Windows 7“密码运算符”

Question

这个TechNet博客指出：

密码运算符:FIPS140-2定义了一个“密码官员”角色，该角色由Windows中首次引入的密码运算符组表示。当在本地或组策略对象中配置"System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing“安全设置时，默认情况下只有密码运算符组或管理员组的成员可以配置”密码下一代“设置。具体来说，密码运算符可以编辑具有高级安全性的Windows的IPsec策略中的密码设置。

我完成了以下工作：

1. 在本地安全策略中启用"System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing“安全设置。它可以在Security Settings -> Local Policies -> Security Options密钥下找到。
2. 创建了一个新的标准用户。
3. 将用户添加到Cryptographic Operators组中。

我注意到，如果不首先成为Network Configuration Operators的成员，这个用户甚至无法使用高级安全(WFAS)访问Windows防火墙。然后，我注意到这类组的任何成员都可以访问WFAS，并在Connection Security Rules下创建新的规则，包括IPsec规则。换句话说，用户不必是Cryptographic Operators组的成员。

然后我尝试了另一件事:我打开了MMC，并添加了"IP安全策略“插件。奇怪的是，用户(它是Cryptographic Operators组的成员)无法访问这些设置：

您能帮我找出Cryptographic Operators组的成员(但不是标准用户)可以执行的任务吗？

Answer 1

Windows防火墙MMC

我也遇到了类似的问题，无法在Windows防火墙的自定义IPSEC设置中添加密钥交换方法(主模式)。错误是

在保存设置时拒绝访问。要更改这些设置，您必须是密码运算符安全组的成员。

然而，我的解决办法，尽管听起来很疯狂，打开本地安全策略并点击"Windows防火墙属性“。您可以通过“具有高级安全性的Windows防火墙”应用程序更改无法更改的设置(WindowsServer2012R2)