Windows有一个隐藏设置，将只启用**认证的“FIPS兼容”加密。这听起来像是一种提高电脑安全性的方法，但事实并非如此。除非您在**部门工作或需要测试软件在**电脑上的行为，否则不应启用此设置。

这个调整正好符合其他无用的窗口调整神话。如果您在Windows中偶然发现此设置或在其他地方看到它，请不要启用它。如果您已经没有充分的理由启用了它，请使用以下步骤禁用“FIPS模式”。

什么是符合fips的加密(fips-compliant encryption)？

相关报道：10个Windows微调神话被揭穿

FIPS代表“联邦信息处理标准”。这是一套**标准，定义了**如何使用某些东西，例如加密算法。FIPS定义了可以使用的特定加密方法，以及生成加密密钥的方法。它由国家标准与技术研究所（NIST）出版。

Windows中的设置符合美国**的FIPS 140标准。启用后，它会强制Windows只使用FIPS验证的加密方案，并建议应用程序也这样做。

“FIPS模式”并不能使Windows更安全。它只是阻止了对未经FIPS验证的新加密方案的访问。这意味着它将无法使用新的加密方案，或更快的方式使用相同的加密方案。换句话说，它会让你的电脑速度变慢，功能变差，而且可以说不太安全。

如果启用此设置，windows的行为将如何不同

微软在一篇题为“为什么我们不再推荐”FIPS模式“的博客文章中解释了这个设置的实际用途。微软只建议你在必要时使用FIPS模式。例如，如果您使用的是美国**的计算机，则根据**自己的法规，该计算机应该启用“FIPS模式”。在您自己的个人计算机上启用此设置的情况并不存在，除非您在启用此设置的美国**计算机上测试软件的行为。

这个设置对Windows本身有两个作用。它强制Windows和Windows服务只使用FIPS验证的密码。例如，内置在Windows中的Schannel服务不能与较旧的ssl2.0和3.0协议一起工作，至少需要tls1.0。

微软的.NET框架还将阻止对未经FIPS验证的算法的访问。NET框架为大多数加密算法提供了几种不同的算法，甚至不是所有算法都已提交验证。例如，Microsoft注意到.NET framework中有三种不同版本的SHA256哈希算法。最快的一个还没有提交验证，但应该同样安全。因此，启用FIPS模式要么会中断使用更高效算法的.NET应用程序，要么会迫使它们使用效率较低的算法，速度较慢。

除了这两件事，启用FIPS模式还建议应用程序也只使用FIPS验证的加密。但它没有强迫其他任何东西。传统的Windows桌面应用程序可以选择实现他们想要的任何加密代码，甚至是极易受攻击的加密，或者根本不加密。FIPS模式不会对其他应用程序执行任何操作，除非它们遵守此设置。

如何禁用fips模式（或者启用它，如果必须的话）

您不应该启用此设置，除非您使用的是**计算机并被迫启用。如果启用此设置，某些使用者应用程序可能会要求您禁用FIPS模式，以便它们可以正常工作。

如果您需要启用或禁用FIPS模式-可能您在启用后看到错误消息，您需要测试您的软件在启用FIPS模式的计算机上的行为，或者您使用的是**计算机并且必须启用它-您可以通过多种方式来执行此操作。FIPS模式只能在连接到特定网络时启用，或通过始终适用的系统范围设置启用。

要仅在连接到特定网络时启用FIPS模式，请执行以下步骤：

1. 打开“控制面板”窗口。
2. 单击“网络和Internet”下的“查看网络状态和任务”。
3. 单击“更改适配器设置”
4. 右键单击要为其启用FIPS的网络，然后选择“状态”
5. 单击Wi-Fi状态窗口中的“Wireless Properties”（无线属性）按钮。
6. 单击网络属性窗口中的“安全”选项卡。
7. 单击“高级设置”按钮。
8. 切换802.11设置下的“启用此网络的联邦信息处理标准（FIPS）符合性”选项。

也可以在组策略编辑器中在系统范围内更改此设置。此工具仅在Windows的专业版、企业版和教育版上可用，而不是家庭版。如果您所在的计算机未加入为您管理计算机组策略设置的域，则只能使用本地组策略编辑器更改此工具。如果您的计算机已加入域，并且组策略设置由您的组织集中管理，您将无法自己更改。要在组策略中更改此设置，请执行以下操作：

1. 按Windows键+R打开“运行”对话框。
2. “类型”gpedit.msc软件“”进入“运行”对话框（不带引号），然后按Enter键。
3. 导航到组策略编辑器中的“计算机配置\Windows设置\Security Settings\Local Policys\Security Opti***”。
4. 找到右窗格中的“系统加密：使用符合FIPS的加密、哈希和签名算法”设置，然后双击它。
5. 将设置设置为“禁用”，然后单击“确定”
6. 重新启动计算机。

在Windows的家庭版本上，您仍然可以通过注册表设置启用或禁用FIPS设置。要检查注册表中是否启用或禁用了FIPS，请执行以下步骤：

1. 按Windows键+R打开“运行”对话框。
2. 在“运行”对话框中键入“regedit”（不带引号），然后按Enter键。
3. 导航到“HKEY\U LOCAL\U MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy\”。
4. 查看右窗格中的“Enabled”值。如果设置为“0”，则禁用FIPS模式。如果设置为“1”，则启用FIPS模式。要更改设置，请双击“Enabled”值并将其设置为“0”或“1”。
5. 重新启动计算机。

感谢Twitter上的@SwiftOnSecurity激发了这篇文章的灵感！