Назад | Перейти на главную страницу

Windows 7 «Операторы криптографии»

Этот блог TechNet утверждает, что:

Криптографические операторы: FIPS 140-2 определяет роль «шифровальщика», которая представлена ​​группой криптографических операторов в Windows, впервые представленной в Windows Vista SP1.

Когда "System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing«параметр безопасности настраивается в объектах локальной или групповой политики, только члены группы криптографических операторов или группы администраторов могут настраивать параметры криптографии следующего поколения (CNG) по умолчанию. В частности, криптографические операторы могут изменять параметры криптографии в политике IPsec Windows Брандмауэр с повышенной безопасностью (WFAS).

Я выполнил следующее:

  1. Включил "System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing"параметр безопасности в локальной политике безопасности. Его можно найти в Security Settings -> Local Policies -> Security Options ключ.
  2. Создал нового стандартного пользователя.
  3. Добавил пользователя в Cryptographic Operators группа.

Я заметил, что этот пользователь не может даже получить доступ к брандмауэру Windows в режиме повышенной безопасности (WFAS), не будучи сначала членом Network Configuration Operators. Затем я заметил, что любой член такой группы может получить доступ к WFAS и создавать новые правила под Connection Security Rules, включая правила IPsec. Другими словами, пользователь не обязательно должен быть членом Cryptographic Operators группа.

Затем я попробовал другое: я открыл MMC и добавил оснастку «IP Security Policy». Как ни странно, пользователь (который является членом Cryptographic Operators group) не имеет доступа к этим настройкам:

Не могли бы вы помочь мне разобраться, с какой задачей Cryptographic Operators группа (но не стандартные пользователи) может выполнять?

Я сам нашел ответ, поэтому выложу здесь.

Статья TechNet Команды Netsh AdvFirewall MainMode объясняет:

Набираем команду mainmode на netsh advfirewall изменения контекста netsh advfirewall mainmode context, где вы можете просматривать, создавать и изменять правила основного режима, которые определяют, как IPsec согласовывает сопоставления безопасности основного режима между компьютерами в сети. В этом контексте нет эквивалента в оснастке MMC брандмауэра Windows в режиме повышенной безопасности.

более того:

это netsh контекст зависит от требований Режим общих критериев. Если включено, администраторы могут создавать правила основного режима, но они не может указать mmsecmethods или mmkeylifetime параметры. Только члены Криптографические операторы группа может устанавливать или изменять эти параметры. Для получения информации о режиме общих критериев и о том, как его включить, см. Описание группы безопасности криптооператоров (http://go.microsoft.com/fwlink/?linkid=147070).

Я сделал следующий пример, который проясняет суть дела.

  • включить System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing, как описано в вопросе.
  • Войдите в систему как член Cryptographic Operators группа.
  • Откройте командную строку с повышенными правами администратора и введите следующую команду:

netsh advfirewall mainmode add rule name="TestRule" auth1=computercert auth1ca="CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US" profile=domain

  • (Необязательно) Вы можете проверить только что созданное правило:

netsh advfirewall mainmode show rule name="TestRule"

  • Теперь вы можете попытаться установить криптографические алгоритмы или время жизни ключа. Однако, поскольку система находится в режиме общих критериев, администратору запрещен доступ к этим параметрам:

netsh advfirewall mainmode set rule name="TestRule" new mmkeylifetime=20min Mmsecmethods=dhgroup2:3des-sha256,ecdhp384:3des-sha384

-> Доступ запрещен.

  • Теперь откройте новую командную строку с повышенными правами текущего пользователя, который является членом Cryptographic Operators группа (важный).

  • Попробуйте еще раз указанную выше команду, которая будет успешно выполнена.

Не забудьте удалить только что созданное правило, иначе оно может отрицательно повлиять на вашу сетевую политику:

netsh advfirewall mainmode delete rule name="TestRule"

PS: Пока netsh запрещает администратору изменять параметры шифрования IPsec (в режиме общих критериев Windows), администратор может легко изменить параметры с помощью следующего раздела реестра:

HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\Phase1CryptoSet\{GUID-правила}

Видеть 2.2.5 Криптографические наборы для получения дополнительной информации.

Брандмауэр Windows MMC

У меня была аналогичная проблема, когда я не мог добавить метод обмена ключами (основной режим) в пользовательские настройки IPSEC брандмауэра Windows. Ошибка была

Доступ запрещен при сохранении настроек. Чтобы изменить эти параметры, вы должны быть членом группы безопасности «Операторы криптографии».

Однако моим обходным решением было, как бы безумно это ни звучало, открыть локальную политику безопасности и щелкнуть «Свойства брандмауэра Windows». Вы жестяная банка измените настройки здесь, которые вы не может изменить через приложение «Брандмауэр Windows в режиме повышенной безопасности» (Windows Server 2012R2)