已新增至 Windows Vista Service Pack 1 來的 IPsec 設定 Windows 防火牆] 在 [一般準則模式加密操作員安全性群組的描述

文章翻譯 文章翻譯
文章編號: 949299 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

簡介

本文將告訴您,新的加密操作員安全性群組已新增至 Windows Vista Service Pack 1 (SP1) 來的 IPsec 設定 Windows 防火牆] 在 [一般準則模式。

一般準則憑證是一種國際標準,可讓您確認產品已經被 certifiably 測試設計某些安全性層級運作。

Windows 已經在評估保證層級 4 (EAL 4) 有共通準則憑證,因為在 Windows 2000 發行。 最近,共通準則作業系統設定檔已加入新的需求。這項需求要求可以控制密碼編譯設定為非系統管理員角色必須在作業系統中存在。這些密碼編譯設定並不是由系統管理員可控制的。這個新的角色是在 Windows Vista SP1 中稱為加密操作員安全性群組。

其他相關資訊

Windows Vista 電腦可以被部署在預設模式或在 [一般準則模式。在預設模式,系統管理員可以讀取和寫入進階的防火牆原則。不過,在 [一般準則模式系統管理員可以讀取和寫入密碼編譯設定 IPsec 原則的以外的所有內容。系統管理員可以讀取這些設定,但只加密操作員可以寫入這些設定。

Windows Vista 架構的電腦必須重新設定每次將模式變更其 IPsec 原則。否則,正確角色區隔並不保證在 [一般準則模式。

下列清單說明在 Windows Vista 中使用 「 共通準則模式的支援案例 SP1:
  • 安裝 Windows Vista SP1 時,會啟用一般準則模式

    系統管理員在必須遵守共通準則模式的電腦上安裝 Windows Vista SP1。在安裝及組態程序中啟用通用準則模式。當系統管理員設定 IPsec 原則時,系統管理員必須藉由使用加密操作員使用者帳戶,使他或她可以設定 IPsec 規則] 和 [密碼編譯設定變更他或她的登入工作階段。
  • Windows Vista SP1 的現有安裝必須操作在 [一般準則模式

    系統管理員有現有的 Windows Vista SP1 電腦必須在 [一般操作準則模式的。系統管理員必須刪除所有現有的 IPsec 原則,啟用共通準則模式,並接著設定 IPsec 原則中使用加密操作員的使用者帳戶的合作。在 [一般,啟用密碼編譯設定時,防火牆設定 IPsec 的運作方式準則模式。
已經安裝 Windows Vista 時,系統管理員應該變更 Windows Vista SP1 架構的電腦設定為在 [一般執行準則模式來執行在預設模式。重新系統管理員共通準則模式變更為預設模式之後他或她應該設定 IPsec 原則視需要。

若要以便 IPsec 的 「 Windows 防火牆 」 設定,在 「 共通準則模式請依照下列步驟執行。

重要這個區段、 方法或任務包含告訴您如何修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,執行這些步驟時請務必小心。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756如何備份和還原在 Windows 登錄
  1. 按一下 [開始]、 在 開始搜尋] 方塊中輸入 regedit],然後按下 ENTER]。

    如果出現要求您輸入系統管理員密碼或確認的提示,輸入該密碼或提供確認。
  2. 找出並點選下列登錄子機碼:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
  3. 已啟用 上, 按一下滑鼠右鍵,然後再按 [修改]
  4. 數值日期] 方塊中輸入 1,],然後再按一下 [確定]]。
  5. 結束登錄編輯程式。
下表說明如何 netsh advfirewall consec 指令在 [一般運作準則模式的詳細資料。
摺疊此表格展開此表格
動作使用者netsh advfirewall consec 命令
使用預設值來新增規則系統管理員netsh advfirewall consec 新增 rule
新增使用自訂 qmsecmethod 物件的規則系統管理員netsh advfirewall consec 新增 rule
新增使用自訂 qmsecmethod 物件的規則密碼編譯操作員netsh advfirewall consec 設定 rule 新 qmsecmethods = value
設定規則

附註系統管理員可以設定 qmsecmethod 物件以外的所有內容。不過,系統管理員可以繼續使用現有的 qmsemethod 物件。
系統管理員netsh advfirewall consec 設定 rulenew name for the rule

附註qmsecmethod 物件設定為預設值或現有的物件。
設定規則

附註系統管理員可以設定 qmsecmethod 物件以外的所有內容。不過,系統管理員可以繼續使用現有的 qmsemethod 物件。
密碼編譯操作員netsh advfirewall consec 設定 rule 新 qmsecmethods = value
刪除使用自訂 qmsecmethod 物件的規則系統管理員netsh advfirewall consec 設定 rule 新 qmsecmethod = 預設
刪除使用自訂 qmsecmethod 物件的規則密碼編譯操作員netsh advfirewall consec 設定 rule 新 qmsemethods = 無
刪除會使用預設 qmsecmethod 物件的規則系統管理員netsh advfirewall consec 刪除 rule
還原預設值系統管理員重設
還原預設值密碼編譯操作員重設
設定主要模式原則密碼編譯操作員設定 profile mmsecmethod = value
顯示規則系統管理員和加密的運算子顯示 rule identifiers
顯示規則非系統管理員或加密的運算子顯示 rule identifiers

屬性

文章編號: 949299 - 上次校閱: 2008年3月5日 - 版次: 1.1
這篇文章中的資訊適用於:
  • Windows Vista 商用入門版
  • Windows Vista 商用進階版
  • Windows Vista 家用入門版
  • Windows Vista 家用進階版
  • Windows Vista 旗艦版
  • Windows Vista 商用入門 64 位元版
  • Windows Vista 商用進階 64 位元版
  • Windows Vista 家用入門 64 位元版
  • Windows Vista 家用進階 64 位元版
  • Windows Vista 旗艦 64 位元版
關鍵字:?
kbmt kbhowto kbexpertiseinter kbinfo KB949299 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:949299
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com