Fips vpn что это

Почему не следует включать «FIPS-совместимое» шифрование в Windows

В Windows есть скрытый параметр, который позволяет использовать только сертифицированные государством «FIPS-совместимые». шифрование . Может показаться, что это способ повысить безопасность вашего компьютера, но это не так. Не следует включать этот параметр, если вы не работаете в правительстве или вам не нужно тестировать, как программное обеспечение будет вести себя на государственных компьютерах.

Этот твик подходит к другим бесполезные мифы о настройке Windows . Если вы наткнулись на этот параметр в Windows или видели, как он упоминается в другом месте, не включайте его. Если вы уже включили его без уважительной причины, выполните следующие действия, чтобы отключить «Режим FIPS».

Что такое шифрование по стандарту FIPS?

FIPS расшифровывается как «Федеральные стандарты обработки информации». Это набор государственных стандартов, которые определяют, как определенные вещи используются в правительстве, например, алгоритмы шифрования. FIPS определяет определенные конкретные методы шифрования, которые можно использовать, а также методы для генерации ключей шифрования. Он опубликован Национальным институтом стандартов и технологий (NIST).

Настройка в Windows соответствует стандарту правительства США FIPS 140. Когда он включен, он заставляет Windows использовать только схемы шифрования, проверенные FIPS, и также рекомендует делать это приложениям.

«Режим FIPS» не делает Windows более безопасной. Он просто блокирует доступ к новым схемам криптографии, которые не прошли проверку FIPS. Это означает, что он не сможет использовать новые схемы шифрования или более быстрые способы использования тех же схем шифрования. Другими словами, это делает ваш компьютер медленнее, менее функциональным и, возможно, Меньше безопасный.

Как Windows ведет себя по-другому, если вы включите этот параметр

Microsoft объясняет, что на самом деле делает этот параметр, в сообщении блога, озаглавленном « Почему мы больше не рекомендуем «режим FIPS» . » Microsoft рекомендует использовать режим FIPS только в случае необходимости. Например, если вы используете правительственный компьютер США, на этом компьютере должен быть включен «режим FIPS» в соответствии с собственными постановлениями правительства. Нет никакого реального случая, когда вы захотели бы включить это на своем собственном персональном компьютере — если только вы не тестировали, как ваше программное обеспечение ведет себя на компьютерах правительства США с этой включенной настройкой.

Этот параметр выполняет две функции с самой Windows. Он заставляет службы Windows и Windows использовать только шифрование, подтвержденное FIPS. Например, служба Schannel, встроенная в Windows, не будет работать со старыми протоколами SSL 2.0 и 3.0 и вместо этого потребует хотя бы TLS 1.0.

Платформа Microsoft .NET также блокирует доступ к алгоритмам, которые не прошли проверку FIPS. Платформа .NET предлагает несколько различных алгоритмов для большинства алгоритмов криптографии, и не все из них даже были отправлены на проверку. В качестве примера Microsoft отмечает, что в .NET framework есть три различных версии алгоритма хеширования SHA256. Самый быстрый из них не был отправлен на проверку, но должен быть таким же безопасным. Таким образом, включение режима FIPS либо нарушит работу приложений .NET, использующих более эффективный алгоритм, либо заставит их использовать менее эффективный алгоритм и работать медленнее.

Помимо этих двух вещей, включение режима FIPS рекомендует приложениям также использовать только шифрование с проверкой FIPS. Но больше ничего не заставляет. Традиционные настольные приложения Windows могут реализовать любой код шифрования, который они хотят, даже ужасно уязвимое шифрование, или вообще не использовать шифрование. Режим FIPS ничего не делает с другими приложениями, если они не подчиняются этому параметру.

Как отключить режим FIPS (или включить его, если необходимо)

Не следует включать этот параметр, если вы не используете правительственный компьютер и не будете вынуждены это сделать. Если вы включите этот параметр, некоторые потребительские приложения могут фактически попросить вас отключить режим FIPS, чтобы они могли работать правильно.

Если вам нужно включить или отключить режим FIPS — возможно, вы видели сообщение об ошибке после его включения, вам нужно проверить, как ваше программное обеспечение будет вести себя на компьютере с включенным режимом FIPS, или вы используете правительственный компьютер и чтобы включить его — вы можете сделать это несколькими способами. Режим FIPS можно включить только при подключении к определенной сети или с помощью общесистемной настройки, которая будет применяться всегда.

Чтобы включить режим FIPS только при подключении к определенной сети, выполните следующие действия:

1. Откройте окно панели управления.
2. Нажмите «Просмотр состояния сети и задач» в разделе «Сеть и Интернет».
3. Нажмите «Изменить настройки адаптера».
4. Щелкните правой кнопкой мыши сеть, для которой нужно включить FIPS, и выберите «Состояние».
5. Нажмите кнопку «Свойства беспроводной сети» в окне состояния Wi-Fi.
6. Щелкните вкладку «Безопасность» в окне свойств сети.
7. Нажмите кнопку «Дополнительные настройки».
8. Включите параметр «Включить соответствие федеральным стандартам обработки информации (FIPS) для этой сети» в настройках 802.11.

Этот параметр также можно изменить для всей системы в редакторе групповой политики. Этот инструмент доступен только в версиях Windows Professional, Enterprise и Education, но не в версиях Home. Вы можете использовать только редактор локальной групповой политики чтобы изменить этот инструмент, если вы работаете на компьютере, который не подключен к домену, который управляет настройками групповой политики вашего компьютера за вас. Если ваш компьютер присоединен к домену, а настройки групповой политики централизованно управляются вашей организацией, вы не сможете изменить их самостоятельно. Чтобы изменить этот параметр в групповой политике:

1. Нажмите Windows Key + R, чтобы открыть диалоговое окно «Выполнить».
2. Введите «gpedit.msc» в диалоговом окне «Выполнить» (без кавычек) и нажмите Enter.
3. Перейдите к «Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности» в редакторе групповой политики.
4. Найдите параметр «Системная криптография: использовать алгоритмы, совместимые с FIPS для шифрования, хеширования и подписи» на правой панели и дважды щелкните его.
5. Установите для параметра значение «Отключено» и нажмите «ОК».
6. Перезагрузите компьютер.

В домашних версиях Windows вы по-прежнему можете включать или отключать параметр FIPS через параметр реестра. Чтобы проверить, включен или отключен FIPS в реестре выполните следующие действия:

1. Нажмите Windows Key + R, чтобы открыть диалоговое окно «Выполнить».
2. Введите «regedit» в диалоговом окне «Выполнить» (без кавычек) и нажмите Enter.
3. Перейдите к «HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \».
4. Посмотрите на значение «Включено» на правой панели. Если установлено значение «0», режим FIPS отключен. Если установлено значение «1», режим FIPS включен. Чтобы изменить настройку, дважды щелкните значение «Включено» и установите для него значение «0» или «1».
5. Перезагрузите компьютер.

Благодаря @SwiftOnSecurity в Твиттере за создание этого поста!

OpenVPN

OpenVPN — свободная реализация технологии виртуальной частной сети (VPN) с открытым исходным кодом для создания зашифрованных каналoв типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами, находящимися за NAT и сетевым экраном, без необходимости изменения их настроек. OpenVPN была создана Джеймсом Йонаном (James Yonan) и распространяется под лицензией GNU GPL [1] .

2023

Российские операторы связи массово блокируют VPN-протоколы OpenVPN и WireGuard

Российские операторы связи, включая МТС, «Билайн», «МегаФон», Tele2, Yota и «Тинькофф Мобайл», массово блокируют VPN-протоколы OpenVPN и WireGuard, которые популярны в корпоративной среде, в частности у крупных компаний. Об этом стало известно 7 августа 2023 года.

Наибольшее число жалоб поступило из Москвы и области, Санкт-Петербурга и Ленинградской области, а также Татарстана, сообщил проект «На связи». По его данным, плохо работали или вообще не работали подключения по протоколам Wireguard, OpenVPN, IPSec, Shadowsocks, IKEv2. Среди сервисов, которые пострадали от сбоя, — Psiphon, VPN generator, Lantern, Windscribe, Tachyon, Betternet, Cloudflare, Urban VPN, Amnezia и другие.

Российские операторы связи массово блокируют VPN-протоколы OpenVPN и WireGuard

Как отметила команда Terona VPN, проблемы с работой VPN действительно наблюдаются, особенно часто с мобильных устройств. В качестве причины называют «очередную волну блокировок Роскомнадзора», которые после OpenVPN взялись и за WireGuard. В сервисе пообещали вскоре перейти на «более устойчивые к блокировкам протоколы».

OpenVPN обычно используется не столько для обхода ограничений и получения доступа к заблокированным сайтам, сколько применяется в корпоративном секторе крупными российскими компаниями в качестве инструмента верификации своих сотрудников. [2]

OpenVPN 2.6.0

25 января 2023 года стало известно о том, что после двух с половиной лет с момента публикации ветки 2.5 подготовлен релиз OpenVPN 2.6.0, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Код OpenVPN распространяется под лицензией GPLv2, готовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и Windows.

OpenVPN 2.6.0. Иллюстрация: pcprogs.net.

Как сообщалось, основные изменения коснулись следующего:

• Обеспечена поддержка неограниченного числа соединений.
• В состав включён модуль ядра ovpn-dco, позволяющий оптимизировать производительность VPN. Оптимизация достигается за счёт выноса всех операций шифрования, обработки пакетов и управления каналом связи на сторону ядра Linux, что позволяет избавиться от накладных расходов, связанных с переключением контекста, даёт возможность оптимизировать работу за счёт прямого обращения к внутренним API ядра и исключает медленную передачу данных между ядром и пространством пользователя (шифрование, расшифровка и маршрутизация выполняется модулем без отправки трафика в обработчик в пространстве пользователя).
• В проведённых тестах по сравнению с конфигурацией на основе интерфейса tun применение модуля на стороне клиента и сервера при использовании шифра AES-256-GCM позволило добиться прироста пропускной способности в 8 раз (с 370 Mbit/s до 2950 Mbit/s). При применении модуля только на стороне клиента пропускная способность возросла в три раза для исходящего трафика и не изменилась для входящего. При применении модуля только на стороне сервера пропускная способность возросла в 4 раза для входящего трафика и на 35% для исходящего.
• Предоставлена возможность использования режима TLS с самоподписанными сертификатами (при применении опции «—peer-fingerprint» можно не указывать параметры «—ca» и «—capath» и обойтись без запуска PKI-сервера на базе Easy-RSA или похожего ПО).
• В UDP-сервере реализован режим согласования соединения на основе Cookie, при котором в качестве идентификатора сеанса используется Cookie на основе HMAC, что позволяет серверу проводить верификацию без сохранения состояния.
• Добавлена поддержка сборки с библиотекой OpenSSL 3.0. Добавлен параметр «—tls-cert-profile insecure» для выбора минимального уровня безопасности OpenSSL.
• Добавлены дополнительные управляющие команды remote-entry-count и remote-entry-get для подсчёта числа внешних подключений и вывода их списка.
• В процессе согласования ключей более приоритетным методом получения материала для генерации ключей теперь является механизм EKM (Exported Keying Material, RFC 5705), вместо специфичного механизма OpenVPN PRF. Для применения EKM требуется библиотека OpenSSL или mbed TLS 2.18+.
• Обеспечена совместимость с OpenSSL в FIPS-режиме, что позволяет использовать OpenVPN на системах, удовлетворяющих требованиям безопасности FIPS 140-2.
• В mlock реализована проверка резервирования достаточного размера памяти. При доступности менее 100 МБ ОЗУ для повышения лимита осуществляется вызов setrlimit().
• Добавлена опция «—peer-fingerprint» для проверки корректности или привязки сертификата по fingerprint-отпечатку на основе хэша SHA256, без применения tls-verify.
• Для скриптов предоставлена возможность отложенной (deferred) аутентификации, реализуемой при помощи опции «—auth-user-pass-verify». В скриптах и плагинах добавлена поддержка информирования клиента об ожидании (pending) аутентификации при применении отложенной аутентификации.
• Добавлен режим совместимости (—compat-mode), позволяющий подключаться к старым серверам, на которых используется OpenVPN 2.3.x или более старые версии.
• В списке, передаваемом через параметр «—data-ciphers», разрешено указание префикса «?» для определения необязательных шифров, которые будут задействованы только при наличии поддержки в SSL-библиотеке.
• Добавлена опция «—session-timeout» при помощи которой можно ограничить максимальное время сеанса.
• В файле конфигурации разрешено указание имени и пароля при помощи тега .
• Предоставлена возможность динамической настройки MTU клиента, на основе данных об MTU, переданных сервером. Для изменения максимального размера MTU добавлена опция «—tun-mtu-max» (по умолчанию 1600).
• Добавлен параметр «—max-packet-size» для определения максимального размера управляющих пакетов.
• Удалена поддержка режима запуска OpenVPN через inetd. Удалена опция ncp-disable. Объявлены устаревшими опция verify-hash и режим статических ключей (оставлен только TLS). В разряд устаревших переведены протоколы TLS 1.0 и 1.1 (параметр tls-version-min по умолчанию выставлен в значение 1.2). Удалена встроенная реализация генератора псевдослучайных чисел (—prng), следует использовать реализацию PRNG из криптобиблиотек mbed TLS или OpenSSL. Прекращена поддержка пакетного фильтра PF (Packet Filtering). По умолчанию отключено сжатие (—allow-compression=no).
• В список шифров по умолчанию добавлен CHACHA20-POLY1305 [3] .

2022: Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости

Подготовлены корректирующие выпуски OpenVPN 2.5.6 и 2.4.12, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Об этом стало известно 17 мата 2022 года. Код OpenVPN распространяется под лицензией GPLv2, готовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и Windows.

В данных версиях устранена уязвимость, потенциально позволяющая обойти аутентификацию через манипуляцию с внешними плагинами, поддерживающими режим отложенной аутентификации (deferred_auth). Проблема возникает, когда несколько плагинов отправляют отложенные ответы аутентификации, что позволяет внешнему пользователю получить доступ на основе не полностью корректных учётных данных. Начиная с выпусков OpenVPN 2.5.6 и 2.4.12 попытки использования отложенной аутентификации несколькими плагинами будут приводить к выводу ошибки. Карта ключевых компаний экосистемы «1С»

Из других изменений отмечают включение в состав плагина sample-plugin/defer/multi-auth.c, который может быть полезен для организации тестирования одновременного использования разных плагинов аутентификации, чтобы в дальнейшем избежать уязвимостей, подобных той, что была рассмотрена выше. На платформе Linux налажена работа опции «—mtu-disc maybe|yes». Устранена утечка памяти в процедурах добавления маршрутов [4] .

Примечания

1. ↑OpenVPN
2. ↑Российские операторы связи массово блокируют протоколы OpenVPN и WireGuard
3. ↑Доступен OpenVPN 2.6.0
4. ↑Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости

Интеграция Defender для удостоверений VPN в XDR в Microsoft Defender

Microsoft Defender для удостоверений можно интегрировать с решением VPN, прослушивая события учета RADIUS, перенаправленные в Датчики Defender для удостоверений, такие как IP-адреса и расположения, в которых произошли подключения. Данные учета VPN могут помочь в расследовании, предоставив дополнительные сведения об активности пользователей, таких как расположения, из которых компьютеры подключаются к сети, а также дополнительное обнаружение ненормальных VPN-подключений.

Интеграция VPN Defender для удостоверений основана на стандартном учете RADIUS (RFC 2866) и поддерживает следующие поставщики VPN:

• Microsoft
• F5
• Check Point
• Cisco ASA

Интеграция VPN не поддерживается в средах, соответствующих федеральным стандартам обработки информации (FIPS)

Интеграция VPN Defender для удостоверений поддерживает как основное имя участника-пользователя, так и альтернативные имена субъектов-пользователей. Вызовы для разрешения внешних IP-адресов в расположении анонимны, и личный идентификатор не отправляется в вызове.

Необходимые компоненты

Прежде чем приступить к работе, должны быть выполнены следующие условия:

• развернутые Microsoft Defender для удостоверений
• Доступ к области Параметры в XDR в Microsoft Defender. Дополнительные сведения см. в разделе Microsoft Defender для удостоверений группы ролей.
• Возможность настроить RADIUS в vpn-системе. В этой статье приведен пример настройки Microsoft Defender для удостоверений сбора сведений об учете из VPN-решений с помощью сервера маршрутизации и удаленного доступа (RRAS). Если вы используете стороннее решение VPN, обратитесь к их документации по инструкциям по включению учета RADIUS.

При настройке интеграции VPN датчик Defender для удостоверений включает предварительно подготовленную политику брандмауэра Windows с именем Microsoft Defender для удостоверений Датчик. Эта политика позволяет входящего учета RADIUS через порт UDP 1813.

Настройка учета RADIUS в vpn-системе

В этой процедуре описывается настройка учета RADIUS на сервере RRAS для интеграции VPN-системы с Defender для удостоверений. Инструкции вашей системы могут отличаться.

На сервере RRAS:

1. Откройте консоль маршрутизации и удаленного доступа.
2. Щелкните имя сервера правой кнопкой мыши и выберите пункт Свойства.
3. На вкладке «Безопасность» в разделе «Поставщик учета» выберите RADIUS Accounting >Configure. Например:
4. В диалоговом окне «Добавление сервера RADIUS» введите имя сервера ближайшего датчика Defender для удостоверений с сетевым подключением. Для обеспечения высокой доступности можно добавить дополнительные датчики Defender для удостоверений в качестве серверов RADIUS.
5. В разделе «Порт» убедитесь, что значение 1813 по умолчанию настроено.
6. Выберите «Изменить » и введите новую общую строку секрета буквенно-цифровых символов. Запишите новую строку общего секрета, так как вам потребуется позже при настройке интеграции VPN в Defender для удостоверений.
7. Установите флажок «Отправить учетную запись RADIUS» и «Выключить учет» и нажмите кнопку «ОК» во всех открытых диалоговых окнах. Например:

Настройка VPN в Defender для удостоверений

В этой процедуре описывается настройка интеграции VPN Defender для удостоверений в XDR в Microsoft Defender.

1. Войдите в Microsoft Defender XDR и выберите VPN Параметры> Identities.>
2. Выберите «Включить учет радиуса» и введите общий секрет , который вы ранее настроили на VPN-сервере RRAS. Например:
3. Чтобы продолжить, нажмите кнопку Сохранить.

После сохранения выбора датчики Defender для удостоверений начинают прослушивать события учета RADIUS через порт 1813, а настройка VPN завершена.

Когда датчик Defender для удостоверений получает события VPN и отправляет их в облачную службу Defender для удостоверений для обработки, профиль сущности указывает различные расположения VPN, к которым был получен доступ, и действия профиля указывают расположения.

Связанный контент

Дополнительные сведения см. в разделе «Настройка коллекции событий».

Почему вы не должны включать FIPS-совместимое шифрование в Windows

В Windows есть скрытый параметр, который включает только сертифицированное правительством «FIPS-совместимое» шифрование. Это может звучать как способ повысить безопасность вашего ПК, но это не так. Вам не следует включать этот параметр, если вы не работаете в правительстве или не хотите проверить, как программное обеспечение будет работать на государственных ПК.

Этот твик отлично сочетается с другими бесполезными мифами о настройке Windows. Если вы наткнулись на этот параметр в Windows или видели, что он упоминался в другом месте, не включайте его. Если вы уже включили его без уважительной причины, выполните следующие действия, чтобы отключить «Режим FIPS»..

Что такое FIPS-совместимое шифрование?

FIPS расшифровывается как «Федеральные стандарты обработки информации». Это набор государственных стандартов, которые определяют, как определенные вещи используются в правительстве, например, алгоритмы шифрования. FIPS определяет определенные конкретные методы шифрования, которые можно использовать, а также методы генерации ключей шифрования. Он публикуется Национальным институтом стандартов и технологий или NIST.

Настройка в Windows соответствует стандарту FIPS 140 правительства США. Когда он включен, он заставляет Windows использовать только схемы шифрования, проверенные FIPS, и рекомендует приложениям также.

«Режим FIPS» не делает Windows более безопасной. Он просто блокирует доступ к новым схемам криптографии, которые не прошли FIPS-проверку. Это означает, что он не сможет использовать новые схемы шифрования или более быстрые способы использования тех же схем шифрования. Другими словами, это делает ваш компьютер медленнее, менее функциональным и, возможно, Меньше безопасный.

Как Windows ведет себя по-другому, если вы включите этот параметр

Microsoft объясняет, что на самом деле делает этот параметр, в своем блоге, озаглавленном «Почему мы больше не рекомендуем« режим FIPS ».» Microsoft рекомендует использовать режим FIPS только в случае необходимости. Например, если вы используете компьютер правительства США, на этом компьютере должен быть включен «режим FIPS» в соответствии с собственными нормативными актами правительства. Нет реального случая, когда вы захотите включить это на своем персональном компьютере, если только вы не тестировали поведение своего программного обеспечения на компьютерах правительства США с включенным этим параметром..

Этот параметр делает две вещи для самой Windows. Это заставляет службы Windows и Windows использовать только проверенную FIPS криптографию. Например, служба Schannel, встроенная в Windows, не будет работать со старыми протоколами SSL 2.0 и 3.0, и вместо этого потребуется как минимум TLS 1.0.

Microsoft .NET Framework также будет блокировать доступ к алгоритмам, не прошедшим FIPS-проверку. .NET Framework предлагает несколько различных алгоритмов для большинства алгоритмов криптографии, и не все из них даже были представлены для проверки. В качестве примера Microsoft отмечает, что в .NET Framework есть три разные версии алгоритма хеширования SHA256. Самый быстрый из них не был представлен для проверки, но должен быть таким же безопасным. Таким образом, включение режима FIPS приведет к поломке приложений .NET, которые используют более эффективный алгоритм, или заставит их использовать менее эффективный алгоритм и будет медленнее..

Помимо этих двух вещей, включение режима FIPS рекомендует приложениям использовать только проверенное шифрование FIPS. Но это не заставляет больше ничего. Традиционные настольные приложения Windows могут выбрать любой код шифрования, какой пожелают, даже ужасно уязвимое, или вообще не шифровать. Режим FIPS ничего не делает с другими приложениями, если они не подчиняются этому параметру.

Как отключить режим FIPS (или включить его, если нужно)

Вам не следует включать этот параметр, если вы не используете государственный компьютер и не обязаны это делать. Если вы включите этот параметр, некоторые потребительские приложения могут фактически попросить вас отключить режим FIPS, чтобы они могли нормально работать.

Если вам нужно включить или отключить режим FIPS — возможно, вы увидели сообщение об ошибке после его включения, вам нужно проверить, как ваше программное обеспечение будет работать на компьютере с включенным режимом FIPS, или вы используете правительственный компьютер и имеете чтобы включить его — вы можете сделать это несколькими способами. Режим FIPS можно включить только при подключении к определенной сети или через общесистемный параметр, который всегда будет применяться.

Чтобы включить режим FIPS только при подключении к определенной сети, выполните следующие действия:

1. Откройте окно панели управления.
2. Нажмите «Просмотр состояния сети и задач» в разделе «Сеть и Интернет»..
3. Нажмите «Изменить настройки адаптера».
4. Щелкните правой кнопкой мыши сеть, для которой вы хотите включить FIPS, и выберите «Статус».
5. Нажмите кнопку «Свойства беспроводной сети» в окне статуса Wi-Fi..
6. Перейдите на вкладку «Безопасность» в окне свойств сети..
7. Нажмите кнопку «Дополнительные настройки».
8. Установите флажок «Включить соответствие федеральным стандартам обработки информации (FIPS) для этой сети» в настройках 802.11.

Этот параметр также можно изменить в масштабе всей системы в редакторе групповой политики. Этот инструмент доступен только в Профессиональной, Корпоративной и Образовательной версиях Windows-not Home. Вы можете использовать редактор локальной групповой политики только для изменения этого инструмента, если вы находитесь на компьютере, который не присоединен к домену, который управляет параметрами групповой политики вашего компьютера для вас. Если ваш компьютер присоединен к домену и параметры групповой политики централизованно управляются вашей организацией, вы не сможете изменить его самостоятельно. Чтобы изменить этот параметр в групповой политике:

1. Нажмите клавиши Windows + R, чтобы открыть диалоговое окно «Выполнить».
2. Введите «gpedit.msc» в диалоговом окне «Выполнить» (без кавычек) и нажмите Enter.
3. Перейдите к «Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности» в редакторе групповой политики..
4. Найдите параметр «Системная криптография: используйте FIPS-совместимые алгоритмы для шифрования, хэширования и подписи» на правой панели и дважды щелкните его.
5. Установите параметр «Отключено» и нажмите «ОК».
6. Перезагрузите компьютер.

В домашних версиях Windows вы все равно можете включить или отключить параметр FIPS через параметр реестра. Чтобы проверить, включен или выключен FIPS в реестре, выполните следующие действия:

1. Нажмите клавиши Windows + R, чтобы открыть диалоговое окно «Выполнить».
2. Введите «regedit» в диалоговом окне «Выполнить» (без кавычек) и нажмите Enter.
3. Перейдите к «HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \».
4. Посмотрите на значение «Включено» на правой панели. Если установлено значение «0», режим FIPS отключен. Если установлено значение «1», режим FIPS включен. Чтобы изменить настройку, дважды щелкните значение «Включено» и установите для него значение «0» или «1»..
5. Перезагрузите компьютер.

Спасибо @SwiftOnSecurity в Твиттере за вдохновение в этот пост!