MENU
  1. Inicio
  2. Windows
  3. Windows Server
  4. FIPS 140‑2 en perfiles Wi‑Fi: guía completa para fijar la casilla de GPO y superar auditorías

FIPS 140‑2 en perfiles Wi‑Fi: guía completa para fijar la casilla de GPO y superar auditorías

Windows Server

Activar el modo FIPS 140‑2 en un perfil Wi‑Fi distribuido por GPO puede parecer trivial, pero en entornos reales la casilla vuelve a desmarcarse si cualquier requisito no se cumple al 100 %. A continuación se explica por qué ocurre y cómo lograr que la directiva permanezca estable.

Índice

Qué es FIPS 140‑2 y por qué importa en redes Wi‑Fi corporativas

FIPS 140‑2 es el estándar federal de EE. UU. que certifica la correcta implementación de algoritmos criptográficos. Al marcar Realizar criptografía en modo certificado FIPS 140‑2, Windows exige que todos los componentes implicados (controlador, pila 802.11, biblioteca de autenticación y hardware) utilicen exclusivamente módulos validados. El beneficio es una superficie de cumplimiento clara para auditorías gubernamentales y sectores regulados; el coste es que cualquier elemento no validado provoca la desactivación automática de la opción.

Cómo funciona la casilla de FIPS dentro de la GPO

  • Validación en tiempo de diseño: al crear la GPO, el editor de políticas no puede comprobar el hardware de destino, por lo que permite marcar la casilla sin advertencias.
  • Validación en tiempo de carga: cuando el equipo cliente recibe la directiva, el servicio WLAN de Windows la reevalúa. Si detecta que el controlador Wi‑Fi o los ajustes de seguridad no son totalmente compatibles, se escribe un evento (ID 8002 o 8007) y el perfil se almacena sin el atributo FIPS.
  • Relectura en consola: al reabrir la directiva desde un equipo que tampoco cumple FIPS, el editor lee el XML resultante (ya sin la marca) y muestra la casilla vacía.

Escenario típico del problema

Un administrador crea un perfil WPA2‑Enterprise + AES marcando FIPS. Tras cerrar y volver a abrir la GPO, la opción aparece sin seleccionar. Ninguna combinación de ajustes parece mantenerla. La causa suele reducirse a una de estas tres raíces:

  1. Hardware o controlador sin validación FIPS.
  2. Método de autenticación o cifrado incompatible (por ejemplo, TKIP o PEAP MS‑CHAP v2 antiguo).
  3. Edición o configuración global de Windows que contradice el modo FIPS.

Pasos para diagnosticar el fallo

Verificar compatibilidad del adaptador Wi‑Fi

Ejecuta en PowerShell:

Get-NetAdapterAdvancedProperty -Name Wi-Fi | 
  Where-Object DisplayName -Match "FIPS"

Si no se muestra ninguna propiedad relacionada o el valor es False, el controlador no expone compatibilidad FIPS y la casilla no se mantendrá.

Comprobar la versión y la edición de Windows

El modo FIPS por NIC solo está disponible en Windows Pro, Enterprise y Server. Las ediciones Home ignoran la marca. Ejecuta:

systeminfo | findstr /B /C:"OS Name" /C:"OS Version"

Revisar la configuración de la directiva inalámbrica

  • Autenticación: WPA2‑Enterprise o WPA3‑Enterprise.
  • Cifrado: AES CCMP.
  • Protocolo EAP: TLS, EAP‑TLS o TEAP con TLS.
  • Nunca combinar con TKIP, WEP, PEAP‑MS‑CHAP v2 ni certificados MD5.

Inspeccionar el Visor de eventos

Filtra los registros Microsoft‑Windows‑WLAN‑AutoConfig/Operational por los IDs 8002800311004. Estos eventos indican qué propiedad hizo que Windows deshabilitara FIPS.

Validar la directiva global de FIPS

En el editor de directivas local (gpedit.msc) revisa:

Configuración del equipo > Configuración de Windows > Configuración de seguridad > Opciones de seguridad > System cryptography: Use FIPS compliant algorithms…

Debe estar en Habilitado o No configurado. Un valor Deshabilitado entra en conflicto con el perfil y fuerza la casilla a off.

Soluciones prácticas según el origen

Origen detectadoAcción recomendada
Adaptador sin validación FIPSActualizar el controlador a la última versión certificada o sustituir la tarjeta por un modelo validado (p. ej., Intel AX210 FIPS).
Método de cifrado incompatibleReconfigurar la GPO para usar exclusivamente WPA2‑Enterprise o WPA3‑Enterprise con AES CCMP y EAP‑TLS.
Edición Home de WindowsMigrar a Windows Pro/Enterprise o emplear un perfil semimanual sin GPO (no recomendado en entornos regulados).
Política global de FIPS en conflictoEstablecerla en Habilitado o No configurado mediante GPO a nivel de dominio.
Error puntual de sistemaEliminar la carpeta %ProgramData%\Microsoft\Wlansvc\Profiles, reiniciar el servicio WLAN y forzar gpupdate /force.

Prueba mínima controlada para descartar variables

  1. Crear una OU de laboratorio y vincular una GPO nueva.
  2. Dentro de la GPO, definir un único perfil:
    • SSID: «LAB‑FIPS».
    • Autenticación: WPA2‑Enterprise.
    • Cifrado: AES.
    • EAP‑TLS con certificado de prueba.
    • Marcar la casilla FIPS.
  3. Asignar la GPO a un equipo con Windows Pro/Enterprise y controlador certificado.
  4. Ejecutar gpupdate /force y verificar con netsh wlan show profile name="LAB-FIPS" key=clear que aparezca FIPS mode : Enabled.

Si en ese escenario la casilla sigue sin mantenerse, el problema está en el controlador o en el firmware del adaptador.

Preguntas frecuentes

¿Es obligatorio FIPS 140‑2 si ya uso WPA3‑Enterprise?

WPA3‑Enterprise con Suite‑B 192 supera los requisitos criptográficos de FIPS, pero no queda automáticamente cubierto: se exige un módulo validado. Por tanto, la casilla seguirá siendo necesaria para auditorías formales.

¿Cambia algo en Windows 11?

Windows 11 hereda el mismo motor WLAN que Windows 10 21H2+, con la diferencia de que la interfaz gráfica oculta la casilla en Configuración. Sin embargo, la directiva de grupo y los comandos netsh continúan respetando el atributo FIPS.

¿La política global de FIPS sustituye la casilla del perfil?

No. La directiva global (System cryptography: Use FIPS compliant algorithms) obliga a todo el sistema a usar algoritmos aprobados, pero no fuerza que la capa WLAN active el modo certificado en cada perfil. Siguen siendo configuraciones independientes.

¿Cómo compruebo si mi adaptador Wi‑Fi está validado?

La forma más fiable es consultar la base de datos NIST. No obstante, en la práctica:

  • Los controladores Intel con sufijo «S vPro» o «FIPS» suelen estar validados.
  • Algunos chipsets Qualcomm Atheros antiguos (AR9xxx) nunca obtuvieron certificación.
  • Los dispositivos USB económicos raramente ofrecen módulos validados.

Buenas prácticas para despliegues a gran escala

  • Versionar perfiles WLAN: incluye la fecha o el número de versión en el nombre («CORP‑WIFI‑FIPS‑v5») para facilitar auditorías.
  • Limitar la herencia de GPOs: un ajuste de QoS o de firewall heredado puede introducir parámetros que invalidan FIPS.
  • Usar plantillas de preferencia: documenta cada cambio en un archivo XML de referencia con control de versiones (Git).
  • Automatizar pruebas: scripts de PowerShell que autentiquen contra el SSID y consulten el estado con netsh; registra el resultado en un dashboard.
  • Formar al soporte de nivel 1: la mayoría de incidencias FIPS se reportan como «no conecta al Wi‑Fi». Una lista de verificación rápida ahorra escalados innecesarios.

Conclusiones

La casilla FIPS 140‑2 en perfiles Wi‑Fi es sensible a cualquier desviación: hardware, driver, cifrado, edición de Windows o políticas conflictivas. Seguir una metodología estructurada—verificar compatibilidad del adaptador, validar la edición de Windows, aislar la GPO y leer los registros—permite identificar la causa en minutos en lugar de horas. Si el adaptador no dispone de certificación válida, la única solución definitiva es sustituirlo por un modelo homologado. Con estas prácticas, mantener redes inalámbricas conforme a FIPS se convierte en un proceso repetible y auditable.

Windows Server
seguridad Windows Server GPO Wi-Fi FIPS 140-2
Índice