Depois de ativar o FIPS no Windows 7, a conexão com o XP MOde e o XP Remote Desktop pára de funcionar

Navegue suas respostas
1

Em um esforço para proteger minha estação de trabalho do Windows 7 Pro x64, eu ativei o FIPS no editor da Diretiva de Segurança Local. 

Security Settings/Local Policies/Security Options/
System cryptography: Use FIPS compliant algorithms for encryption, hashing and signing = Enabled

Eu não consigo mais acessar meu laptop XP Pro SP3 x32 via Área de Trabalho Remota e minha máquina virtual Modo XP local não aceita mais o login automático ou as Ferramentas de Integração.

Liguei o recurso em ambos os ambientes XP, mas isso não ajudou. Desligar o recurso no meu PC com Windows 7 reativou os recursos. Consegui conectar as duas formas entre meu laptop x64 do Windows 7 Pro e minha estação de trabalho com o FIPS ativado em ambos.

Eu perdi um passo?

    
por Rich Shealer 21.09.2012 / 01:43

2 respostas

1

Ativar o FIPS não ajuda a proteger nada. É só para pessoas que absolutamente devem ligá-lo, não importa o quanto ele quebre e não tenha escolha. Se você tiver uma escolha, não a ligue. O FIPS é uma coisa de conformidade regulatória e cumprir os regulamentos que você não tem que cumprir é uma despesa enorme para pagamento zero.

Acredite ou não, até mesmo as pessoas que forçaram a Microsoft a ter suporte ao FIPS não o ligam. Eles só precisam marcar uma caixa de seleção que diz "compatível com FIPS" em seus formulários de compra. Mas eles não são obrigados a ativá-lo, e eles não, pelas mesmas razões que você não deveria.

Ninguém se preocupa se o modo FIPS funciona, apenas que ele é realmente compatível com FIPS. Novamente, não há exigência de que qualquer coisa funcione no modo FIPS. Então, se não funcionar, isso não é considerado um problema que vale a pena consertar. Ativar o modo FIPS desativa tudo o que não é compatível com FIPS.

    
por 21.09.2012 / 20:21
1

Esta resposta parece ser um pouco dura. Ativar o modo de conformidade FIPS-140 fornece, de fato, algumas proteções. Isso evita o uso de esquema de criptografia mais fraco, que é protetor.

Isso pode ser deduzido, na verdade, do comentário acima que "reduz drasticamente as escolhas que o sistema tem" - remove os esquemas de criptografia que não são mais considerados apropriados pelas Potências Federais que São. E como a resposta observou, "Ativar o modo FIPS 140 desliga tudo o que não é compatível com FIPS". Coisas que não são compatíveis com o FIPS 140 não serão conhecidas para funcionar.

Acontece que isso é uma coisa boa. Nos primeiros cinco anos do programa de verificação do módulo de criptografia, descobriu-se que 25% dos pacotes enviados tinham erros na documentação e 8% tinham erros na implementação. Ou seja, se você estivesse dependendo de um pacote comercial já existente, havia cerca de uma chance em doze de que ele fosse quebrado e não fornecesse nenhuma proteção além da fumaça.

Mas o tom da mensagem - que permite que a disciplina FIPS 140 quebre as coisas - é, infelizmente, correto. A criptografia é difícil. Os programadores geralmente não têm a disciplina necessária para fazer isso da maneira certa, especialmente com softwares legados. Se alguém não estiver em um ambiente federal onde você deve fazê-lo, a maioria das pessoas não faz isso.

Mas isso está aparentemente mudando. As empresas esperam uma engenharia de segurança disciplinada de seus codificadores. Estou ouvindo os clientes dizerem "você sabe, há esse STIG que os federais usam, não deveríamos fazer isso?" Ter padrões (e o FIPS é apenas "Federal Information Processing Standards") é uma coisa boa e suporta interoperabilidade e precisão.

Portanto, se você ativar o modo FIPS 140 corretamente, você tem um bom motivo para esperar que o outro lado, se estiver configurado adequadamente, possa trabalhar no modo FIPS 140 também. Se não, arquive como um bug com o fornecedor do sistema!

    
por 18.04.2013 / 23:07

Tags

Histórico de comandos em várias sessões do PuTTy no SunOS 5.10 ifconfig ignora o alias no IPv6