченным подключением к WiFi в Windows 10 и Windows 8.1. Если вы смогли победить описанные проблемы другим способами, пожалуйста, расскажите об этом в комментариях.
Что нужно знать о технологии Wi-Fi и её стандартах?
Перекачанный Джек Ричер разбивает лица в трейлере сериала «Ричер»
Bloomberg: Sony планирует представить сервис наподобие Xbox Game Pass с тремя уровнями подписки
Раскрыта стоимость пилотной серии отмененного спин-оффа «Игры престолов»
Мировая премьера: Codemasters впервые показала геймплей GRID Legends и назвала дату выхода гоночной игры
The Ascent перебирается на PlayStation: игра получила возрастной рейтинг на Тайване в версиях для PS4 и PS5
The Elder Scrolls V: Skyrim
Shin Megami Tensei V
PlayStation Network [PS Store и PS Plus]
В наши дни сложно найти человека, не пользующегося преимуществами Wi-Fi. Почти у каждого дома имеется собственный Wi-Fi роутер, а в телефоне сохранена как минимум пара-тройка других сетей из мест регулярного посещения. Стандарты Wi-Fi развиваются с регулярной скоростью, а производители роутеров год от года выпускают новые девайсы и заманивают обывателей обещаниями невиданной ранее скорости и зоны покрытия. Но далеко не каждый сможет разобраться в странных кодировках “802.11a/b/g/n/ac/ax” при выборе в магазине, так что приходится уповать на толковых консультантов и всё те же рекламные статьи и «честные обзоры» от самих производителей, подчистую написанные маркетологами без какой-либо привязки к реальному миру. Как быть при выборе? Да и стоит ли вообще гнаться за прогрессом, или же вы ничего не получите от апгрейда? А может и вовсе можно «подшаманить» имеющееся оборудование и добиться лучшего качества связи? Давайте попытаемся разобраться.
Но для начала отвечу на потенциальный вопрос: «А кто ты вообще такой и почему я должен тебя слушать?» Тут всё просто – я занимаюсь дизайном и траблшутингом корпоративных Wi-Fi сетей с 2014 года и имею парочку сертификатов компании Cisco, согласно которым я, якобы, являюсь профессионалом в этой сфере (нет, не являюсь, они всё врут). На написание статьи сподвигло желание доступным языком объяснить другим принципы работы Wi-Fi и его основные моменты, дабы повысить общую грамотность по теме и уберечь от создания проблем для себя и, особенно, окружающих. К чему и приступим.
О домашних Wi-Fi роутерах
То, что мы привыкли называть Wi-Fi роутером, на самом деле является составным устройством – роутером (или маршрутизатором) с функцией точки доступа Wi-Fi. Зачем это знать? Да просто, чтобы отделять тёплое от мягкого и понимать, что сам роутер отвечает за подключение к провайдеру, выдачу вашим домашним устройствам IP-адресов и, собственно, вашу связь с интернетом. А функция очки Wi-Fi ограничивается тем, чтобы связать ваш смартфон с самим роутером. То есть, банальная замена тому же кабелю, идущему от роутера к ПК.
А теперь вопрос: какова скорость работы вашего провайдера? Та самая, за которую вы платите абонентскую плату? 10 мбит/с? 50? 100? Вряд ли больше. А теперь ещё более интересный вопрос: если ваша точка Wi-Fi будет выдавать обещанные маркетологами (но недостижимые) 6 Гбит/c, то повысит ли это скорость соединения с интернетом? Ответ: нет, ни капли, ведь вы так же продолжаете платить за свои 10 мбит/c. На деле точка Wi-Fi всего лишь влияет на скорость между вашим смартфоном, роутером и другими устройствами в домашней сети. Для справки, при подключении проводом вы получаете гарантированные 100 мбит/c или 1Гбит/c в зависимости от типа кабеля и портов на маршрутизаторе и вашем ПК. А следовательно, дальнейшее наращивание скорости за пределами интернет-соединения будет иметь смысл лишь для общения с локальным хранилищем, если таковое имеется.
О принципах передачи данных по воздуху
До разговора о стандартах Wi-Fi и скоростях давайте разберёмся с тем, как вообще устроена передача данных по воздуху.
Чтобы понять разницу между кабелем и Wi-Fi, достаточно представить себе совещание в маленькой комнате, плотно набитой парами людей, где каждый должен доложить своему начальнику о проделанной за день работе. При попытке общения все станут друг друга перебивать, и на фоне общего шума будет крайне сложно вести беседу. Следовательно, наилучшим вариантом будет говорить по очереди, а все остальные будут слушать, хотя им абсолютно наплевать – ведь информация предназначена не для них, она и вовсе пройдёт белым шумом. Среди этой толпы обязательно попадётся кто-то крайне говорливый, и его объём болтовни с лёгкостью превысит отчёт 5 других человек. Такого индивидуума будут время от времени прерывать, чтобы он отдышался и сформулировал следующую тираду, а за это время кто-то другой успеет выдать: «Я весь день писал статью» и спокойно пойти по своим делам. Остальным же придётся грустно смотреть ему вслед и ждать своей очереди. Поздравляю, вы только что поняли, как работает Wi-Fi.
Если же разбить все эти пары людей по разным комнатам, то каждый сможет отчитаться своему начальнику лично, никто больше его не услышит, да и ждать других не придётся. Так работает связь по кабелю. Чувствуете разницу?
Из этого можно сделать один максимально простой вывод: скорость, качество и защищённость проводной связи фундаментально всегда будет лучше беспроводной вне зависимости от того, сколько новых стандартов ещё успеют придумать. Выходит, главное и единственное преимущество Wi-Fi – мобильность и отсутствие проводов. А ещё есть второй, чуть менее очевидный вывод, о котором маркетологи предпочитают умалчивать: скорость Wi-Fi сети делится между всеми участниками, работающими на одном канале (то есть слышащими друг друга). Так что обещанные 6 Гбит/c внезапно превращаются в тыкву, если только у вас не единственная на всю деревню точка Wi-Fi с одним лишь подключенным (и очень крутым) клиентом. И даже в этом случае с реальной скоростью всё гораздо сложнее, но об этом лучше написать отдельно.
О радиодиапазонах и помехах
На этой слегка грустной ноте чуть углубимся в техническую часть и рассмотрим, как работает Wi-Fi с точки зрения радиосигнала. Для начала надо понимать, что Wi-Fi существует на одном из двух нелицензируемых радиодиапазонов. Наиболее часто для простоты их именуют 2.4 ГГц и 5 ГГц. Важный момент: что значит «нелицензируемые»? А то, что вам не требуется получать лицензию на вещание в этих частотах, если мощность передатчика ниже допустимой нормы (читай: можно ставить Wi-Fi точку дома), но вы обязаны мириться с потенциальными помехами от устройств основного назначения, a.k.a. ISM (Industrial, Scientific, Medical, куда входят метеорологические радары). На практике это также означает, что никто не запретит вам разработать собственную технологию беспроводной передачи данных и использовать её в диапазоне 2.4 ГГц. О каких устройствах речь? Всеми любимый Bluetooth и весь спектр имеющихся дома устройств: микроволновки (да-да), радиотелефоны, видео-няни, камеры, беспроводные клавиатуры, мыши, геймпады, наушники – всё это работает на 2.4 ГГц. Следовательно, создаёт помехи друг для друга и для Wi-Fi особенно. На 5 ГГц ситуация значительно лучше, но об этом чуть позже.
О частотах и каналах
Пора перейти непосредственно к самому сигналу. Так уж исторически сложилось, что первые массовые Wi-Fi устройства работали на 2.4 ГГц (хотя, на удивление, версия с 5 ГГц была разработана раньше). Как вы уже поняли, для Wi-Fi это не самая хорошая среда из-за вынужденного соседства с кучей других беспроводных девайсов, но в те времена никто не представлял масштабов потенциальной проблемы.
Из выбранного диапазона частот Wi-Fi точка выбирает один из доступных каналов и работает там вместе со всеми подключенными к ней клиентами. Всего в диапазоне 2.4 ГГц выделено 13 каналов Wi-Fi (плюс ещё 1 исключительно для Японии), но на деле должны использоваться лишь 3 из них: 1, 6, и 11. Почему? Каждый канал занимает 22 МГц, и лишь эти трое являются непересекающимися – то есть клиенты одного не услышат клиентов двух других и, соответственно, не будут друг другу мешать. Иными словами, лишь 3 Wi-Fi точки могут находиться по соседству и никак не замедлять работу других. Добавляете четвёртую – и вот уже она вынуждена делить канал (а вместе с ним и скорость передачи) с одной из других. А теперь вопрос: как часто вы видите лишь 4 Wi-Fi точки в радиусе подключения? То-то же.
А теперь представим интересную ситуацию: ваш сосед – доморощенный гуру Wi-Fi, который знает, как добиться отличного качества сигнала и избежать помех от точек на том же канале! Недолго думая, он ручками меняет канал, скажем, на 3. Казалось бы – отличное решение, ведь тот канал полностью свободен! На деле же это означает, что его Wi-Fi точка и все клиенты на ней теперь создают помехи и на первом канале, и на шестом. Поздравляю, Шарик, ты балбес!
Как же обстоят дела на 5 ГГц? Если кратко, то изрядно веселее – нет соседства с Bluetooth и иже с ним, число каналов больше, все они уже по умолчанию друг от друга удалены, так что нет возможности выбрать «не тот». Хотя и тут есть свои нюансы с реальным числом доступных каналов, о которых, впрочем, знать ни к чему. Если кратко, в России в диапазоне 5 ГГц доступно до 23-х каналов шириной 20 МГц, но с некоторых из них вас может автоматически выкинуть при обнаружении радарного сигнала. И, кстати, это ограничение самой технологии, а не юридические заморочки конкретной страны.
О стандартах Wi-Fi
Наконец выбрались за рамки абстрактного и подобрались к чему-то существенному. Итак, все стандарты Wi-Fi объединены в общую группу 802.11 и отличаются буквами в различной комбинации. Понимание тех самых букв поможет как при выборе домашнего роутера, так и при его настройке. Приступим:
О скептицизме
Рекламируя вам очередной новейший Wi-Fi роутер, маркетологи (умышленно или нет) предпочитают умалчивать об одной крайне важной детали – стандарт должен поддерживаться не только точкой Wi-Fi, но и самими клиентами, ведь общение происходит в обе стороны. Как думаете, сколько сейчас на рынке устройств, поддерживающих Wi-Fi 6? Осмелюсь предположить, что значительно меньше 1%. Быстрым поиском я нашёл около 15 моделей смартфонов, и все они были не самой бюджетной ценовой категории. А значит, не так уж мал шанс, что ваш новенький дорогущий роутер будет очень красиво пылиться на шкафу и работать в режиме совместимости с предыдущими стандартами. Кто-то очень оптимистично утверждает, что не надо быть частью проблемы, стоит вложиться в инфраструктуру прямо сейчас, а уж устройства за 2-3 года обновятся. По личному опыту скажу, что активные устройства полностью не обновляется даже за 7 лет, и всё равно найдётся куча девайсов без поддержки новых стандартов. А уж если говорить о производителях, то многие бюджетные смартфоны до сих пор не поддерживают даже 802.11a (которому, кстати, 20 лет) и вынуждены работать на 2.4 ГГц. Про IoT («интернет вещей») я вообще боюсь даже гадать – вряд ли они вообще в обозримом будущем полностью перелезут хотя бы на 5 ГГц, если только производство компонентов не станет дешевле, чем на 2.4 ГГц. Какой уж там Wi-Fi 6?
В заключение
На самом деле хотелось рассказать гораздо больше: о мощности сигнала, о его дальности и поглощении стенами, о ретрансляторах (избегайте их любой ценой), о правильном направлении антенн (просто запомните, строго вертикально и никак иначе), о «вреде от излучения Wi-Fi». Но так как сайт непрофильный, то проще смириться с потраченным временем на 4 страницы текста, нежели на 8, если вдруг админы не захотят пропускать. Если будет отклик от сообщества, то может и наскребу на вторую статью.
Если же у вас имеются какие-либо вопросы, то с радостью постараюсь на них ответить.
Подписывайтесь на наш Telegram канал, там мы публикуем то, что не попадает в новостную ленту, и следите за нами в сети:
Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания.
Относится к:
Эта справочная тема политики безопасности для ИТ-специалистов описывает лучшие практики, расположение, значения, управление политикой и соображения безопасности для этого параметра политики.
Справочники
Федеральный стандарт обработки информации (FIPS) 140 — это реализация безопасности, предназначенная для сертификации криптографического программного обеспечения. Windows эти сертифицированные алгоритмы для удовлетворения требований и стандартов для криптографических модулей для использования департаментами и учреждениями федерального правительства США.
TLS/SSL
Этот параметр политики определяет, поддерживает ли поставщик безопасности TLS/SSL только пакет сильного шифра, соответствующий требованиям FIPS, известный как TLS_RSA_WITH_3DES_EDE_CBC_SHA, что означает, что поставщик поддерживает протокол TLS только как клиентский компьютер и как сервер, если это применимо. Он использует только алгоритм шифрования тройного шифрования данных (3DES) для шифрования трафика TLS, только алгоритм государственного ключа RIVEST-Shamir-Adleman (RSA) для обмена ключами TLS и проверки подлинности, и только алгоритм хеширования безопасного хеша версии 1 (SHA-1) для требований к хешировке TLS.
Шифрование файловой системы (EFS)
Для службы EFS этот параметр политики поддерживает алгоритмы шифрования 3DES и Advanced Encryption Standard (AES) для шифрования данных файлов, поддерживаемых файловой системой NTFS. Для шифрования данных файлов EFS по умолчанию использует алгоритм Advanced Encryption Standard (AES) с 256-битным ключом в Windows Server 2003, Windows Vista и более поздней, и использует алгоритм DESX в Windows XP.
Службы удаленных рабочих столов (RDS)
Если вы используете службы удаленного рабочего стола, этот параметр политики должен быть включен только при поддержке алгоритма шифрования 3DES.
BitLocker
Для BitLocker этот параметр политики необходимо включить до создания ключа шифрования. Пароли восстановления, созданные на Windows Server 2012 R2 и Windows 8.1, а затем, когда эта политика включена, несовместимы с BitLocker в операционных системах до Windows Server 2012 R2 и Windows 8.1; BitLocker предотвратит создание или использование паролей восстановления в этих системах, поэтому вместо этого следует использовать ключи восстановления. Кроме того, если диск данных защищен паролем, к нему можно получить доступ на компьютере, совместимом с FIPS, после того как пароль будет предоставлен, но диск будет только для чтения.
Возможные значения
Рекомендации
Мы рекомендуем клиентам, которые надеются соблюдать правила FIPS 140-2, и исследовать параметры конфигурации приложений и протоколов, которые они могут использовать для настройки их решений для использования проверенной криптографии FIPS 140-2, предоставляемой Windows при работе в утвержденном режиме FIPS 140-2.
Полный список параметров конфигурации, рекомендуемых Корпорацией Майкрософт, см. в Windows базовых данных по безопасности. Дополнительные сведения о Windows FIPS 140-2 см. в фейс-проверке FIPS 140.
Location
Конфигурация компьютера\Windows Параметры\Security Параметры\Local Policies\Security Options
Значения по умолчанию
В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
| Default Domain Policy | Не определено |
| Политика контроллера домена по умолчанию | Не определено |
| Параметры по умолчанию для автономного сервера | Отключено |
| Dc Effective Default Параметры | Отключено |
| Действующие параметры по умолчанию для рядового сервера | Отключено |
| Действующие параметры по умолчанию для клиентского компьютера | Отключено |
Различия версий операционной системы
Когда этот параметр включен, служба шифрования файловой системы (EFS) поддерживает только трехкратный алгоритм шифрования DES для шифрования данных файлов. По умолчанию Windows Vista и Windows Server 2003 EFS использует расширенный стандарт шифрования (AES) с 256-битным ключом. В Windows XP используется DESX.
Когда этот параметр включен, BitLocker создает пароль восстановления или ключи восстановления, применимые к версиям, указанным в следующих версиях:
| Операционные системы | Применимость |
|---|---|
| Windows 10, Windows 8.1 и Windows Server 2012 R2 | При работе с этими операционными системами пароль восстановления не может использоваться в других системах, перечисленных в этой таблице. |
| Windows Server 2012 и Windows 8 | При работе с этими операционными системами ключ восстановления можно использовать и в других системах, перечисленных в этой таблице. |
| Windows Server 2008 R2 и Windows 7 | При работе с этими операционными системами ключ восстановления можно использовать и в других системах, перечисленных в этой таблице. |
| Windows Server 2008 и Windows Vista | При работе с этими операционными системами ключ восстановления можно использовать и в других системах, перечисленных в этой таблице. |
Управление политикой
В этом разделе описываются функции и средства, доступные для управления этой политикой.
Необходимость перезапуска
Нет. Изменения в этой политике становятся эффективными без перезапуска устройства при локальном сбережении или распространении через групповую политику.
Групповая политика
Настройка и развертывание этой политики с помощью групповой политики имеет приоритет над параметром на локальном устройстве. Если в групповой политике установлено, что не настроено, будут применяться локальные параметры.
Вопросы безопасности
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.
Уязвимость
Вы можете включить этот параметр политики, чтобы убедиться, что устройство использует самые мощные алгоритмы, доступные для цифрового шифрования, хаширования и подписания. Использование этих алгоритмов минимизирует риск компрометации цифровых зашифрованных или подписанных данных несанкционированным пользователем.
Противодействие
Включить криптографию системы: используйте алгоритмы, совместимые с FIPS, для шифрования, хаширования и параметров подписи.
Возможное влияние
Клиентские устройства с включенным параметром политики не могут общаться с помощью зашифрованных или подписанных протоколов с серверами, которые не поддерживают эти алгоритмы. Сетевые клиенты, которые не поддерживают эти алгоритмы, не могут использовать серверы, которые требуют их для сетевых коммуникаций. Например, многие веб-серверы на основе Apache не настроены для поддержки TLS. Если вы включаете этот параметр, необходимо также настроить internet Explorer® использовать TLS. Этот параметр политики также влияет на уровень шифрования, используемый для протокола удаленного рабочего стола (RDP). Средство удаленного подключения к рабочему столу использует протокол RDP для связи с серверами, на которые работают службы терминалов и клиентские компьютеры, настроенные для удаленного управления; Подключение RDP не удается, если оба устройства не настроены на использование одинаковых алгоритмов шифрования.