У меня проблема, похожая на этот вопрос: Windows 7« Операторы криптографии ».
Я пытаюсь решить добавить криптографическое правило. Когда я перехожу к этапу установки криптографических алгоритмов, я получаю сообщение «Доступ запрещен», в котором говорится, что мне нужно быть членом группы криптографических операторов.
Команда I ' m работает netsh advfirewall mainmode set rule name = "TestRule" new mmkeylifetime = 20mins MMSecmethods = ecdhp384: aes256-sha384
Дело в том, что пользователь, в который я вошел как , является членом группы криптографических операторов. Я также удостоверился, что являюсь членом группы операторов настройки сети. Окно CMD запускалось от имени администратора
Есть какие-нибудь советы?
Я столкнулся с той же проблемой, которая возникает только при изменении настроек IPsec брандмауэра Windows по умолчанию. Я делал это через C # и WMI, но также тестировал через PowerShell и через пользовательский интерфейс. Я мог читать данные от поставщиков WMI и писать для большинства из них, но при записи на конкретный (MSFT_NetIKEMMCryptoSet) я получал «Доступ запрещен». К счастью, через пользовательский интерфейс я получил более описательную ошибку:
Проблема заключалась в том, что мой пользователь входил в как группы администраторов, так и группы криптографических операторов. Я оказался в этой ситуации, потому что только администраторы имели права входа в систему, и я не предвидел конфликта (поскольку мне пришлось запускать свой код в контексте с повышенными правами администратора). Обычно кто-то, управляющий сертификатами / криптографией, будет отдельным пользователем от системного администратора (безопасное разделение обязанностей). Вероятно, существует групповая политика, которая запрещает доступ администраторам (у меня просто еще не было времени отследить это).
Я явно дал пользователю права входа в систему и удалил его из группы администраторов. Как только я вышел из системы и снова зашел с этим пользователем, они больше не получали сообщение «Доступ запрещен».