主页 / server / 问题 / 514496
Accepted
M.S. Dousti
Asked: 2013-06-10 11:56:16 +0800 CST

Windows 7“密码运算符”

  • 772

此 TechNet 博客指出:

Cryptographic Operators: FIPS 140-2 定义了一个“Crypto Officer”角色,它由 Windows 中的 Cryptographic Operators 组代表,首先在 Windows Vista SP1 中引入。

System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing在本地或组策略对象中配置“ ”安全设置时,默认情况下只有 Cryptographic Operators 组或 Administrators 组的成员才能配置下一代密码术 (CNG) 设置。具体来说,加密操作员可以在高级安全 Windows 防火墙 (WFAS) 的 IPsec 策略中编辑加密设置。

我执行了以下操作:

  1. System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing在本地安全策略中启用“ ”安全设置。它可以在Security Settings -> Local Policies -> Security Options钥匙下找到。
  2. 创建了一个新的标准用户。
  3. 将用户添加到Cryptographic Operators组中。

我注意到该用户甚至无法访问高级安全 Windows 防火墙 (WFAS),除非首先成为Network Configuration Operators. 然后,我注意到该组的任何成员都可以访问 WFAS,并在 下创建新规则Connection Security Rules,包括 IPsec 规则。换句话说,用户不必是Cryptographic Operators组的成员。

然后我尝试了另一件事:我打开了 MMC,并添加了“IP 安全策略”管理单元。奇怪的是,用户(该Cryptographic Operators组的成员)无权访问这些设置:

拒绝访问 IPsec 设置

你能帮我弄清楚该Cryptographic Operators组成员(但不是标准用户)可以执行的任务吗?

security

2 个回答

  1. Best Answer

    我自己找到了答案,所以我会在这里发布。

    TechNet 文章Netsh AdvFirewall MainMode Commands解释了:

    mainmode在上下文中键入命令netsh advfirewall会更改netsh advfirewall mainmode上下文,您可以在其中查看、创建和修改主模式规则,这些规则指定 IPsec 如何协商网络上计算机之间的主模式安全关联。此上下文在具有高级安全性的 Windows 防火墙 MMC 管理单元中没有等效项。

    而且:

    netsh上下文符合通用标准模式的要求。如果启用,则管理员可以创建主模式规则,但他们不能指定mmsecmethodsmmkeylifetime参数。只有Cryptographic Operators组的成员才能设置或修改这些参数。有关通用标准模式以及如何启用它的信息,请参阅加密操作员安全组的说明 ( http://go.microsoft.com/fwlink/?linkid=147070 )。

    我编写了以下示例,阐明了这一点。

    • Enable System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing,如问题中所述。
    • Cryptographic Operators群组成员身份登录。
    • 打开以管理员身份提升的命令提示符,然后键入以下命令:

    netsh advfirewall mainmode add rule name="TestRule" auth1=computercert auth1ca="CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US" profile=domain

    • (可选)您可以检查刚刚创建的规则:

    netsh advfirewall mainmode show rule name="TestRule"

    • 您现在可以尝试设置加密算法或密钥生命周期。但是,由于系统处于 Common Criteria 模式,管理员被拒绝访问这些选项:

    netsh advfirewall mainmode set rule name="TestRule" new mmkeylifetime=20min Mmsecmethods=dhgroup2:3des-sha256,ecdhp384:3des-sha384

    -->访问被拒绝。

    • 现在,打开一个新的命令提示符,提升为当前用户,该用户是该Cryptographic Operators组的成员 ( important )。

    • 再次尝试上述命令,将成功执行。

    不要忘记删除刚刚创建的规则,否则它可能会对您的网络策略产生不利影响:

    netsh advfirewall mainmode delete rule name="TestRule"

    PS:虽然该netsh命令阻止管理员更改 IPsec 加密设置(在 Windows Common Criteria 模式下),但管理员可以使用以下注册表项轻松更改设置:

    HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\Phase1CryptoSet\{GUID-of-rule}

    有关详细信息,请参阅2.2.5 密码集

    • 2

  2. Windows 防火墙 MMC

    我有一个类似的问题,我无法在 Windows 防火墙的自定义 IPSEC 设置中添加密钥交换方法(主模式)。错误是

    保存设置时拒绝访问。您必须是 Cryptographic Operators 安全组的成员才能更改这些设置。

    然而,我的解决方法是,听起来很疯狂,打开本地安全策略并单击“Windows 防火墙属性”。您可以在此处更改无法通过“高级安全 Windows 防火墙”应用程序 (Windows Server 2012R2)更改的设置

    • 1

相关问题