Windows 7“加密运算符”

Question

此 TechNet 博客指出：

Cryptographic Operators： FIPS 140-2 定义了“Crypto Officer”角色，该角色由 Windows 中的 Cryptographic Operators 组代表，首次在 Windows Vista SP1 中引入。

System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing在本地或组策略对象中配置“ ”安全设置时，默认情况下，只有 Cryptographic Operators 组或 Administrators 组的成员可以配置下一代加密 (CNG) 设置。具体来说，密码操作员可以编辑高级安全 Windows 防火墙 (WFAS) 的 IPsec 策略中的密码设置。

我执行了以下操作：

1. System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing在本地安全策略中启用“ ”安全设置。它可以在Security Settings -> Local Policies -> Security Options钥匙下找到。
2. 创建了一个新的标准用户。
3. 将用户添加到Cryptographic Operators组中。

我注意到，如果没有首先成为Network Configuration Operators. 然后，我注意到该组的任何成员都可以访问 WFAS，并在 下创建新规则Connection Security Rules，包括 IPsec 规则。换句话说，用户不必是Cryptographic Operators组的成员。

然后我尝试了另一件事：我打开 MMC，并添加了“IP 安全策略”管理单元。奇怪的是，用户（它是Cryptographic Operators组的成员）无权访问这些设置：

你能帮我弄清楚Cryptographic Operators组的成员（但不是标准用户）可以执行的任务吗？

Answer 1

我自己找到了答案，所以我将其发布在这里。

TechNet 文章Netsh AdvFirewall MainMode 命令解释道：

mainmode在上下文中键入命令netsh advfirewall会更改上下文netsh advfirewall mainmode，您可以在其中查看、创建和修改主模式规则，这些规则指定 IPsec 如何在网络上的计算机之间协商主模式安全关联。此上下文在高级安全 Windows 防火墙 MMC 管理单元中没有等效项。

而且：

此netsh上下文符合通用标准模式的要求。如果启用，则管理员可以创建主模式规则，但不能指定mmsecmethods或mmkeylifetime参数。只有加密操作员组的成员才能设置或修改这些参数。有关通用标准模式以及如何启用它的信息，请参阅加密运算符安全组的说明 ( http://go.microsoft.com/fwlink/?linkid=147070 )。

我编了下面的例子，它阐明了这一点。

• 启用System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing，如问题中所述。
• 以群组成员身份登录Cryptographic Operators。
• 打开命令提示符，以管理员身份提升权限，然后键入以下命令：

netsh advfirewall mainmode add rule name="TestRule" auth1=computercert auth1ca="CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US" profile=domain

• （可选）您可以通过以下方式检查刚刚创建的规则：

netsh advfirewall mainmode show rule name="TestRule"

• 您现在可以尝试设置加密算法或密钥生命周期。但是，由于系统处于通用标准模式，管理员被拒绝访问这些选项：

netsh advfirewall mainmode set rule name="TestRule" new mmkeylifetime=20min Mmsecmethods=dhgroup2:3des-sha256,ecdhp384:3des-sha384

-->访问被拒绝。

• 现在，打开一个新的命令提示符，提升为当前用户，该用户是该组的成员Cryptographic Operators（重要）。

• 再次尝试上面的命令，就会成功执行。

不要忘记删除刚刚创建的规则，否则可能会对您的网络策略产生不利影响：

netsh advfirewall mainmode delete rule name="TestRule"

PS：虽然该netsh命令阻止管理员更改 IPsec 加密设置（在 Windows Common Criteria 模式下），但管理员可以使用以下注册表项轻松更改设置：

HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\Phase1CryptoSet\{规则的 GUID}

有关详细信息，请参阅2.2.5 加密集。