Windows có một cài đặt ẩn sẽ chỉ cho phép mã hóa “tuân thủ FIPS” được chính phủ chứng nhận. Nghe có vẻ giống như một cách để tăng cường bảo mật cho PC của bạn, nhưng không phải vậy. Bạn không nên bật cài đặt này trừ khi bạn làm việc trong chính phủ hoặc cần kiểm tra xem phần mềm sẽ hoạt động như thế nào trên PC của chính phủ.

Tinh chỉnh này phù hợp với những huyền thoại về tinh chỉnh Windows vô dụng khác. Nếu bạn tình cờ gặp cài đặt này trong Windows hoặc thấy nó được đề cập ở nơi khác, đừng bật nó. Nếu bạn đã bật nó mà không có lý do chính đáng, hãy sử dụng các bước bên dưới để tắt “chế độ FIPS”.

Mã hóa tuân thủ FIPS là gì?

LIÊN QUAN: 10 lầm tưởng về tinh chỉnh Windows đã được gỡ bỏ

FIPS là viết tắt của “Tiêu chuẩn xử lý thông tin liên bang”. Đó là một tập hợp các tiêu chuẩn của chính phủ xác định cách một số thứ nhất định được sử dụng trong chính phủ – ví dụ, các thuật toán mã hóa. FIPS xác định một số phương pháp mã hóa cụ thể có thể được sử dụng, cũng như các phương pháp tạo khóa mã hóa. Nó được xuất bản bởi Viện Tiêu chuẩn và Công nghệ Quốc gia, hoặc NIST.

Cài đặt trong Windows tuân thủ tiêu chuẩn FIPS 140 của chính phủ Hoa Kỳ. Khi nó được kích hoạt, nó buộc Windows chỉ sử dụng các lược đồ mã hóa được FIPS xác nhận và khuyên các ứng dụng cũng nên làm như vậy.

“Chế độ FIPS” không làm cho Windows an toàn hơn. Nó chỉ chặn quyền truy cập vào các lược đồ mật mã mới hơn chưa được FIPS xác thực. Điều đó có nghĩa là nó sẽ không thể sử dụng các lược đồ mã hóa mới hoặc các cách nhanh hơn để sử dụng các lược đồ mã hóa tương tự. Nói cách khác, nó làm cho máy tính của bạn chậm hơn, ít chức năng hơn và được cho là ít hơn đảm bảo.

Windows hoạt động khác nhau như thế nào nếu bạn bật cài đặt này

Microsoft giải thích cài đặt này thực sự hoạt động gì trong một bài đăng trên blog có tựa đề “Tại sao chúng tôi không đề xuất“ Chế độ FIPS ”nữa.” Microsoft chỉ khuyến nghị bạn sử dụng chế độ FIPS nếu bạn phải làm như vậy. Ví dụ: nếu bạn đang sử dụng máy tính của chính phủ Hoa Kỳ, máy tính đó phải được kích hoạt “chế độ FIPS” theo quy định riêng của chính phủ. Không có trường hợp thực tế nào mà bạn muốn bật tính năng này trên máy tính cá nhân của mình – trừ khi bạn đang kiểm tra cách phần mềm của mình hoạt động trên các máy tính của chính phủ Hoa Kỳ với cài đặt này được bật.

Cài đặt này thực hiện hai điều đối với chính Windows. Nó buộc các dịch vụ Windows và Windows chỉ sử dụng mật mã được xác thực bởi FIPS. Ví dụ: dịch vụ Schannel được tích hợp trong Windows sẽ không hoạt động với các giao thức SSL 2.0 và 3.0 cũ hơn và thay vào đó sẽ yêu cầu ít nhất TLS 1.0.

Khuôn khổ .NET của Microsoft cũng sẽ chặn quyền truy cập vào các thuật toán không được FIPS xác thực. Khuôn khổ .NET cung cấp một số thuật toán khác nhau cho hầu hết các thuật toán mật mã và không phải tất cả chúng đều đã được gửi để xác nhận. Ví dụ, Microsoft lưu ý rằng có ba phiên bản khác nhau của thuật toán băm SHA256 trong .NET framework. Cái nhanh nhất chưa được gửi để xác thực, nhưng cũng phải an toàn. Vì vậy, việc bật chế độ FIPS sẽ phá vỡ các ứng dụng .NET sử dụng thuật toán hiệu quả hơn hoặc buộc chúng sử dụng thuật toán kém hiệu quả hơn và chậm hơn.

Ngoài hai điều đó, việc bật chế độ FIPS cũng khuyến nghị các ứng dụng rằng chúng chỉ sử dụng mã hóa được xác thực bởi FIPS. Nhưng nó không ép buộc bất cứ điều gì khác. Các ứng dụng máy tính để bàn Windows truyền thống có thể chọn triển khai bất kỳ mã mã hóa nào mà họ muốn – thậm chí mã hóa dễ bị tấn công khủng khiếp – hoặc không có mã hóa nào cả. Chế độ FIPS không làm bất cứ điều gì đối với các ứng dụng khác trừ khi chúng tuân theo cài đặt này.

Cách tắt Chế độ FIPS (hoặc Bật chế độ này, nếu bạn phải)

Bạn không nên bật cài đặt này trừ khi bạn đang sử dụng máy tính của chính phủ và bị buộc phải làm vậy. Nếu bạn bật cài đặt này, một số ứng dụng dành cho người tiêu dùng thực sự có thể yêu cầu bạn tắt chế độ FIPS để chúng có thể hoạt động bình thường.

Nếu bạn cần bật hoặc tắt chế độ FIPS – có thể bạn đã thấy thông báo lỗi sau khi bật chế độ này, bạn cần kiểm tra xem phần mềm của bạn sẽ hoạt động như thế nào trên máy tính có bật chế độ FIPS hoặc bạn đang sử dụng máy tính của chính phủ và có để kích hoạt nó – bạn có thể làm như vậy theo một số cách. Chế độ FIPS chỉ có thể được bật khi được kết nối với một mạng cụ thể hoặc thông qua cài đặt toàn hệ thống sẽ luôn áp dụng.

Để chỉ bật chế độ FIPS khi được kết nối với một mạng cụ thể, hãy thực hiện các bước sau:

  1. Mở cửa sổ Control Panel.
  2. Nhấp vào “Xem trạng thái mạng và tác vụ” trong Mạng và Internet.
  3. Nhấp vào “Thay đổi cài đặt bộ điều hợp”.
  4. Nhấp chuột phải vào mạng bạn muốn bật FIPS và chọn “Trạng thái”.
  5. Nhấp vào nút “Thuộc tính không dây” trong cửa sổ Trạng thái Wi-Fi.
  6. Nhấp vào tab “Bảo mật” trong cửa sổ thuộc tính mạng.
  7. Nhấp vào nút “Cài đặt nâng cao”.
  8. Chuyển đổi tùy chọn “Cho phép tuân thủ Tiêu chuẩn xử lý thông tin liên bang (FIPS) cho mạng này” trong cài đặt 802.11.

Cài đặt này cũng có thể được thay đổi trên toàn hệ thống trong trình chỉnh sửa chính sách nhóm. Công cụ này chỉ khả dụng trên các phiên bản Professional, Enterprise và Education của phiên bản Windows chứ không phải phiên bản Home. Bạn chỉ có thể sử dụng trình chỉnh sửa chính sách nhóm cục bộ để thay đổi công cụ này nếu bạn đang sử dụng máy tính chưa được tham gia vào miền đang quản lý cài đặt chính sách nhóm của máy tính cho bạn. Nếu máy tính của bạn được tham gia vào một miền và cài đặt chính sách nhóm do tổ chức của bạn quản lý tập trung, bạn sẽ không thể tự thay đổi cài đặt này. Để thay đổi cài đặt này trong Chính sách Nhóm:

  1. Nhấn phím Windows + R để mở hộp thoại Chạy.
  2. Gõ “gpedit.msc” vào hộp thoại Run (không có dấu ngoặc kép) và nhấn Enter.
  3. Điều hướng đến “Cấu hình máy tính Cài đặt Windows Cài đặt bảo mật Chính sách cục bộ Tùy chọn bảo mật” trong Trình chỉnh sửa chính sách nhóm.
  4. Tìm cài đặt “Mật mã hệ thống: Sử dụng các thuật toán tuân thủ FIPS để mã hóa, băm và ký” trong ngăn bên phải và nhấp đúp vào nó.
  5. Đặt cài đặt thành “Đã tắt” và nhấp vào “OK”.
  6. Khởi động lại máy tính.

Trên phiên bản Home của Windows, bạn vẫn có thể bật hoặc tắt cài đặt FIPS thông qua cài đặt đăng ký. Để kiểm tra xem FIPS được bật hay tắt trong sổ đăng ký, hãy làm theo các bước sau:

  1. Nhấn phím Windows + R để mở hộp thoại Chạy.
  2. Gõ “regedit” vào hộp thoại Run (không có dấu ngoặc kép) và nhấn Enter.
  3. Điều hướng đến “HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa FipsAlgorithmPolicy ”.
  4. Nhìn vào giá trị “Đã bật” trong ngăn bên phải. Nếu nó được đặt thành “0”, chế độ FIPS sẽ bị tắt. Nếu nó được đặt thành “1”, chế độ FIPS được bật. Để thay đổi cài đặt, hãy nhấp đúp vào giá trị “Đã bật” và đặt nó thành “0” hoặc “1”.
  5. Khởi động lại máy tính.


Nhờ vào @SwiftOnSecurity trên Twitter để tạo cảm hứng cho bài đăng này!

Tham khảo (HowToGeek)