Windows NT-Systemschlüssel erlaubt starke Verschlüsselung des SAM

Der Hotfix "System Key" für Windows NT Server 4.0 bietet die Möglichkeit zum Einsatz von Techniken zu starker Verschlüsselung. Auf diese Weise können die Kontokennwortinformationen, die der Sicherheitskonten-Manager (SAM, Security Account Manager) in der Registrierung speichert, besser geschützt werden. Windows NT Server speichert Benutzerkonteninformationen, einschließlich einer Ableitung des Kennworts für das Benutzerkonto, in einem sicheren Bereich der Registrierung; er ist durch Zugriffssteuerung und eine Verschlüsselungsfunktion geschützt. Auf die Kontoinformationen in der Registrierung können nur Mitglieder der Gruppe "Administratoren" zugreifen. Ähnlich wie andere Betriebssysteme erlaubt Windows NT Server Administratoren als privilegierten Benutzern den Zugriff auf alle Ressourcen des Systems. Bei Installationen, die erweiterte Sicherheit wünschen, bietet die starke Verschlüsselung des abgeleiteten Kontokennworts eine zusätzliche Sicherheitsstufe. Diese soll verhindern, dass Administratoren über die Programmierschnittstellen der Registrierung mit oder ohne Absicht auf Kennwortableitungen zugreifen.

Die Datei mit dem Hotfix ist an folgendem Speicherort im Internet zu finden:

Die Möglichkeit zu starker Verschlüsselung mit dem Hotfix "System Key" für Windows NT 4.0 ist ein optionales Feature. Administratoren können starke Verschlüsselung implementieren, indem sie einen Systemschlüssel für Windows NT definieren. Starke Verschlüsselung schützt private Kontoinformationen durch Verschlüsselung der Kennwortdaten mithilfe eines 128-Bit-Zufallsschlüssels. Dies ist der sogenannte Kennwortverschlüsselungsschlüssel.
Nur die privaten Kennwortinformationen in der Kontendatenbank werden stark verschlüsselt, nicht die gesamte Datenbank. Jedes System, das die Option zu starker Verschlüsselung einsetzt, besitzt einen eindeutigen Schlüssel zur Kennwortverschlüsselung. Der Schlüssel zur Kennwortverschlüsselung selbst wird mit einem Systemschlüssel verschlüsselt. Starke Kennwortverschlüsselung kann bei Windows NT Server und Windows NT Workstation dort eingesetzt werden, denn beide Systeme speichern Kontoinformationen. Durch starke Verschlüsselung von Kontokennwörtern werden der Inhalt des Registrierungsbereichs SAM sowie spätere Sicherungskopien der Registrierungsinformationen in dem mit dem Befehl RDISK erstellten Verzeichnis %systemroot%\repair und auf Systemsicherungsbändern zusätzlich geschützt.
Der Systemschlüssel wird mit dem Befehl Syskey.exe definiert. Nur Mitglieder der Gruppe "Administratoren" können diesen Befehl ausführen. Das Dienstprogramm wird zum Initialisieren oder Ändern des Systemschlüssels verwendet. Der Systemschlüssel ist der "Masterschlüssel", der zum Schützen des Schlüssels zur Kennwortverschlüsselung dient. Aus diesem Grund ist der Schutz des Systemschlüssels ein wichtiger Vorgang für die Systemsicherheit.

Zum Verwalten des Systemschlüssels gibt es drei Optionen, die die Anforderungen unterschiedlicher Windows NT-Umgebungen erfüllen sollen. Die Systemschlüsseloptionen umfassen:

• VOM SYSTEM ERZEUGTES KENNWORT - KENNWORT FÜR DEN SYSTEMSTART LOKAL SPEICHERN. Diese Option bietet starke Verschlüsselung der Kennwortinformationen in der Registrierung und ermöglicht den unbeaufsichtigten Neustart des Systems.
• VOM SYSTEM ERZEUGTES KENNWORT - KENNWORT FÜR DEN SYSTEMSTART AUF DISKETTE SPEICHERN. Die Diskette mit dem Systemschlüssel wird zum Starten des Systems benötigt und muss bei der entsprechenden Eingabeaufforderung eingelegt werden. Sie erscheint, nachdem Windows NT mit dem Systemstart begonnen hat, aber bevor das System für Benutzeranmeldungen verfügbar ist. Der Systemschlüssel wird nirgendwo im lokalen System gespeichert.
• KENNWORTGESCHÜTZTER SYSTEMSTART - ERDORDERT DIE EINGABE EINES KENNWORTS BEIM SYSTEMSTART. Windows NT fordert zur Eingabe des Systemschlüsselkennworts auf, wenn sich das System in der Anfangsstartfolge befindet, doch bevor es für Benutzeranmeldungen verfügbar ist. Das Systemschlüsselkennwort wird nirgendwo im System gespeichert. Ein MD5-Digest des Kennworts wird als Masterschlüssel zum Schutz des Schlüssels zur Kennwortverschlüsselung verwendet.

Die Systemschlüsseloptionen, bei denen entweder ein Kennwort verwendet oder eine Diskette benötigt wird, zeigen während der Initialisierung des Windows NT-Betriebssystems eine neue Eingabeaufforderung an. Sie bieten die stärkste verfügbare Schutzoption, da die Masterschlüsselinformationen nicht im System gespeichert werden und der Besitz des Schlüssels auf wenige Personen beschränkt werden kann. Andererseits kann das System nur von Personen gestartet werden, die das Systemschlüsselkennwort kennen oder die Diskette mit dem Systemschlüssel besitzen. (Wenn der Systemschlüssel auf einer Diskette gespeichert wird, sollten Sicherungskopien dieser Diskette angefertigt werden.) Für den unbeaufsichtigten Systemstart ist es möglicherweise erforderlich, dass die Systemschlüsselinformationen ohne Administratoreingriff für das System verfügbar sind. Wenn der Systemschlüssel unter Verwendung eines komplexen Verschlüsselungsalgorithmus im lokalen System gespeichert wird, steht er nur für die Sicherheitskomponenten des Betriebssystems zur Verfügung. In Zukunft wird es möglich sein, den Systemschlüssel so zu konfigurieren, dass er seine Informationen aus Gründen der maximalen Sicherheit über fälschungssichere Hardwarekomponenten erhält.

ACHTUNG: Wenn eine dafür zuständige Person das Systemschlüsselkennwort vergessen hat oder wenn die Systemschlüsseldiskette verloren geht, lässt sich das System möglicherweise nicht mehr starten. Schützen Sie deshalb die Systemschlüsselinformationen, und bewahren Sie sie (mit Sicherungskopien für den Notfall) an einem sicheren Ort auf. Die einzige Möglichkeit zur Wiederherstellung des Systems bei Verlust des Systemschlüssels besteht darin, die Registrierung mithilfe einer Notfalldiskette auf einen Status wiederherzustellen, den sie vor dem Aktivieren von starker Verschlüsselung hatte. Entsprechende Informationen finden Sie weiter unten im Abschnitt REPARATURASPEKTE.

Starke Verschlüsselung kann auf dem primären Domänencontroller und jedem Sicherungs-Domänencontroller unabhängig konfiguriert werden. Jeder Domänencontroller erhält einen eindeutigen Schlüssel zur Kennwortverschlüsselung sowie einen eindeutigen Systemschlüssel. So kann z.B. der primäre Domänencontroller für die Verwendung eines computergenerierten, auf Diskette gespeicherten Systemschlüssels konfiguriert werden, und Sicherungs-Domänencontroller können jeweils einen anderen computergenerierten Systemschlüssel verwenden, der im lokalen System gespeichert ist. Ein computergenerierter Systemschlüssel, der lokal auf einem primären Domänencontroller gespeichert ist, wird nicht repliziert.
Vor dem Aktivieren von starker Verschlüsselung für primäre Domänencontroller sollten Sie sicherstellen, dass ein kompletter aktualisierter Sicherungs-Domänencontroller verfügbar ist. Dieser wird so lange als Sicherungssystem verwendet, bis alle Änderungen an der primären Domäne abgeschlossen und überprüft worden sind. Microsoft empfiehlt, dass vor dem Aktivieren von starker Verschlüsselung in einem System eine aktuelle Kopie der Notfalldiskette mit dem Befehl RDISK /S erstellt wird; sie enthält die Sicherheitsinformationen der Registrierung. Weitere Informationen finden Sie in Artikel:

Der Befehl SYSKEY dient zum Auswählen der gewünschten Systemschlüsseloption und zum Erstellen des Anfangsschlüsselwertes. Dieser Wert kann entweder ein computergenerierter Schlüssel oder ein aus einem Kennwort abgeleiteter Schlüssel sein. SYSKEY zeigt zunächst in einem Dialogfeld an, ob starke Verschlüsselung aktiviert oder deaktiviert ist. Wenn die Option für starke Verschlüsselung aktiviert ist, kann sie nicht deaktiviert werden. Zum Aktivieren von starker Echtheitsbestätigung der Kontendatenbank wählen Sie die Option VERSCHLÜSSELUNG AKTIVIERT und klicken auf OK. Ein Bestätigungsdialogfeld erinnert den Administrator daran, eine aktualisierte Notfalldiskette zu erstellen. Danach zeigt ein weiteres Dialogfeld die Optionen für den Kontendatenbankschlüssel an. Verwenden Sie die Optionen im Dialogfeld "Kennwort für die Benutzerkontendatenbank" zum Auswählen des Systemschlüssels.
Nachdem Sie die gewünschte Systemschlüsseloption ausgewählt haben, muss Windows NT neu gestartet werden, damit diese Option wirksam wird. Beim Neustart des Systems wird der Administrator je nach gewählter Schlüsseloption möglicherweise zur Eingabe des Systemschlüssels aufgefordert. Windows NT erkennt die Erstverwendung des Systemschlüssels und erzeugt einen neuen zufälligen Schlüssel zur Kennwortverschlüsselung. Der Schlüssel zur Kennwortverschlüsselung wird mit dem Systemschlüssel geschützt; anschließend werden alle Kontokennwortinformationen stark verschlüsselt.
Der Befehl SYSKEY muss auf jedem System ausgeführt werden, bei dem starke Verschlüsselung der Kontokennwortinformationen benötigt wird. SYSKEY unterstützt die Befehlsoption "-l", der den Masterschlüssel erstellt und im lokalen System speichert. Diese Option aktiviert die starke Kennwortverschlüsselung in der Registrierung und ermöglicht die Ausführung des Befehls ohne einen interaktiven Dialog. Der Befehl SYSKEY kann zu einem späteren Zeitpunkt verwendet werden, um die Systemschlüsseloptionen von einer Methode in eine andere zu ändern oder um den Systemschlüssel in einen neuen Schlüssel zu ändern. Zum Ändern des Systemschlüssels ist es erforderlich, den aktuellen Systemschlüssel zu kennen oder zu besitzen. Wenn die Systemschlüsseloption für KENNWORTGESCHÜTZTER SYSTEMSTART verwendet wird, erzwingt SYSKEY keine Mindestlänge des Kennworts; dennoch werden lange Kennwörter (mehr als 12 Zeichen) empfohlen. Die maximale Länge für das Systemschlüsselkennwort beträgt 128 Zeichen.

REPARATURASPEKTE:
Durch die Einführung von starker Verschlüsselung für Kontokennwortinformationen werden die Registrierungsbereiche SYSTEM und SAM auf eine Art und Weise geändert, die die zur Wiederherstellung eines Windows NT-Systems verfügbaren Reparaturoptionen beeinflusst. Verwenden Sie immer den Befehl RDISK mit der Option /S, um eine neue Notfalldiskette, einschließlich einer Sicherungskopie der Registrierungsbereiche SYSTEM und SAM, im Ordner "repair" zu erstellen.

Für Optionen zur vollständigen Wiederherstellung sollten die folgenden Notfalldisketten verfügbar sein:

• Erstellen Sie vor dem Installieren des Hotfixes "System Key" eine neue Notfalldiskette. Dies ist die Notfalldiskette "Vor dem Hotfix" mit einer Kopie der Systemkonfiguration und der Kontoinformationen vor Installation des Hotfixes. Die Notfalldiskette "Vor dem Hotfix" kann zum Wiederherstellen der Registrierung und Systemdateien mithilfe der Windows NT-Original-CD-ROM verwendet werden.
• Erstellen Sie nach Installation des Hotfixes "System Key", doch vor dem Aktivieren von starker Verschlüsselung, mit dem Befehl SYSKEY eine zweite Notfalldiskette. Dies ist die Notfalldiskette "Hotfix [ASCII 150] vor der Verschlüsselung". Sie kann verwendet werden, um die Registrierung auf ihren Zustand vor dem Aktivieren von starker Verschlüsselung wiederherzustellen. Beispielsweise kann mit dieser Notfalldiskette ein System wiederhergestellt werden, wenn der Windows NT-Systemschlüssel verloren gegangen ist oder vergessen wurde.
• Erstellen Sie nach der Ausführung von SYSKEY zum Aktivieren von starker Verschlüsselung eine dritte Notfalldiskette. Dies ist die Notfalldiskette "Hotfix [ASCII 150] nach der Verschlüsselung". Mithilfe dieser Notfalldiskette (und späteren Aktualisierungen der Diskette) kann die Registrierung mit beibehaltener starker Verschlüsselung unter Verwendung des Systemschlüssels wiederhergestellt werden, der zum Zeitpunkt der letzten Diskettenaktualisierung gültig war.

Die Unterstützung des Hotfixes "System Key" für starke Verschlüsselung wirkt sich auf folgende Systemkomponenten aus:

• Registrierungsstrukturen SYSTEM und SAM
• Drei Dateien mit Systemsicherheitskomponenten: Winlogon.exe, Samsrv.dll und Samlib.dll

Im Allgemeinen müssen für den Reparaturvorgang übereinstimmende Versionen dieser Komponenten verwendet werden. Unabhängig von der gewählten Reparaturoption koordiniert der Reparaturvorgang die Reparatur der Registrierungsstrukturen mit den entsprechenden Systemdateien.

Die folgende Tabelle listet die verfügbaren Wiederherstellungsoptionen auf. vor Hotfixinstallation "Vor dem Hotfix"-Notfalldisk. Registrierung entspricht dem System mit installiertem Hotfix "Hotfix ? vor der Registrierung entspricht dem System vor starker Verschlüsselung. mit installiertem Hotfix;starke "Hotfix ? nach der Registrierung entspricht dem System mit aktivierter starkerWenn ein Administrator das System nach Installation des Hotfixes "System Key" reparieren muss, müssen die beiden Registrierungsbereiche SYSTEM und SAM gleichzeitig repariert werden. Die Systemschlüsseloption im Bereich SYSTEM muss mit dem Schlüssel für starke Verschlüsselung übereinstimmen, der für den Bereich SAM verwendet wurde. Wenn eine Registrierungsstruktur ohne die andere repariert wird, versucht das System möglicherweise, eine andere Systemschlüsseloption (KENNWORTGESCHÜTZTER SYSTEMSTART oder VOM SYSTEM ERZEUGTES KENNWORT) zu verwenden, die mit dem für Kontokennwortinformationen verwendeten Schlüssel für starke Verschlüsselung nicht übereinstimmt.
Die Installation des Hotfixes "System Key" aktualisiert die Prüfsummen für die Systemsicherheitskomponenten (Winlogon.exe, Samsrv.dll und Samlib.dll) in der Datei System.log. Diese Datei wird auf der Notfalldiskette gespeichert. Mithilfe von System.log lässt sich während der Wiederherstellung ermitteln, ob die Dateien von der Windows NT Server 4.0-CD-ROM aktualisiert werden müssen, damit sie mit der Registrierungskonfiguration vor dem Hotfix übereinstimmen. Wenn die gewünschte Systemkonfiguration für die Wiederherstellung aus Windows NT Server 4.0 mit dem Hotfix "System Key" besteht, werden Sie nicht zur Reparatur dieser Systemsicherheitsdateien aufgefordert.
Wenn Sie nach Installation des Hotfixes "System Key" (bei nicht aktivierter starker Verschlüsselung) die Systemdateien mithilfe einer Notfalldiskette zu reparieren versuchen, die vor Installation des Hotfixes erstellt wurde (d.h. der Diskette "Vor dem Hotfix"), MÜSSEN Sie auch die Registrierungsbereiche SYSTEM und SAM reparieren. Andernfalls stimmen die Systemdateien und das Registrierungsformat nicht überein. Bei einem Anmeldeversuch erhalten Sie eine Fehlermeldung (Fehlernummer C00000DF). Wenn Registrierung und Systemdateien nicht übereinstimmen, besteht das Wiederherstellungsverfahren darin, übereinstimmende System- und Registrierungsdateien zu reparieren. Reparieren Sie die Registrierungsstrukturen entweder von derselben Notfalldiskette "Vor dem Hotfix", oder verwenden Sie die Notfalldiskette "Hotfix [ASCII 150] vor der Verschlüsselung", deren Registrierungsformat mit den Systemdateien für den Hotfix "System Key" übereinstimmt.
In einer Situation, in der die Systemsicherheitsdateien (Winlogon.exe, Samsrv.dll und Samlib.dll) beschädigt sind, müssen Sie das System mit Hilfe einer Notfalldiskette "Vor dem Hotfix" wiederherstellen und dann die beschädigten Dateien von einer Windows NT Server 4.0-CD-ROM reparieren. Außerdem müssen Sie die Registrierungsstrukturen SYSTEM und SAM reparieren, damit sie mit den Systemdateien von der Diskette "Vor dem Hotfix" übereinstimmen.

Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.