microsoft, windows server, windows server 2012, windows server 2016, windows server 2019, fips, bezpečnost,

Microsoft nedoporučuje zapnutí režimu FIPS (FIPS mode)

Michal ZOBEC Michal ZOBEC Sledovat Jul 20, 2020 · 1 minuta čtení
Microsoft nedoporučuje zapnutí režimu FIPS (FIPS mode)
Sdílet

Donedávna Microsoft jako součást šablon Microsoft Security Baseline doporučoval zapnutí režimu FIPS (FIPS mode) pro klientské a serverové systémy Windows.

Pokud jste studovali šablony Microsoft Security Baseline, víte, že režimu FIPS (FIPS mode) je doporučeno zapnout jak pro klientské Microsoft Windows, tak pro serverové systémy Microsoft Windows Server.

Co je FIPS režim (FIPS mode)?

FIPS mode je přepnutí režimu šifrování Windows, jeho součástí a dalších produktů do kryptografického standardu FIPS 140, definovaného National Institute of Standards and Technology (NIST). Jedná se o šifrovací algoritmus jako standard vlády USA a je požadován jako povinný pro všechny vládní úřady a organizace, včetně armády a tajných služeb.

Tento režim je striktní, to tedy znamená, že všechny algoritmy a protokoly, které nepodléhají schválení definici FIPS 140, jsou zakázány.

Možné potíže s FIPS režimem

To však je zdrojem problémů pro většinu aplikací třetích stran, které s FIPS nepočítají a které používají současné standardy. Z pohledu běžných standardů je například aktuálně používaný protokol TLS ve verzi 1.3, z pohledu FIPS 140 je to TLS verze 1.0. Pokud je režim FIPS zapnut, musí systém a veškerý software používat standard z pohledu FIPS, tedy TLS 1.0.

Další problémy mohou být u aplikací napsaných v .NET Frameworku. Pokud aplikace nepodporuje režim FIPS a používá na tvrdo nějaký konkrétní šifrovací algorytmus, běhový engine .NET Frameworku to pozná a tuto akci aplikace ukončí. Při zapnutém režimu FIPS s aplikací, která jej nepodporuje a používá šifrování tedy hrozí, že nebude vůbec fungovat.

Zapnutí režimu FIPS je politika, definovaná v Group Policy, je to tedy technicky hodnota v registru. Některé aplikace nemusí toto zohledňovat a mohou fungovat dál bez ohledu, zda je FIPS režim zapnutý, či vypnutý.

Poznámka: Tento popis považujte za velmi stručný.

Závěr

Microsoft přímo neříká, že používání FIPS nedoporučuje, či zakazuje. Doporučení zní, pokud můžete, použití FIPS se vyhněte.

Zvláště pokud se bude jednat o server, který zajišťuje veřejně dostupné služby na internetu, může být zapnutý režim FIPS zdrojem potíží.

Odkazy

featured
Michal ZOBEC
Napsal Michal ZOBEC Sledovat
IT konzultant, projekt manažer.

Působím v IT oboru 16 let se zaměřením na produkty společnosti Microsoft, zejména Windows Server, Exchange Server, SQL Server a Hyper-V Server. V současné době se věnuji kromě konzultací, také vývoji software a řízením projektů, včetně vývoje řešení pro cloud Microsoft Azure.

Mám zkušenosti ve společnostech všech velikostí, od živnostníků po velké korporace. Své služby jsem poskytoval také některým školám. Mám také několikaleté zkušenosti se spoluprací s mezinárodními společnostmi, kde se členové týmu nachází v různých zemích.
PowerShell: Jak konfigurovat Windows Firewall s pomocí PowerShellu