web-dev-qa-db-ja.com

Windows7「暗号化演算子」

このTechNetブログ は次のように述べています:

Cryptographic Operators:FIPS 140-2は、CryptographicOperatorsグループによって表される「CryptoOfficer」の役割を定義しますWindowsでは、Windows VistaSP1で最初に導入されました。

System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing」セキュリティ設定がローカルまたはグループポリシーオブジェクトで構成されている場合、デフォルトでは、CryptographicOperatorsグループまたはAdministratorsグループのメンバーのみがCryptographyNext Generation(CNG)設定を構成できます。具体的には、暗号化オペレーターは、セキュリティが強化されたWindowsファイアウォール(WFAS)のIPsecポリシーの暗号化設定を編集できます。

私は以下を実行しました:

  1. ローカルセキュリティポリシーで「System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing」セキュリティ設定を有効にしました。 Security Settings -> Local Policies -> Security Optionsキーの下にあります。
  2. 新しい標準ユーザーを作成しました。
  3. ユーザーをCryptographic Operatorsグループに追加しました。

このユーザーは、最初にNetwork Configuration Operatorsのメンバーでないと、セキュリティが強化されたWindowsファイアウォール(WFAS)にアクセスすることさえできないことに注意しました。次に、そのようなグループのすべてのメンバーがWFASにアクセスし、IPsecルールを含むConnection Security Rulesの下で新しいルールを作成できることに注意しました。つまり、ユーザーはCryptographic Operatorsグループのメンバーである必要はありません。

次に、別のことを試しました。MMCを開き、「IPセキュリティポリシー」スナップインを追加しました。奇妙なことに、ユーザー(Cryptographic Operatorsグループのメンバー)は次の設定にアクセスできません。

Access denied to IPsec settings

Cryptographic Operatorsグループのメンバー(標準ユーザーではない)が実行できるタスクを理解するのを手伝っていただけませんか。

7
M.S. Dousti

自分で答えを見つけたので、ここに投稿します。

TechNetの記事 Netsh AdvFirewall MainModeコマンド の説明:

netsh advfirewallコンテキストでコマンドmainmodeを入力すると、netsh advfirewall mainmodeコンテキストに変わり、IPsecがコンピューター間のメインモードセキュリティアソシエーションをネゴシエートする方法を指定するメインモードルールを表示、作成、および変更できます。ネットワーク上。このコンテキストには、セキュリティが強化されたWindowsファイアウォールMMCスナップイン)に同等のものがありません

さらに:

このnetshコンテキストは、Common Criteriaモードの要件に従います。有効にすると、管理者はメインモードのルールを作成できますが、mmsecmethodsまたはmmkeylifetimeパラメーターを指定することはできませんCryptographic Operatorsグループのメンバーのみが、これらのパラメーターを設定または変更できます。 Common Criteriaモードとその有効化方法については、Crypto Operators Security Groupの説明( http://go.Microsoft.com/fwlink/?linkid=14707 )を参照してください。

ポイントを明確にする次の例を作成しました。

  • 質問の説明に従って、System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signingを有効にします。
  • Cryptographic Operatorsグループのメンバーとしてログインします。
  • 管理者として昇格したコマンドプロンプトを開き、次のコマンドを入力します。

netsh advfirewall mainmode add rule name="TestRule" auth1=computercert auth1ca="CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US" profile=domain

  • (オプション)作成したばかりのルールを確認できます。

netsh advfirewall mainmode show rule name="TestRule"

  • ここで、暗号化アルゴリズム、つまりキーの有効期間を設定してみてください。ただし、システムはCommon Criteriaモードであるため、管理者は次のオプションにアクセスできません。

netsh advfirewall mainmode set rule name="TestRule" new mmkeylifetime=20min Mmsecmethods=dhgroup2:3des-sha256,ecdhp384:3des-sha384

->アクセスが拒否されました。

  • 次に、Cryptographic Operatorsグループ(important)のメンバーである現在のユーザーとして昇格した新しいコマンドプロンプトを開きます。

  • 上記のコマンドを再試行すると、正常に実行されます。


作成したばかりのルールを削除することを忘れないでください。削除すると、ネットワークポリシーに悪影響を与える可能性があります。

netsh advfirewall mainmode delete rule name="TestRule"


PS:netshコマンドは、管理者が(Windows Common Criteriaモードで)IPsec暗号設定を変更できないようにしますが、管理者は次のレジストリキーを使用して設定を簡単に変更できます。

HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\Phase1CryptoSet\{GUID-of-rule}

詳細については、 2.2.5暗号セット を参照してください。

2
M.S. Dousti

WindowsファイアウォールMMC

同様の問題が発生し、WindowsファイアウォールのカスタムIPSEC設定でキー交換方法(メインモード)を追加できませんでした。エラーは

設定の保存中にアクセスが拒否されました。これらの設定を変更するには、CryptographicOperatorsセキュリティグループのメンバーである必要があります。

ただし、私の回避策は、ローカルセキュリティポリシーを開いて[Windowsファイアウォールのプロパティ]をクリックすることでした。あなたはできますここで設定を変更できますできません「Windowsファイアウォール」を介して変更できます高度なセキュリティを使用する」アプリケーション(Windows Server 2012R2)

1
Darren