加密操作员安全组添加到 Windows Vista Service Pack 1 若要将 Windows 防火墙配置为 IPsec 在一般条件模式的说明

文章翻译 文章翻译
文章编号: 949299 - 查看本文应用于的产品
展开全部 | 关闭全部

简介

本文介绍了新加密操作员安全组添加到 Windows Vista Service Pack 1 (SP1),在一般为 IPsec 配置 Windows 防火墙标准模式。

通用标准认证是使您能够确认产品已被 certifiably 测试和设计为在特定的安全级别操作的一种国际标准。

Windows 已在评估保证级别 4 (EAL 4) 具有通用标准认证,因为 Windows 2000 发布。 最近,新要求已添加到通用标准操作系统配置文件。此要求需要一个非管理员角色,可以控制加密设置,会出现在操作系统中。这些加密设置不是可由管理员控制的。在 Windows Vista SP1 中,此新角色称为加密操作员安全组。

更多信息

Windows Vista 基于计算机可以部署在默认模式下或在一般条件模式。在默认模式,管理员可以读取和写入的高级的防火墙策略。然而,在公共标准模式管理员可以读取和写入除加密 IPsec 策略的设置以外的所有内容。管理员可以读取这些的设置,但只加密操作员可以写入这些设置。

一台基于 Windows Vista 的计算机必须重新配置每当模式更改时,其 IPsec 策略。否则,正确的角色分离并不保证在一般条件模式。

下面的列表描述了在 Windows Vista 中使用通用标准模式支持情形 SP1:
  • Windows Vista SP1 安装时启用了通用标准模式

    管理员必须遵守一般准则模式的计算机上安装 Windows Vista SP1。安装和配置过程中启用了通用标准模式。当管理员配置 IPsec 策略时,管理员必须通过使用加密操作员用户帐户,以便他或她) 可以配置 IPsec 规则和加密设置更改他或她的登录会话。
  • 现有的 Windows Vista SP1 的安装必须工作在一般条件模式

    管理员有一个现有的 Windows Vista SP1 的计算机必须运行在一般条件模式。管理员必须删除所有现有的 IPsec 策略、 启用通用标准模式,然后在 $ 合作加密运算符的用户帐户中配置 IPsec 策略。启用加密设置后,防火墙配置为 IPsec 在公共运行标准模式。
当已安装 Windows Vista,则管理员应该更改配置为运行在一般条件模式,以便在默认模式运行的基于 Windows Vista SP1 的计算机。管理员对通用标准模式更改为默认模式之后,他或她) 重新应配置 IPsec 策略根据需要。

若要能够在通用标准模式下的 Windows 防火墙配置为 IPsec 请按照下列步骤操作。

重要此分区、 方法,或任务包含告诉您如何修改注册表的步骤。但是,如果注册表修改不当可能会出现严重问题。因此,请确保您仔细按照这些步骤。附加的保护注册表之前先备份您对其进行修改。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756如何备份和还原在 Windows 注册表
  1. 单击 开始、 在 开始搜索 框中键入 regedit,然后按 ENTER 键。

    如果将提示您输入管理员密码或进行确认键入了的密码或进行确认。
  2. 找到并单击以下注册表子项:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
  3. 用鼠标右键单击 启用,然后单击 修改
  4. 值日期 框中键入 1,然后单击 确定
  5. 退出注册表编辑器。
下表描述了如何 netsh advfirewall consec 命令的工作在一般条件模式的详细信息。
收起该表格展开该表格
操作用户netsh advfirewall consec 命令
通过使用默认值添加规则管理员netsh advfirewall consec 添加 rule
添加一个规则,它使用自定义 qmsecmethod 对象管理员netsh advfirewall consec 添加 rule
添加一个规则,它使用自定义 qmsecmethod 对象加密操作员netsh advfirewall consec 设置 rule 的新 qmsecmethods = value
设置规则

注意管理员可以设置除 qmsecmethod 对象外的所有内容。但是,管理员可以继续使用现有的 qmsemethod 对象。
管理员netsh advfirewall consec 设置 rulenew name for the rule

注意qmsecmethod 对象设置为默认值或现有的对象。
设置规则

注意管理员可以设置除 qmsecmethod 对象外的所有内容。但是,管理员可以继续使用现有的 qmsemethod 对象。
加密操作员netsh advfirewall consec 设置 rule 的新 qmsecmethods = value
删除使用自定义 qmsecmethod 对象的规则管理员netsh advfirewall consec 设置 rule 的新 qmsecmethod = 默认
删除使用自定义 qmsecmethod 对象的规则加密操作员netsh advfirewall consec 设置 rule 的新 qmsemethods = 无
删除一条规则,将使用默认 qmsecmethod 对象管理员netsh advfirewall consec 删除 rule
恢复默认设置管理员重置
恢复默认设置加密操作员重置
设置主模式策略加密操作员设置 profile mmsecmethod = value
显示规则管理员和加密操作员显示 rule identifiers
显示规则非管理员或 $ 加密操作员显示 rule identifiers

属性

文章编号: 949299 - 最后修改: 2008年3月5日 - 修订: 1.1
这篇文章中的信息适用于:
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
关键字:?
kbmt kbhowto kbexpertiseinter kbinfo KB949299 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 949299
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com