Pregunta Después de habilitar FIPS en Windows 7, la conexión a XP MOde y XP Remote Desktop deja de funcionar


En un esfuerzo por asegurar mi estación de trabajo Windows 7 Pro x64, activé FIPS en el editor de políticas de seguridad local.

Security Settings/Local Policies/Security Options/
System cryptography: Use FIPS compliant algorithms for encryption, hashing and signing = Enabled

Ya no puedo acceder a mi computadora portátil XP Pro SP3 x32 a través de Escritorio remoto y mi máquina virtual XP Mode local ya no acepta el inicio de sesión automático o las Herramientas de integración.

Encendí la característica en ambos entornos de XP, pero no ayudó. Al apagar la función en mi PC con Windows 7 volví a habilitar las funciones. Pude conectar en ambos sentidos entre mi computadora portátil con Windows 7 Pro x64 y mi estación de trabajo con FIPS habilitado en ambos.

¿Perdí un paso?


1


origen


A menos que tenga una razón muy, muy buena para requerir absolutamente el modo FIPS y no tiene otra opción, hacer  no habilitar el modo FIPS. Reduce drásticamente las opciones que tiene el sistema y, muy a menudo, simplemente no puede encontrar ninguna opción restante que haga lo que usted desea. FIPS requiere que las cosas se rompan. - David Schwartz
@David: la única razón fue para ayudar a proteger mi escritorio de usuarios externos. Lo encendí cuando apunté con mi enrutador a la máquina para poder acceder al exterior cuando estoy en la carretera. Puedo seguir los pasos para encenderlo y apagarlo, así como para deshabilitar el enlace del enrutador. - Rich Shealer


Respuestas:


Activar FIPS no ayuda a proteger nada. Es solo para personas que deben encenderlo sin importar cuánto se rompa y no tienen otra opción. Si puede elegir, no lo encienda. FIPS es una cuestión de cumplimiento normativo y el cumplimiento de las reglamentaciones que no debe cumplir es un gasto enorme para el pago cero.

Créalo o no, incluso las personas que empujaron a Microsoft a tener soporte FIPS no lo encienden. Solo necesitan marcar una casilla de verificación que dice "Cumple con FIPS" en sus formularios de compra. Pero no están obligados a activarlo, y no lo hacen, por las mismas razones por las que no debería hacerlo.

A nadie le importa si el modo FIPS funciona, solo que realmente cumple con FIPS. Nuevamente, no hay ningún requisito que cualquier cosa trabajar en modo FIPS. Entonces, si no funciona, no se considera un problema que valga la pena solucionar. Al activar el modo FIPS, se desactiva todo lo que no sea compatible con FIPS.


1





Esta respuesta parece ser un poco dura. Al activar el modo de cumplimiento FIPS-140, de hecho se proporcionan algunas protecciones. Impide el uso de un esquema de cifrado más débil, que es protector.

Esto puede deducirse, en realidad, del comentario anterior que "reduce drásticamente las elecciones que tiene el sistema" - elimina los esquemas de cifrado que ya no son considerados apropiados por los Poderes Federales Federales. Y como se señaló en la respuesta, "Al activar el modo FIPS 140 se desactiva todo lo que no sea compatible con FIPS". Las cosas que no cumplen con FIPS 140 no serán conocido trabajar.

Resulta que eso es algo bueno. En los primeros cinco años del programa de verificación del módulo de cifrado, se descubrió que el 25% de los paquetes enviados tenían errores en la documentación, y el 8% tenía errores en la implementación. Es decir, si dependía de un paquete comercial que ya existía, había una posibilidad en doce de que no funcionara y no proporcionara ninguna otra protección que no fuera fumar.

Pero el tono del mensaje -que permitir que la disciplina FIPS 140 rompa cosas- es, por desgracia, correcto. Crypto es difícil. Los programadores a menudo no tienen la disciplina para hacerlo bien, particularmente con el software heredado. Si uno no está en un entorno federal donde debe hazlo, la mayoría de las personas no lo hagas hazlo.

Pero esto aparentemente está cambiando. Las empresas esperan una disciplinada ingeniería de seguridad de sus codificadores. Escucho que los clientes dicen "ya sabes, hay este STIG que usan los federales, ¿no deberíamos hacer esto?" Tener estándares (y FIPS es solo "Estándares federales de procesamiento de información") es una buena opción y es compatible con la interoperabilidad y la precisión.

Por lo tanto, si habilita el modo FIPS 140 correctamente, tiene buenas razones para esperar que el otro lado, si está configurado correctamente, también pueda funcionar en el modo FIPS 140. Si no, ¡archívelo como un error con el proveedor del sistema!


1



¿Qué respuesta parece dura? - Kazark
No he vuelto a revisar esto desde hace tiempo. Gracias por la información. Pero, ¿no debería funcionar el entorno XP nativo con FIPS habilitado con FIPS en la máquina con Windows 7? ¿Hay alguna otra área que necesite retocar? - Rich Shealer