- Chris Hoffman
@chrisbhoffman
- Actualizado en julio 12, 2017, 11:34 am EDT
Windows tiene una configuración oculta que habilitará solo el cifrado «compatible con FIPS» certificado por el gobierno. Puede parecer una forma de aumentar la seguridad de su PC, pero no lo es. No debe habilitar esta configuración a menos que trabaje en el gobierno o necesite probar cómo se comportará el software en las PC del gobierno.
Este ajuste encaja perfectamente con otros mitos inútiles de ajuste de Windows. me he encontrado con esta configuración en Windows o la he visto mencionada en otro lugar, no la habilite. Si ya la ha habilitado sin una buena razón, siga los pasos a continuación para deshabilitar el «modo FIPS».
¿Qué ¿Es el cifrado compatible con FIPS?
RELACIONADO: 10 mitos de ajuste de Windows desmentidos
FIPS significa «Estándares federales de procesamiento de información». Es un conjunto de estándares gubernamentales que definen cómo se usan ciertas cosas en el gobierno, por ejemplo, algoritmos de encriptación. FIPS define ciertos métodos de encriptación específicos que pueden usarse, así como métodos para generar claves de encriptación. Está publicado por el Instituto Nacional de Estándares y tecnología, o NIST.
La configuración de Windows cumple con el estándar FIPS 140 del gobierno de los EE. UU. Cuando está habilitado, obliga a Windows a usar solo esquemas de cifrado validados por FIPS y aconseja a las aplicaciones que lo hagan también.
El «modo FIPS» no hace que Windows sea más seguro. Simplemente bloquea el acceso a esquemas de criptografía más nuevos que no han sido validados por FIPS. Eso significa que no podrá usar nuevos esquemas de encriptación o formas más rápidas de usar los mismos esquemas de encriptación. En otras palabras, hace que su computadora sea más lenta, menos funcional y posiblemente menos segura.
Cómo se comporta Windows de manera diferente si habilita esta configuración
Microsoft explica lo que realmente hace esta configuración en un entrada de blog titulada «Por qué ya no recomendamos el» Modo FIPS «». Microsoft solo recomienda que use el modo FIPS si es necesario. Por ejemplo, si está utilizando una computadora del gobierno de EE. UU., Se supone que esa computadora debe tener el «modo FIPS» habilitado de acuerdo con las regulaciones del propio gobierno. No hay un caso real en el que desee habilitar esto en su propia computadora personal, a menos que estaba probando cómo se comporta su software en computadoras del gobierno de EE. UU. con esta configuración habilitada.
Esta configuración hace dos cosas en Windows. Obliga a Windows y a los servicios de Windows a usar solo criptografía validada por FIPS. Por ejemplo, el El servicio Schannel integrado en Windows no funcionará con los protocolos SSL 2.0 y 3.0 más antiguos, y requerirá al menos TLS 1.0 en su lugar.
El marco .NET de Microsoft también bloqueará el acceso a algoritmos que no están validados por FIPS. El marco .NET ofrece varios algoritmos diferentes para la mayoría de los algoritmos de criptografía, y ni siquiera todos se han enviado para su validación. Como ejemplo, Microsoft señala que hay tres versiones diferentes del hash SHA256 algoritmo m en el marco .NET. El más rápido no se ha enviado para validación, pero debería ser igual de seguro. Por lo tanto, habilitar el modo FIPS romperá las aplicaciones .NET que usan el algoritmo más eficiente o las obligará a usar el algoritmo menos eficiente y ser más lentas.
Aparte de estas dos cosas, habilitar el modo FIPS recomienda a las aplicaciones que ellos también utilice únicamente cifrado validado por FIPS. Pero no obliga a nada más. Las aplicaciones de escritorio tradicionales de Windows pueden optar por implementar cualquier código de cifrado que deseen, incluso un cifrado terriblemente vulnerable, o ningún cifrado. El modo FIPS no afecta a otras aplicaciones a menos que obedezcan esta configuración.
Cómo deshabilitar el modo FIPS (o habilitarlo, si es necesario)
No debe habilitar esta configuración a menos que esté usando una computadora del gobierno y se vea obligado a hacerlo. Si habilita esta configuración, algunas aplicaciones de consumo pueden pedirle que deshabilite el modo FIPS para que puedan funcionar correctamente.
Si necesita habilitar o deshabilitar el modo FIPS, tal vez haya visto un mensaje de error después lo habilitó, necesita probar cómo se comportará su software en una computadora con el modo FIPS habilitado, o si está usando una computadora del gobierno y tiene que habilitarlo; puede hacerlo de varias maneras. El modo FIPS se puede habilitar solo cuando está conectado a una red específica, o mediante una configuración de todo el sistema que siempre se aplicará.
Para habilitar el modo FIPS solo cuando se conecta a una red específica red, realice los siguientes pasos:
- Abra la ventana del Panel de control.
- Haga clic en «Ver el estado y las tareas de la red» en Red e Internet.
- Haga clic en «Cambiar la configuración del adaptador».
- Haga clic con el botón derecho en la red para la que desea habilitar FIPS y seleccione «Estado».
- Haga clic en el botón «Propiedades inalámbricas» en el Wi-Fi Ventana de estado.
- Haga clic en la pestaña «Seguridad» en la ventana de propiedades de la red.
- Haga clic en el botón «Configuración avanzada».
- Alterne la opción «Habilitar el cumplimiento de los estándares de procesamiento de información federal (FIPS) para esta red» en la configuración de 802.11. >
Esta configuración también se puede cambiar en todo el sistema en el editor de políticas de grupo. Esta herramienta solo está disponible en las versiones Professional, Enterprise y Education de Windows, no en las versiones Home. Solo puede utilizar el editor de políticas de grupo local para cambiar esta herramienta si está en una computadora que no está unida a un dominio que administra la configuración de políticas de grupo de su computadora por usted. Si su computadora está unida a un dominio y la configuración de la política de grupo la administra de manera centralizada su organización, no podrá cambiarla usted mismo. Para cambiar esta configuración en la Política de grupo:
- Presione la tecla de Windows + R para abrir el cuadro de diálogo Ejecutar.
- Escriba «gpedit.msc» en el cuadro de diálogo Ejecutar (sin el comillas) y presione Entrar.
- Navegue a «Configuración del equipo \ Configuración de Windows \ Configuración de seguridad \ Políticas locales \ Opciones de seguridad» en el Editor de políticas de grupo.
- Busque la «Criptografía del sistema: Utilice algoritmos compatibles con FIPS para la configuración de cifrado, hash y firma ”en el panel derecho y haga doble clic en él.
- Establezca la configuración en» Desactivado «y haga clic en» Aceptar «.
- Reinicie la computadora.
En las versiones Home de Windows, aún puede habilitar o deshabilitar la configuración de FIPS a través de una configuración de registro. Para verificar si FIPS está habilitado o deshabilitado en el registro, siga lo siguiente pasos:
- Presione la tecla de Windows + R para abrir el cuadro de diálogo Ejecutar.
- Escriba «regedit» en el cuadro de diálogo Ejecutar (sin las comillas) y presione Entrar.
- Navegue a «HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ Fip sAlgorithmPolicy \ ”.
- Mire el valor» Habilitado «en el panel derecho. Si está configurado en «0», el modo FIPS está deshabilitado. Si está configurado en «1», el modo FIPS está habilitado. Para cambiar la configuración, haga doble clic en el valor «Habilitado» y configúrelo en «0» o «1».
- Reinicie la computadora.
Gracias a ¡@SwiftOnSecurity en Twitter por inspirar esta publicación!
Chris Hoffman
Chris Hoffman es editor en jefe de How-To Geek. Ha escrito sobre tecnología durante casi una década y fue columnista de PCWorld durante dos años. Chris ha escrito para The New York Times, ha sido entrevistado como experto en tecnología en estaciones de televisión como NBC 6 de Miami y su trabajo ha sido cubierto por medios de comunicación como la BBC. Desde 2011, Chris ha escrito más de 2.000 artículos que se han leído más de 500 millones de veces — y eso es solo aquí en How-To Geek. Lee la biografía completa «