我有一个与这个问题类似的问题:Windows 7“加密运算符”。
我正在尝试添加加密规则。当我进入设置加密算法的步骤时,我收到一条“访问被拒绝”消息,指出我需要成为加密操作员组的成员。
我正在运行的命令是netsh advfirewall mainmode set rule name="TestRule" new mmkeylifetime=20mins MMSecmethods=ecdhp384:aes256-sha384
问题是我登录的用户是我是 Cryptographic Operators 组的成员。我还确保我是 Network Configuration Operators 组的成员。CMD 窗口以管理员身份运行
有什么建议吗?
答案1
我遇到了听起来相同的问题,只有在更改 Windows 防火墙的 IPsec 默认值时才会遇到。我通过 C# 和 WMI 进行更改,但也通过 PowerShell 和 UI 进行测试。我能够从 WMI 提供程序读取数据,并向其中大多数提供程序写入数据,但当向特定提供程序 (MSFT_NetIKEMMCryptoSet) 写入数据时,我会收到“访问被拒绝”的提示。幸运的是,我通过 UI 收到了更具描述性的错误:
问题是我的用户在两个都管理员和加密操作员组。我最终陷入这种情况是因为只有管理员才有登录权限,而且我没有预见到会有冲突(因为我必须在管理员提升的上下文中运行我的代码)。通常,管理证书/加密的人将是与系统管理员不同的用户(安全职责分离)。可能存在拒绝管理员访问的组策略(我只是还没有时间去追踪它)。
我明确授予该用户登录权限,并将其从管理员组中删除。当我退出并以该用户身份重新登录时,他们不再收到“访问被拒绝”的提示。