Klíč systému Windows NT umožňuje silné šifrování SAM

Překlady článku Překlady článku
ID článku: 143475 - Produkty, které se vztahují k tomuto článku.
Microsoft Windows 2000 Windows XP a Windows Server 2003 verze tohoto článku, naleznete v 310105.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Klíč systému Windows NT Server 4.0 (Syskey.exe) poskytuje schopnost používat silné šifrování techniky ke zvýšení ochrany hesla účtu informace uložené v registru podle Správce zabezpečení účtů (SAM). Server Windows NT ukládá informace o uživatelském účtu, včetně odvozený o heslo uživatelského účtu v zabezpečené části registru řízení přístupu a funkce aplikace předstírání podvod vtip chráněn. Účet informace v registru je k dispozici pouze pro členy Skupina Administrators. Windows NT Server, stejně jako jiné operační systémy umožňuje uživatelům kteří správci mají přístup ke všem prostředkům v systém. Pro zařízení, které zvýšené zabezpečení silného šifrování informací o účtu heslo derivátových poskytuje Další úroveň zabezpečení zabránit správce úmyslně nebo neúmyslně přístupu deriváty heslo pomocí registru rozhraní pro programování.

Syskey.exe je součástí aktualizace Service Pack 3 (SP3) a novější pro systém Windows NT 4.0.

POZNÁMKA:: Chcete-li změnit umístění klíče SYSKEY, použijte nástroj SYSKEY neupravujte registr přímo. Pokud upravíte registr, program SYSKEY pracovat správně, ale dojem, že není.

DŮLEŽITÉ: Důležité informace o chybě zabezpečení pomocí nástroje Syskey naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
248183 Nástroj Syskey Reuses Keystream

Další informace

Schopnost silného šifrování pomocí opravy hotfix systému Windows NT 4.0 systémový klíč je volitelná funkce. Správci mají možnost provést silné šifrování definováním systémový klíč pro silné šifrování systému Windows NT. informace o soukromých účtech chrání šifrováním pomocí dat heslo 128bitové kryptograficky náhodný klíč, známé jako šifrovací klíč hesla.

Pouze heslo soukromé informace, které jsou silně šifrovaná v databáze, nikoli celý účet databáze. Každý systém silné možnost šifrování bude mít šifrovacího klíče jedinečné heslo. Heslo šifrovací klíč je šifrována klíčem systému. Silné heslo šifrování může být použito na serveru Windows NT Server a Workstation kde jsou uloženy informace o účtu. Pomocí silného šifrování účtu hesla se přidá další ochranu obsah části SAM registru a následné záložní kopie informací z registru ve složce %systemroot%\repair vytvořené pomocí příkazu RDISK a v systému zálohovacích pásek.

Systémový klíč je definována pomocí příkazu Syskey.exe. Pouze členové skupiny Administrators, můžete spuštěním příkazu Syskey.exe. Tento nástroj je slouží k inicializaci nebo změnit systémový klíč. Systémový klíč je hlavní server" klíče"slouží k ochraně šifrovací klíč hesla a proto ochranu Systémový klíč je důležité systémové zabezpečovací operaci.

Existují tři možnosti pro správu systémový klíč navrženy tak, aby splňovaly potřebám různých prostředí systému Windows NT. Systémový klíč možnosti jsou následující:
  • Použití počítačem generovaný náhodný klíč jako systémový klíč a uložení klíče v místním systému pomocí algoritmu složité předstírání podvod vtip. Tuto možnost poskytuje silné šifrování informací o heslech v registru a umožňuje bezobslužné restartování.
  • Použití počítačem generovaný náhodný klíč a uložení klíče na disketu. Disketa s klíčem systému je nutné pro spuštění systému a musí být vložen při zobrazení výzvy, jakmile začne systém Windows NT, spuštění posloupnost, ale před systému je k dispozici uživatelům v přihlášení. Na Systémový klíč není uložen nikde v místním systému.
  • Použijte heslo vybraného správcem k odvození klíče systému. Windows NT vyzve k zadání hesla systémového klíče systému počáteční spouštěcí sekvenci, ale před systému je k dispozici pro uživatelé přihlášení. Heslo systémového klíče není uložen kdekoli na systém. Jako hlavního klíče se používá ověřování algoritmem MD5 hesla zabezpečit heslo šifrovacího klíče.
Systémový klíč možnosti použití buď heslo nebo vyžadující disketu zavést novou výzvu během inicializace systému Windows NT operační systém. Nabízejí nejsilnější možnost ochrany, která je k dispozici protože hlavního klíče není uložen v systému a kontroly klíč může být omezeno na několik osob. Na druhé straně knowledge heslo systémového klíče nebo držení systémový klíč je disk požadované ke spuštění systému. (Pokud systémový klíč je uložen na disketu, záložní kopie disku systémového klíče jsou doporučeny.) Bezobslužný systém restartování může požadovat, aby klíče systému k dispozici v systému bez odpovědi, správce. Uložení klíče systému v místním systému použití algoritmu složité předstírání podvod vtip tak klíče, které jsou k dispozici pouze základní součástí zabezpečení operačního systému. V budoucnu bude možné Konfigurace klíče systému získat od důkaz proti úmyslnému poškození materiálu klíče. hardwarové komponenty pro maximální zabezpečení.

Upozornění: Pokud systémový klíč heslo zapomněli nebo disketa s klíčem systému dojde ke ztrátě diskety, nebude pravděpodobně možné spustit systém. Chránit a v případě uložení informací systémový klíč bezpečně se záložními kopiemi mimořádné události. Jediným způsobem, jak obnovit systém v případě, že je systémový klíč ke ztrátě opravnou disketu se používá k obnovení registru do stavu před povolení silné šifrování. V části opravy problémů níže.

Silné šifrování může nakonfigurovat nezávisle na primární a každé Záložní řadiče domény (DC). Každý řadič domény, bude mít jedinečné šifrovací klíč hesla a jedinečné systémové klíče. Například primární Řadič domény může být nakonfigurován k používání generované systémového klíče uložené v počítači disk a záložní řadiče domény může každé použití jiného počítače vygenerován systémový klíč uloženy v místním systému. Stroj generované systémový klíč uložen místně na primární řadič domény není replikována.

Před povolením silného šifrování pro primární řadiče domény, může Chcete zajistit že úplné aktualizované záložní řadič domény je k dispozici používat jako záložní systém, dokud nebudou dokončeny změny primární domény a ověřené. Před povolením silného šifrování v systému, Microsoft doporučuje čerstvé zkopírováním záchrannou opravnou disketu, včetně informace o zabezpečení v registru pomocí příkazu RDISK parametrem/s. Prosím naleznete v následujícím článku znalostní báze Microsoft Knowledge Base Chcete-li pomocí RDISK/S:
ID ČLÁNKU: 122857
Název: RDISK /S RDISK /S-volby a v systému Windows NT

Nástroj SYSKEY příkazu lze vybrat možnost systémový klíč a generovat Počáteční hodnota klíče. Hodnota klíče může být klíč počítače vygenerován nebo heslo odvozené klíče. Příkaz nástroje SYSKEY nejprve zobrazí dialogové okno Zobrazuje, zda je povoleno silné šifrování. Po silné šifrování je povolena, nemůže být zakázán. Povolení silné ověřování databáze účtu, vyberte možnost šifrování" Povoleno"a klepněte na tlačítko OK. Zobrazí dialogové okno potvrzení reminding správce aktualizovanou záchrannou opravnou disketu. Nové dialogové okno Zobrazí-li se předložení možnosti pro klíč databáze účtů. Pomocí možností k dispozici v dialogovém okně klíč databáze účtů vyberte systémový klíč.

Po výběru možnosti systémového klíče, musí být restartován systém Windows NT možnost systémový klíč se projeví. Restartování systému, Správce může být vyzváni k zadání klíče systému, v závislosti na zvolili možnost klíče. Systém Windows NT zjistí prvního použití klíče systému a generuje nový šifrovací klíč náhodné heslo. Šifrování hesla klíč je chráněn pomocí systémový klíč a potom všechny heslo účtu informace jsou silně šifrovaná.

Nástroj SYSKEY příkaz musí být spuštěn v každém systému, kde silné šifrování účet je vyžadována informace o hesle. Podporuje nástroj SYSKEY "-l" možnost generování hlavního klíče a uložení klíče místně na příkaz systém. Tato možnost umožňuje šifrování silného hesla v registru a umožňuje pomocí příkazu Spustit bez interaktivním dialogovým oknem. Nástroj SYSKEY příkaz lze později změnit možnosti systémového klíče z jedna metoda na jiný nebo změnit systémový klíč na nový klíč. Změna Systémový klíč vyžaduje znalost nebo držení, současný systém Klíč. Pokud heslo odvozena možnost systémový klíč je používán, SYSKEY neobsahuje vynutit minimální délku hesla, ale dlouhá hesla (větší než 12 doporučuje se znaky). Maximální délka hesla systémového klíče je 128 znaky.

Nástroj SYSKEY by u všech řadičů domény. Pokud není provedeno, SAM na záložní řadiče domény (BDC) nebude zabezpečený stejně, jako na primární řadič domény (PDC). Instalace nástroje SYSKEY bodu by tedy defeated.

OPRAVIT PROBLÉMY

Zavedení změn informace hesla účtu silné šifrování SYSTÉM a SAM části registru způsoby, které ovlivňují opravy možnosti, které jsou k dispozici pro obnovení systému Windows NT. Vždy použít RDISK příkazu s parametrem /S vytvořit nové záchranné opravné diskety včetně záložní kopii část registru v systému a SAM složka \Repair.

Pro úplné obnovení by následující disky záchranné opravy k dispozici:
  • Instalovat opravu hotfix systémový klíč, vytvoření čerstvé opravu disku. Tento disk je "pre opravy hotfix" opravnou disketu, která obsahuje kopii systémové konfiguraci a informace o účtu před k instalaci opravy hotfix. Opravná disketa "pre opravy hotfix" může být použita k obnovení registru a systémových souborů pomocí distribučního systému Windows NT CDROM.
  • Po instalaci opravy hotfix systémový klíč, ale před povolením silné šifrování pomocí příkazu nástroje SYSKEY vytvořit opravnou disketu. Tato oprava disk je "- před šifrování". Lze tuto opravu disku Oprava registru do stavu před povolením silné šifrování, například může být použita k obnovení systému, pokud v systému Windows NT Klíč je ztratili nebo zapomněli.
  • Po spuštění nástroje SYSKEY povolení silné šifrování, vytvořte opravnou disketu. Tato opravná disketa je "- po šifrování". Tento disk opravit a následné aktualizace na tento disk opravy lze použít k obnovení registru pomocí silného šifrování neporušené v platnosti pomocí klíče systému v době poslední aktualizace opravnou disketu.
Podpora silného šifrování systémový klíč hotfix ovlivňuje následující součásti systému:
  • Podregistry registru systému a SAM
  • Tři soubory součástí zabezpečení systému: Winlogon.exe, Samsrv.dll, Samlib.dll –
Obecně musí používat odpovídající verze těchto procesu opravy součásti. Jakékoli opravy možnosti procesu opravy bude koordinovat opravy podregistry registru odpovídající soubory systému.

Následující tabulka uvádí možnosti obnovení, která je k dispozici.

Desired System        Repair disk to        Repaired System
Configuration         apply
after Repair
--------------------------------------------------------------------------

Windows NT 4.0,       Use the "Pre-hotfix"  Registry matches system before
prior to hotfix       repair disk           hotfix installed; the three
installation                                system security component
                                            files need to be repaired from
                                            the Windows NT 4.0 compact
                                            disc to match the pre-hotfix
                                            registry format.

Windows NT 4.0 with   Use the "hotfix -     Registry matches the system
hotfix installed,     Before Encryption"    before strong encryption.
but strong            repair disk           System Key is not in effect;
encryption is not                           strong encryption not enabled.
enabled                                     System security files do not
                                            need to be repaired from the
                                            Windows NT 4.0 compact disc.

Windows NT 4.0 with   Use the "hotfix -     Registry matches the system
hotfix installed,     After Encryption"     with strong encryption
and strong            repair disk           enabled; the System Key in
encryption is                               effect is the System Key used
enabled                                     at the time the repair disk
                                            was made.
				


V případě, že správce je potřeba opravit systém po Je nainstalována oprava hotfix klíč systému, systému a SAM části registru je nutné opravit současně. Možnost systémový klíč v SYSTÉMOVÉ části registru musí odpovídat silný šifrovací klíč použit pro část registru SAM. Pokud je opraven jeden podregistru bez druhé, je možné pro systém pokusit použít jinou možnost systémový klíč (heslo odvozených nebo počítače, které jsou generovány), silné šifrovacího klíče používaného pro heslo účtu neodpovídá informace.

Instalace opravy hotfix systémový klíč bude aktualizovat součty pro součástí zabezpečení systému (Winlogon.exe, Samsrv.dll, samlib.dll –) v Soubor System.log. System.log soubor je uložen na záchranné opravné Disk. Zjistěte, zda používá soubor System.log během obnovy soubory je třeba aktualizovat z disku CD-ROM systému Windows NT Server 4.0 tak, aby odpovídala Konfigurace pre-oprava hotfix v registru. Pokud požadované pro obnovení systému konfigurace je hotfix klíč systému Windows NT Server 4.0 je nebudete vyzváni k opravě tyto systémové soubory zabezpečení.

Po instalaci systémového klíče opravu hotfix a není povoleno silné šifrování, pokud se pokusíte opravit pomocí disku opravit systémové soubory vytvořit před instalací opravy hotfix systémový klíč (tedy pomocí "pre- opravy hotfix"opravě disku), je také třeba opravit registr systému a SAM. Pokud nelze opravit registr, systémové soubory a bude formát registru nesouhlasí. Obdržíte-li k chybě (Chyba číslo C00000DF) při pokusu k přihlášení. Pokud se neshodují soubory registru a systému, obnovení postup je opravit odpovídající systému a soubory registru. Buď opravit podregistry registru ze stejné "pre opravy hotfix" opravná disketa nebo použít "hotfix - před šifrování" opravu disku, který má registru, který formát odpovídá systémové soubory opravy hotfix systémový klíč.

Konečně pokud máte situaci kde systémové soubory zabezpečení Jsou poškozeny (Winlogon, Samsrv.dll, samlib.dll –), pak je nutné obnovit systém "pre-hotfix" opravě disku a opravit poškozené soubory ze systému Windows NT Server 4.0 CD-ROM. Je také třeba opravit systém a SAM podregistry registru tak, aby odpovídala systémové soubory z opravy "Pre opravy hotfix" disk.

Aktuální exportním předpisům Spojených států umožnit používání 128bitové šifrovací klíče k ochraně ověřování dat, jako jsou například hesla. Šifrovací klíče pro nástroj Syskey jsou určeny k ochraně hesla uložená v SAM a zabezpečení část registru. Neexistují žádná aplikace rozhraní API, které jsou k dispozici pro použití pro ochranu dat obecný 128bitové šifrování Syskey.

Vlastnosti

ID článku: 143475 - Poslední aktualizace: 23. dubna 2011 - Revize: 4.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
Klíčová slova: 
kbenv kbinfo kbnetwork kbmt KB143475 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:143475

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com