服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Windows 7“encryption算子”
Intereting Posts
Windows Server – 共享无pipe理员权限的文件 Windows部署服务 后缀:中继访问被拒绝 apache2 mpm_event不会对configuration更改做出反应 2008 R2主目录上的权限 MS SQL Server 2005:致命错误823 我的Samba文件服务器的随机千兆带宽 Microsoft Web平台安装程序3.0 + WAMP可以像AppServ共存吗? 本地Postgresql 9.2stream式复制 Sharepoint for Teams,Permissions,踢到适当的选项卡? 网站是活的,但ping超时 / dev / sdc1:无法读取超级块 无法访问ZFS格式的驱动器(冗余设置) 缩小的空间可用于各个分区吗? networking瓶颈/节stream问题

Windows 7“encryption算子”

此TechNet博客指出:

encryption操作员: FIPS 140-2定义了一个“encryption官员”angular色,由Windows Vista中首先引入的Windowsencryption操作员表示。

当在本地或组策略对象中configuration“ System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing安全设置时,只有encryption操作员组或pipe理员组的成员才能configuration下一代encryption(CNG)设置默认。 具体而言,encryption操作员可以编辑具有高级安全性的Windows防火墙(WFAS)的IPsec策略中的encryption设置。

我已经执行了以下操作:

  1. 在本地安全策略中启用“ System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing ”安全设置。 它可以在Security Settings -> Local Policies -> Security Options键下find。
  2. 创build了一个新的标准用户。
  3. 将用户添加到Cryptographic Operators组。

我注意到,这个用户甚至不能访问高级安全Windows防火墙(WFAS),而不是首先是Network Configuration Operators的成员。 然后,我注意到这个组的任何成员都可以访问WFAS,并根据Connection Security Rules (包括IPsec规则)创build新的规则。 换句话说,用户不必是Cryptographic Operators组的成员。

然后我尝试了另一件事:我打开了MMC,并添加了“IP安全策略”pipe理单元。 奇怪的是,用户(它是Cryptographic Operators组的成员)无法访问这些设置:

访问被拒绝IPsec设置

你能帮我找出Cryptographic Operators组(而不是标准用户)可以执行的任务吗?

我自己find了答案,所以我会在这里发布。

TechNet文章Netsh AdvFirewall MainMode命令解释说:

netsh advfirewall上下文中键入命令主模式会更改为netsh advfirewall mainmode上下文,您可以在其中查看,创build和修改主模式规则,以指定IPsec如何协商networking上计算机之间的主模式安全关联。 此高级安全Windows防火墙MMCpipe理单元中此上下文没有等效

此外:

netsh上下文是受共同标准模式的要求。 如果启用,则pipe理员可以创build主模式规则,但不能指定mmsecmethodsmmkeylifetime参数。 只有Cryptographic Operators组的成员可以设置或修改这些参数。 有关Common Criteria模式以及如何启用它的信息,请参阅Crypto Operators安全组的描述( http://go.microsoft.com/fwlink/?linkid=147070 )。

我做了下面的例子,澄清了这一点。

  • 启用System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing如问题中所述, System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing
  • Cryptographic Operators组的成员身份login。
  • 打开以pipe理员身份提升的命令提示符,然后键入以下命令:

netsh advfirewall mainmode add rule name="TestRule" auth1=computercert auth1ca="CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US" profile=domain

  • (可选)您可以检查刚创build的规则:

netsh advfirewall mainmode show rule name="TestRule"

  • 您现在可以尝试设置密码algorithm或关键的生命周期。 但是,由于系统处于通用标准模式,pipe理员被拒绝访问这些选项:

netsh advfirewall mainmode set rule name="TestRule" new mmkeylifetime=20min Mmsecmethods=dhgroup2:3des-sha256,ecdhp384:3des-sha384

– > 访问被拒绝。

  • 现在,打开一个新的命令提示符,提升为当前用户,他是Cryptographic Operators组( 重要 )的成员。

  • 再次尝试上面的命令,这将成功执行。

不要忘记删除刚刚创build的规则,否则可能会对networking策略产生不利影响:

netsh advfirewall mainmode delete rule name="TestRule"

PS:当netsh命令阻止pipe理员更改IPsecencryption设置(在Windows通用标准模式下)时,pipe理员可以使用以下registry键轻松更改设置:

HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\Phase1CryptoSet\ {规则的GUID}

有关更多信息,请参阅2.2.5密码集 。