為什麼不應該在windows上啟用“fips相容”加密

Windows有一個隱藏設定，將只啟用政府認證的“FIPS相容”加密。這聽起來像是一種提高電腦安全性的方法，但事實並非如此。除非您在政府部門工作或需要測試軟體在政府電腦上的行為，否則不應啟用此設定。...

Windows有一個隱藏設定，將只啟用**認證的“FIPS相容”加密。這聽起來像是一種提高電腦安全性的方法，但事實並非如此。除非您在**部門工作或需要測試軟體在**電腦上的行為，否則不應啟用此設定。

這個調整正好符合其他無用的視窗調整神話。如果您在Windows中偶然發現此設定或在其他地方看到它，請不要啟用它。如果您已經沒有充分的理由啟用了它，請使用以下步驟禁用“FIPS模式”。

什麼是符合fips的加密(fips-compliant encryption)？

相關報道：10個Windows微調神話被揭穿

FIPS代表“聯邦資訊處理標準”。這是一套**標準，定義了**如何使用某些東西，例如加密演算法。FIPS定義了可以使用的特定加密方法，以及生成加密金鑰的方法。它由國家標準與技術研究所（NIST）出版。

Windows中的設定符合美國**的FIPS 140標準。啟用後，它會強制Windows只使用FIPS驗證的加密方案，並建議應用程式也這樣做。

“FIPS模式”並不能使Windows更安全。它只是阻止了對未經FIPS驗證的新加密方案的訪問。這意味著它將無法使用新的加密方案，或更快的方式使用相同的加密方案。換句話說，它會讓你的電腦速度變慢，功能變差，而且可以說不太安全。

如果啟用此設定，windows的行為將如何不同

微軟在一篇題為“為什麼我們不再推薦”FIPS模式“的部落格文章中解釋了這個設定的實際用途。微軟只建議你在必要時使用FIPS模式。例如，如果您使用的是美國**的計算機，則根據**自己的法規，該計算機應該啟用“FIPS模式”。在您自己的個人計算機上啟用此設定的情況並不存在，除非您在啟用此設定的美國**計算機上測試軟體的行為。

這個設定對Windows本身有兩個作用。它強制Windows和Windows服務只使用FIPS驗證的密碼。例如，內建在Windows中的Schannel服務不能與較舊的ssl2.0和3.0協議一起工作，至少需要tls1.0。

微軟的.NET框架還將阻止對未經FIPS驗證的演算法的訪問。NET框架為大多數加密演算法提供了幾種不同的演算法，甚至不是所有演算法都已提交驗證。例如，Microsoft注意到.NET framework中有三種不同版本的SHA256雜湊演算法。最快的一個還沒有提交驗證，但應該同樣安全。因此，啟用FIPS模式要麼會中斷使用更高效演算法的.NET應用程式，要麼會迫使它們使用效率較低的演算法，速度較慢。

除了這兩件事，啟用FIPS模式還建議應用程式也只使用FIPS驗證的加密。但它沒有強迫其他任何東西。傳統的Windows桌面應用程式可以選擇實現他們想要的任何加密程式碼，甚至是極易受攻擊的加密，或者根本不加密。FIPS模式不會對其他應用程式執行任何操作，除非它們遵守此設定。

如何禁用fips模式（或者啟用它，如果必須的話）

您不應該啟用此設定，除非您使用的是**計算機並被迫啟用。如果啟用此設定，某些使用者應用程式可能會要求您禁用FIPS模式，以便它們可以正常工作。

如果您需要啟用或禁用FIPS模式-可能您在啟用後看到錯誤訊息，您需要測試您的軟體在啟用FIPS模式的計算機上的行為，或者您使用的是**計算機並且必須啟用它-您可以透過多種方式來執行此操作。FIPS模式只能在連線到特定網路時啟用，或透過始終適用的系統範圍設定啟用。

要僅在連線到特定網路時啟用FIPS模式，請執行以下步驟：

開啟“控制面板”視窗。
單擊“網路和Internet”下的“檢視網路狀態和任務”。
單擊“更改介面卡設定”
右鍵單擊要為其啟用FIPS的網路，然後選擇“狀態”
單擊Wi-Fi狀態視窗中的“Wireless Properties”（無線屬性）按鈕。
單擊網路屬性視窗中的“安全”選項卡。
單擊“高階設定”按鈕。
切換802.11設定下的“啟用此網路的聯邦資訊處理標準（FIPS）符合性”選項。

也可以在組策略編輯器中在系統範圍內更改此設定。此工具僅在Windows的專業版、企業版和教育版上可用，而不是家庭版。如果您所在的計算機未加入為您管理計算機組策略設定的域，則只能使用本地組策略編輯器更改此工具。如果您的計算機已加入域，並且組策略設定由您的組織集中管理，您將無法自己更改。要在組策略中更改此設定，請執行以下操作：

按Windows鍵+R開啟“執行”對話方塊。
“型別”gpedit.msc軟體“”進入“執行”對話方塊（不帶引號），然後按Enter鍵。
導航到組策略編輯器中的“計算機配置\Windows設定\Security Settings\Local Policys\Security Opti***”。
找到右窗格中的“系統加密：使用符合FIPS的加密、雜湊和簽名演算法”設定，然後雙擊它。
將設定設定為“禁用”，然後單擊“確定”
重新啟動計算機。

在Windows的家庭版本上，您仍然可以透過登錄檔設定啟用或禁用FIPS設定。要檢查登錄檔中是否啟用或禁用了FIPS，請執行以下步驟：

按Windows鍵+R開啟“執行”對話方塊。
在“執行”對話方塊中鍵入“regedit”（不帶引號），然後按Enter鍵。
導航到“HKEY\U LOCAL\U MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy\”。
檢視右窗格中的“Enabled”值。如果設定為“0”，則禁用FIPS模式。如果設定為“1”，則啟用FIPS模式。要更改設定，請雙擊“Enabled”值並將其設定為“0”或“1”。
重新啟動計算機。