Назад | Перейти на главную страницу

Windows Server 2008 R2 - проблема группы криптографических операторов

У меня проблема, похожая на этот вопрос: Windows 7 «Операторы криптографии».

Я пытаюсь добавить криптографическое правило. Когда я перехожу к настройке криптографических алгоритмов, я получаю сообщение «Доступ запрещен», в котором говорится, что мне нужно быть членом группы криптографических операторов.

Я выполняю команду netsh advfirewall mainmode set rule name="TestRule" new mmkeylifetime=20mins MMSecmethods=ecdhp384:aes256-sha384

Дело в том, что я вошел как пользователь является член группы криптографических операторов. Я также удостоверился, что являюсь членом группы операторов настройки сети. Окно CMD запускалось от имени администратора

Любой совет?

Я столкнулся с той же проблемой, которая возникает только при изменении настроек IPsec брандмауэра Windows по умолчанию. Я делал это через C # и WMI, но также тестировал через PowerShell и через пользовательский интерфейс. Я мог читать данные от поставщиков WMI и писать большинству из них, но при записи на конкретный (MSFT_NetIKEMMCryptoSet) я получал «Доступ запрещен». К счастью, через пользовательский интерфейс я получил более описательную ошибку:

Проблема заключалась в том, что мой пользователь был в обе группы «Администраторы» и «Операторы криптографии». Я оказался в этой ситуации, потому что только администраторы имели права входа в систему, и я не предвидел конфликта (поскольку мне пришлось запускать свой код в контексте с повышенными правами администратора). Обычно кто-то, управляющий сертификатами / криптографией, будет отдельным пользователем от системного администратора (безопасное разделение обязанностей). Вероятно, существует групповая политика, которая запрещает доступ администраторам (у меня просто еще не было времени отследить это).

Я явно дал пользователю права входа в систему и удалил его из группы администраторов. Как только я вышел из системы и снова зашел с этим пользователем, они больше не получали сообщение «Доступ запрещен».