# FIPS Mode & Compliance: Kryptographische Härtung
TL;DR / Management Summary Der FIPS-Modus (Federal Information Processing Standard) zwingt Windows und darauf laufende Anwendungen, nur noch kryptographische Algorithmen zu nutzen, die vom US-amerikanischen NIST zertifiziert wurden. Das bedeutet: Kein MD5, kein DES und kein schwaches TLS. Ein Senior Admin aktiviert diesen Modus nur, wenn regulatorische Anforderungen (z.B. US-Behörden, Rüstung) dies verlangen, da er massive Inkompatibilitäten mit älterer Software und Webseiten verursachen kann.
# 1. Einführung & Konzepte
Was bedeutet FIPS-Konformität?
FIPS 140-2 (und der Nachfolger 140-3) ist ein Standard für Sicherheitsanforderungen an kryptographische Module.
- Wirkung: Wenn der Modus aktiv ist, verweigert die Windows-Kryptografie-Bibliothek (
bcrypt.dll) den Dienst, wenn eine Applikation einen “nicht genehmigten” Algorithmus anfordert. - Betroffene Bereiche: HTTPS/TLS, RDP-Verschlüsselung, BitLocker, VPN (IPsec).
# 2. Aktivierung & Konfiguration
Den Hebel umlegen.
# GPO Aktivierung
Pfad: Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen
- Einstellung:
Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden-> Aktiviert.
# Registry (Alternative)
reg add "HKLM\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy" /v Enabled /t REG_DWORD /d 1 /f# 3. Deep Dive: Die Schattenseiten von FIPS
Wenn die Sicherheit die Arbeit verhindert.
Der FIPS-Modus ist berüchtigt für “Side-Effects”.
# 1. Web-Browsing (TLS)
Viele ältere Webserver nutzen noch Algorithmen, die nicht FIPS-konform sind. Ein PC im FIPS-Modus wird diese Seiten nicht laden können (TLS Handshake Error).
# 2. .NET Framework Applikationen
Alte .NET Programme nutzen oft MD5 für Prüfsummen (nicht für Passwörter, sondern einfach als Hash). Im FIPS-Modus stürzen diese Programme mit einer InvalidOperationException ab.
# 3. RDP (Remote Desktop)
RDP muss im FIPS-Modus zwingend TLS zur Verschlüsselung nutzen (Artikel 457). Die alte “RDP Security Layer” Verschlüsselung wird deaktiviert.
# 4. Day-2 Operations: Compliance Auditing
Sind wir noch konform?
Nutzen Sie OpenSCAP oder den Microsoft Security Compliance Toolkit (Policy Analyzer), um sicherzustellen, dass Ihre Härtungs-GPOs nicht durch andere Richtlinien aufgeweicht werden.
# Integritäts-Check der Algorithmen
Windows bietet keine einfache GUI, um die Compliance laufender Apps zu prüfen. Sie müssen die Event-Logs auf Kryptografie-Fehler (Quelle: Microsoft-Windows-CAPI2) überwachen.
# 5. Troubleshooting & “War Stories”
Wenn ‘Secure’ zu ‘Kaputt’ wird.
# Top 3 Fehlerbilder
-
Symptom: “Die Verschlüsselungsbibliothek konnte nicht geladen werden”.
- Ursache: Drittanbieter-VPN-Client oder Backup-Software nutzt MD5 intern.
- Lösung: Software-Update anfordern oder FIPS-Modus deaktivieren (Compliance-Risiko!).
-
Symptom: BitLocker lässt sich nicht aktivieren.
- Ursache: Die gewählte Verschlüsselungsmethode (z.B. Diffie-Hellman Gruppe) in der GPO ist nicht FIPS-konform.
- Lösung: Auf
AES-CBCoderXTS-AESumstellen.
-
Symptom: WLAN-Verbindung schlägt fehl.
- Ursache: WPA2-Personal (PSK) gilt in einigen FIPS-Interpretationen als schwach.
- Lösung: Wechsel auf WPA3 oder 802.1X (Artikel 435).
# “War Story”: Der unbrauchbare Web-Proxy
Ein Finanzunternehmen aktivierte FIPS-Mode auf allen Laptops. Das Ergebnis: Niemand konnte mehr auf die Admin-Oberflächen der internen Switche und Drucker zugreifen. Diese alten Geräte nutzten TLS 1.0 mit SHA-1 Hashes. Lösung: Wir mussten ein separates “Management-VLAN” mit einer Bastion-VM (ohne FIPS) aufbauen, um diese Altgeräte weiterhin verwalten zu können. Lehre: FIPS ist ein Alles-oder-Nichts-Ansatz. Er deckt schonungslos technische Schulden in Ihrer Infrastruktur auf.
# 6. Fazit & Empfehlung
FIPS ist kein Hardening-Tool für den durchschnittlichen Admin.
- Empfehlung: Aktivieren Sie den FIPS-Modus nur, wenn Sie rechtlich dazu verpflichtet sind. Für normales Hardening nutzen Sie lieber die Microsoft Security Baselines oder CIS Benchmarks (Artikel 420).
- Wichtig: Testen Sie den FIPS-Modus mindestens 4 Wochen lang in einer Pilotgruppe, bevor Sie ihn global ausrollen.
# Anhang: Cheatsheet
| Kategorie | Erlaubt unter FIPS | Verboten unter FIPS |
|---|---|---|
| Hashing | SHA-256, SHA-512 | MD5, SHA-1 |
| Verschlüsselung | AES, 3DES (bedingt) | DES, RC4 |
| TLS Version | TLS 1.2, TLS 1.3 | SSL 2.0, SSL 3.0, TLS 1.0 |