Windows 7 "Kryptografische Operatoren"

In diesem TechNet-Blog heißt es:

Kryptografische Operatoren: FIPS 140-2 definiert eine Rolle als "Krypto-Beauftragter", die durch die Gruppe "Kryptografische Operatoren" in Windows dargestellt wird, die erstmals in Windows Vista SP1 eingeführt wurde.

Wenn die System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signingSicherheitseinstellung in lokalen oder Gruppenrichtlinienobjekten konfiguriert ist, können standardmäßig nur Mitglieder der Gruppe Cryptographic Operators oder der Gruppe Administrators die CNG-Einstellungen (Cryptography Next Generation) konfigurieren. Insbesondere können kryptografische Bediener die kryptografischen Einstellungen in der IPSec-Richtlinie der Windows-Firewall mit erweiterter Sicherheit (WFAS) bearbeiten.

Ich habe folgendes durchgeführt:

1. Die System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signingSicherheitseinstellung " " in der lokalen Sicherheitsrichtlinie wurde aktiviert. Es befindet sich unter dem Security Settings -> Local Policies -> Security OptionsSchlüssel.
2. Erstellt einen neuen Standardbenutzer.
3. Der Benutzer wurde der Cryptographic OperatorsGruppe hinzugefügt .

Ich habe festgestellt, dass dieser Benutzer nicht einmal mit Advanced Security (WFAS) auf die Windows-Firewall zugreifen kann, ohne zuvor Mitglied von zu sein Network Configuration Operators. Dann bemerkte ich, dass jedes Mitglied einer solchen Gruppe auf WFAS zugreifen und neue Regeln unter den Connection Security RulesIPSec-Regeln erstellen kann . Mit anderen Worten, der Benutzer muss kein Mitglied der Cryptographic OperatorsGruppe sein.

Ich habe dann etwas anderes versucht: Ich habe MMC geöffnet und das Snap-In "IP-Sicherheitsrichtlinie" hinzugefügt. Seltsamerweise hat der Benutzer (der Mitglied der Cryptographic OperatorsGruppe ist) keinen Zugriff auf diese Einstellungen:

Könnten Sie mir bitte helfen, herauszufinden, welche Aufgabe Mitglieder der Cryptographic OperatorsGruppe (aber keine Standardbenutzer) ausführen können?

Ich habe die Antwort selbst gefunden, also werde ich sie hier posten.

Der TechNet-Artikel Netsh AdvFirewall MainMode Commands erklärt:

Wenn Sie den Befehl mainmodeim netsh advfirewallKontext eingeben, ändert sich der netsh advfirewall mainmodeKontext, in dem Sie Regeln für den Hauptmodus anzeigen, erstellen und ändern können, die angeben, wie IPSec die Sicherheitszuordnungen für den Hauptmodus zwischen Computern im Netzwerk aushandelt. Dieser Kontext ist in der Windows-Firewall mit MMC-Snap-In für erweiterte Sicherheit nicht gleichwertig .

Außerdem:

Dieser netshKontext unterliegt den Anforderungen des Common Criteria-Modus . Wenn diese Option aktiviert ist, können Administratoren Hauptmodusregeln erstellen , die Parameter oder jedoch nicht angeben . Nur Mitglieder der Gruppe " Kryptografische Operatoren " können diese Parameter festlegen oder ändern. Informationen zum Common Criteria-Modus und zur Aktivierung finden Sie unter Beschreibung der Crypto Operators Security Group ( http://go.microsoft.com/fwlink/?linkid=147070 ).mmsecmethodsmmkeylifetime

Ich habe das folgende Beispiel zusammengestellt, das den Punkt verdeutlicht.

• Aktivieren Sie System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing, wie in der Frage beschrieben.
• Melden Sie sich als Mitglied der Cryptographic OperatorsGruppe an.
• Öffnen Sie eine Eingabeaufforderung, die als Administrator aktiviert ist, und geben Sie den folgenden Befehl ein:

netsh advfirewall mainmode add rule name="TestRule" auth1=computercert auth1ca="CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US" profile=domain

• (Optional) Sie können die gerade erstellte Regel überprüfen durch:

netsh advfirewall mainmode show rule name="TestRule"

• Sie können jetzt versuchen, die kryptografischen Algorithmen oder die Lebensdauer des Schlüssels festzulegen. Da sich das System jedoch im Modus "Allgemeine Kriterien" befindet, kann der Administrator nicht auf folgende Optionen zugreifen:

netsh advfirewall mainmode set rule name="TestRule" new mmkeylifetime=20min Mmsecmethods=dhgroup2:3des-sha256,ecdhp384:3des-sha384

-> Zugriff verweigert.

• Öffnen Sie nun eine neue Eingabeaufforderung, die als aktueller Benutzer, der Mitglied der Cryptographic OperatorsGruppe ist, erhöht wird ( wichtig ).

• Versuchen Sie den obigen Befehl erneut, der erfolgreich ausgeführt wird.

Vergessen Sie nicht, die gerade erstellte Regel zu löschen, da dies negative Auswirkungen auf Ihre Netzwerkrichtlinien haben kann:

netsh advfirewall mainmode delete rule name="TestRule"

PS: Während der netshBefehl den Administrator daran hindert, die IPSec-Kryptoeinstellungen zu ändern (im Windows Common Criteria-Modus), kann der Administrator die Einstellungen mithilfe des folgenden Registrierungsschlüssels problemlos ändern:

HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\Phase1CryptoSet\{GUID-of-Rule}

Weitere Informationen finden Sie unter 2.2.5 Kryptografiesätze .

Windows-Firewall-MMC

Ich hatte ein ähnliches Problem, bei dem ich in den benutzerdefinierten IPSEC-Einstellungen der Windows-Firewall keine Schlüsselaustauschmethode (Hauptmodus) hinzufügen konnte. Der Fehler war

Zugriff beim Speichern von Einstellungen verweigert. Sie müssen Mitglied der Sicherheitsgruppe Cryptographic Operators sein, um diese Einstellungen ändern zu können.

Meine Problemumgehung bestand jedoch darin, die lokale Sicherheitsrichtlinie zu öffnen und auf die "Windows-Firewall-Eigenschaften" zu klicken. Hier können Sie Einstellungen ändern, die Sie nicht über die Anwendung "Windows-Firewall mit erweiterter Sicherheit" (Windows Server 2012R2) ändern können.