Το κλειδί συστήματος των Windows NT επιτρέπει ισχυρή κρυπτογράφηση του SAM

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 143475 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Για τα Windows 2000, Windows XP και Windows Server 2003 έκδοση αυτού του άρθρου, ανατρέξτε στην ενότητα310105.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Τα Windows NT Server 4.0 System Key (Syskey.exe) παρέχει τη δυνατότητα να χρησιμοποιούν ισχυρή κρυπτογράφηση τεχνικές για να αυξήσετε την προστασία των στοιχείων του κωδικού πρόσβασης λογαριασμού είναι αποθηκευμένες στο μητρώο, η Διαχείριση λογαριασμών ασφαλείας (SAM). Τα Windows NT Server αποθηκεύει πληροφορίες λογαριασμού χρήστη, συμπεριλαμβανομένου του κωδικού πρόσβασης λογαριασμού χρήστη, ένα παράγωγο σε ασφαλές μέρος του μητρώου, τον έλεγχο πρόσβασης και μια συνάρτηση obfuscation. Οι πληροφορίες λογαριασμού στο μητρώο είναι μόνο σε μέλη της ομάδας Administrators. Windows NT Server, όπως και άλλα λειτουργικά συστήματα, επιτρέπει την προνομιακή τους χρήστες που έχουν πρόσβαση οι διαχειριστές σε όλους τους πόρους του συστήματος. Για εγκαταστάσεις που θέλετε βελτιωμένη ασφάλεια, ισχυρής κρυπτογράφησης του παράγωγη πληροφορίες κωδικού πρόσβασης λογαριασμού παρέχει ένα πρόσθετο επίπεδο ασφαλείας για την αποτροπή διαχειριστών σκόπιμα ή κατά λάθος υπολογισμό των παραγώγων κωδικού πρόσβασης που χρησιμοποιούν το μητρώο διασυνδέσεων προγραμματισμού.

Syskey.exe περιλαμβάνεται με το Service Pack 3 (SP3) και νεότερη έκδοση για τα Windows NT 4.0.

ΣΗΜΕΙΩΣΗ: Εάν θέλετε να αλλάξετε όπου είναι αποθηκευμένο το κλειδί SYSKEY, χρησιμοποιήστε το εργαλείο SYSKEY μην τροποποιείτε το μητρώο απευθείας. Εάν τροποποιήσετε το μητρώο, SYSKEY θα λειτουργεί σωστά αλλά θα σας δώσει την εντύπωση ότι δεν είναι.

Σημαντικό: Για σημαντικές πληροφορίες σχετικά με ένα ζήτημα ασφαλείας με το εργαλείο Syskey, ανατρέξτε στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft:
248183Το εργαλείο Syskey ξαναχρησιμοποιεί την ακολουθία bit

Περισσότερες πληροφορίες

Η δυνατότητα ισχυρής κρυπτογράφησης με την επείγουσα επιδιόρθωση κλειδί συστήματος των Windows NT 4.0 είναι μια προαιρετική δυνατότητα. Οι διαχειριστές μπορούν να επιλέγουν να υλοποιήσουν ισχυρή κρυπτογράφηση ορίζοντας ένα κλειδί συστήματος για τα Windows NT. ισχυρή κρυπτογράφηση προστατεύει λογαριασμό ιδιωτικών πληροφοριών με την κρυπτογράφηση των δεδομένων κωδικό πρόσβασης χρησιμοποιώντας κρυπτογράφηση τυχαίο κλειδί 128-bit, γνωστή ως ένα κλειδί κρυπτογράφησης του κωδικού πρόσβασης.

Ιδιαίτερα κρυπτογραφούνται μόνο οι πληροφορίες ιδιωτικού κωδικού πρόσβασης στη βάση δεδομένων, όχι της βάσης δεδομένων λογαριασμών ολόκληρου. Κάθε σύστημα χρησιμοποιώντας την επιλογή "ισχυρής κρυπτογράφησης" θα έχει έναν μοναδικό κωδικό πρόσβασης κλειδιού κρυπτογράφησης. Το κλειδί κρυπτογράφησης του κωδικού πρόσβασης είναι η ίδια κρυπτογραφηθεί με κλειδί συστήματος. Ισχυρός κωδικός πρόσβασης κρυπτογράφησης μπορεί να χρησιμοποιηθεί στον Windows NT Server και σταθμού εργασίας όπου είναι αποθηκευμένες πληροφορίες λογαριασμού. Χρησιμοποιώντας ισχυρή κρυπτογράφηση κωδικών πρόσβασης λογαριασμών προσθέτει επιπλέον προστασία για τα περιεχόμενα του τμήματος SAM από το μητρώο και οι επόμενες αντίγραφα ασφαλείας των πληροφοριών μητρώου στον κατάλογο %systemroot%\repair δημιουργήθηκε με χρήση της εντολής RDISK και σε ταινίες αντιγράφων ασφαλείας του συστήματος.

Το κλειδί συστήματος ορίζεται χρησιμοποιώντας την εντολή Syskey.exe. Μόνο τα μέλη της ομάδας Administrators, να εκτελέσετε την εντολή Syskey.exe. Το βοηθητικό πρόγραμμα χρησιμοποιείται για την προετοιμασία ή να αλλάξετε το κλειδί συστήματος. Το κλειδί συστήματος είναι το "πρωτεύον κλειδί" χρησιμοποιείται για την προστασία του κλειδιού κρυπτογράφησης του κωδικού πρόσβασης και επομένως προστασία από το κλειδί συστήματος είναι μια λειτουργία ασφαλείας του συστήματος κρίσιμη.

Υπάρχουν τρεις επιλογές για τη διαχείριση του κλειδιού του συστήματος έχει σχεδιαστεί για να ανταποκρίνονται στις ανάγκες των διαφορετικά περιβάλλοντα των Windows NT. Οι επιλογές κλειδί συστήματος είναι τα εξής:
  • Χρησιμοποιήστε ένα τυχαίο κλειδί που δημιουργούνται από τον υπολογιστή ως το κλειδί συστήματος και να αποθηκεύσετε το κλειδί στο τοπικό σύστημα χρησιμοποιώντας έναν αλγόριθμο σύνθετων obfuscation. Αυτή η επιλογή παρέχει ισχυρή κρυπτογράφηση πληροφοριών κωδικού πρόσβασης στο μητρώο και επιτρέπει την επανεκκίνηση του συστήματος χωρίς παρακολούθηση.
  • Use a machine-generated random key and store the key on a floppy disk. The floppy disk with the System Key is required for the system to start and must be inserted when prompted after Windows NT begins the startup sequence, but before the system is available for users to logon. The System Key is not stored anywhere on the local system.
  • Use a password chosen by the Administrator to derive the System Key. Windows NT will prompt for the System Key password when the system is in the initial startup sequence, but before the system is available for users to logon. The System Key password is not stored anywhere on the system. An MD5 digest of the password is used as the master key to protect the password encryption key.
The System Key options using either a password or requiring a floppy disk introduce a new prompt during the initialization of the Windows NT operating system. They offer the strongest protection option available because master key material is not stored on the system and control of the key can be restricted to a few individuals. On the other hand, knowledge of the System Key password, or possession of the System Key disk is required to boot the system. (If the System Key is saved to a floppy disk, backup copies of the System Key disk are recommended.) Unattended system restart may require that System Key material be available to the system without Administrator response. Storing the System Key on the local system using a complex obfuscation algorithm makes the key available only to core operating system security components. In the future, it will be possible to configure the System Key to obtain the key material from tamper proof hardware components for maximum security.

WARNING: If the System Key password is forgotten or the System Key floppy disk is lost, it may not be possible to start the system. Protect and store the System Key information safely with backup copies in the event of emergency. The only way to recover the system if the System Key is lost is using a repair disk to restore the registry to a state prior to enabling strong encryption. See the Repair Issues section below.

Strong encryption may be configured independently on the Primary and each Backup Domain Controllers (DCs). Each domain controller will have a unique password encryption key and a unique System Key. For example, the Primary DC may be configured to use a machine generated System Key stored on a disk, and Backup DCs may each use a different machine generated System Key stored on the local system. A machine generated System Key stored locally on a Primary domain controller is not replicated.

Before enabling strong encryption for Primary domain controllers, you may want to ensure a complete updated Backup domain controller is available to use as a backup system until changes to the Primary domain are complete and verified. Before enabling strong encryption on any system, Microsoft recommends making a fresh copy of the Emergency Repair Disk, including the security information in the registry, using the command, RDISK /S. Please see the following article in the Microsoft Knowledge Base prior to using RDISK /S:
ΑΝΑΓΝΩΡΙΣΤΙΚΟ ΑΡΘΡΟΥ:122857
TITLE : RDISK /S and RDISK /S- Options in Windows NT

The SYSKEY command is used to select the System Key option and generate the initial key value. The key value may be either a machine generated key or a password derived key. The SYSKEY command first displays a dialog showing whether strong encryption is enabled or disabled. After the strong encryption capability is enabled, it cannot be disabled. To enable strong authentication of the account database, select the option "Encryption Enabled", and click OK. A confirm dialog appears reminding the administrator to make an updated emergency repair disk. A new dialog appears presenting options for the Account Database Key. Use the options available on Account Database Key dialog to select the System Key.

After selecting the System Key option, Windows NT must be restarted for the System Key option to take effect. When the system restarts, the administrator may be prompted to enter the System Key, depending on the key option chosen. Windows NT detects the first use of the System Key and generates a new random password encryption key. The password encryption key is protected with the System Key, and then all account password information is strongly encrypted.

The SYSKEY command needs to be run on each system where strong encryption of the account password information is required. SYSKEY supports a "-l" command option to generate the master key and store the key locally on the system. This option enables strong password encryption in the registry and allows the command to run without an interactive dialog. The SYSKEY command can be used at a later time to change the System Key options from one method to another, or to change the System Key to a new key. Changing the System Key requires knowledge of, or possession of, the current System Key. If the password derived System Key option is used, SYSKEY does not enforce a minimum password length, however long passwords (greater than 12 characters) are recommended. The maximum System Key password length is 128 characters.

SYSKEY should be applied to all domain controllers. If this is not done, the SAM on the backup domain controllers (BDCs) will not be as secure as that on the primary domain controller (PDC). Thus, the point of installing SYSKEY would be defeated.

REPAIR ISSUES

Introduction of strong encryption of account password information changes the SYSTEM and SAM portions of the registry in ways that affect the repair options available for recovery of a Windows NT system. Always use the RDISK command with the /S option to create a new Emergency Repair Disk including a backup copy of the SYSTEM and SAM portion of the registry in the \Repair folder.

Επιλογές επαναφοράς ολοκληρώθηκε, παρακάτω Εφεδρικές δισκέτες επιδιόρθωσης πρέπει να είναι διαθέσιμα:
  • Πριν από την εγκατάσταση της επείγουσας επιδιόρθωσης System Key, δημιουργήστε μια δισκέτα επιδιόρθωσης καινούριες. Αυτή η δισκέτα είναι μια δισκέτα επιδιόρθωσης "pre-επείγουσα επιδιόρθωση" που περιέχει ένα αντίγραφο από τη ρύθμιση παραμέτρων του συστήματος και των πληροφοριών λογαριασμού πριν από την εγκατάσταση της επείγουσας επιδιόρθωσης. Η δισκέτα επιδιόρθωσης "pre-επείγουσα επιδιόρθωση" μπορεί να χρησιμοποιηθεί για να επαναφέρετε το μητρώο και το σύστημα αρχείων με χρήση της διανομής των Windows NT CDROM.
  • Μετά την εγκατάσταση της επείγουσας επιδιόρθωσης κλειδί συστήματος, αλλά πριν από την ενεργοποίηση της ισχυρής κρυπτογράφησης χρησιμοποιώντας την εντολή SYSKEY, δημιουργήστε μια δισκέτα επιδιόρθωσης. Αυτή η δισκέτα επιδιόρθωσης είναι "επείγουσα - πριν από την κρυπτογράφηση". Μπορεί να χρησιμοποιηθεί αυτήν τη δισκέτα επιδιόρθωσης για να επιδιορθώσετε το μητρώο στην κατάσταση πριν από την ισχυρή κρυπτογράφηση είναι ενεργοποιημένη, για παράδειγμα μπορεί να χρησιμοποιηθεί για την επαναφορά ενός συστήματος εάν χαθεί ή Ξεχάσατε το κλειδί συστήματος των Windows NT.
  • Μετά την εκτέλεση του SYSKEY για να ενεργοποιήσετε την ισχυρή κρυπτογράφηση, δημιουργήστε μια δισκέτα επιδιόρθωσης. Αυτή η δισκέτα επιδιόρθωσης είναι "επείγουσα - μετά την κρυπτογράφηση". Αυτή τη δισκέτα επιδιόρθωσης και επόμενες ενημερώσεις σε αυτήν τη δισκέτα επιδιόρθωσης, μπορούν να χρησιμοποιηθούν για την αποκατάσταση του μητρώου με ισχυρή κρυπτογράφηση άθικτοι χρησιμοποιώντας το κλειδί συστήματος ισχύουν κατά το χρόνο τελευταίας ενημέρωσης από τη δισκέτα επιδιόρθωσης.
Το κλειδί συστήματος υποστήριξη για επείγουσες επιδιορθώσεις για ισχυρή κρυπτογράφηση επηρεάζει τα παρακάτω στοιχεία του συστήματος:
  • Οι ομάδες μητρώου SYSTEM και SAM
  • Τρία αρχεία στοιχείων ασφαλείας συστήματος: Winlogon.exe, Samsrv.dll, Samlib.dll
Σε γενικές γραμμές, η διαδικασία επιδιόρθωσης πρέπει να χρησιμοποιήσετε τις αντίστοιχες εκδόσεις αυτών των στοιχείων. Ό, τι επιλέγετε, η επιλογή επιδιόρθωσης της διαδικασίας επιδιόρθωσης θα συντονίσει επιδιόρθωσης από τις ομάδες μητρώου με τα αρχεία συστήματος που να ταιριάζει.

Ο ακόλουθος πίνακας παραθέτει σε λίστα τις διαθέσιμες επιλογές αποκατάστασης.

Desired System        Repair disk to        Repaired System
Configuration         apply
after Repair
--------------------------------------------------------------------------

Windows NT 4.0,       Use the "Pre-hotfix"  Registry matches system before
prior to hotfix       repair disk           hotfix installed; the three
installation                                system security component
                                            files need to be repaired from
                                            the Windows NT 4.0 compact
                                            disc to match the pre-hotfix
                                            registry format.

Windows NT 4.0 with   Use the "hotfix -     Registry matches the system
hotfix installed,     Before Encryption"    before strong encryption.
but strong            repair disk           System Key is not in effect;
encryption is not                           strong encryption not enabled.
enabled                                     System security files do not
                                            need to be repaired from the
                                            Windows NT 4.0 compact disc.

Windows NT 4.0 with   Use the "hotfix -     Registry matches the system
hotfix installed,     After Encryption"     with strong encryption
and strong            repair disk           enabled; the System Key in
encryption is                               effect is the System Key used
enabled                                     at the time the repair disk
                                            was made.
				


Στην περίπτωση που ένας διαχειριστής πρέπει να επιδιορθώσει το σύστημα μετά την εγκατάσταση της επείγουσας επιδιόρθωσης System Key, SYSTEM και το SAM τμήματα του μητρώου πρέπει να επιδιορθωθούν ταυτόχρονα. Η επιλογή System Key στο τμήμα SYSTEM του μητρώου πρέπει να ταιριάζει με το κλειδί ισχυρής κρυπτογράφησης που χρησιμοποιείται για το SAM τμήμα του μητρώου. Εάν μία ομάδα μητρώου επιδιόρθωση χωρίς το άλλο, ίσως μπορέσετε να το σύστημα για να προσπαθήσετε να χρησιμοποιήσετε μια διαφορετική επιλογή System Key (τον κωδικό πρόσβασης που προέρχονται ή του πόρου παραγωγής που δημιουργούνται) που δεν ταιριάζει με το κλειδί ισχυρής κρυπτογράφησης που χρησιμοποιείται για τις πληροφορίες κωδικού πρόσβασης λογαριασμού.

Εγκατάσταση της επείγουσας επιδιόρθωσης System Key θα ενημερώσει το τα αθροίσματα ελέγχου για το στοιχείο ασφαλείας του συστήματος (Winlogon.exe, Samsrv.dll, Samlib.dll) στο αρχείο System.log. Το αρχείο System.log αποθηκεύεται από την Εφεδρική δισκέτα επιδιόρθωσης. Το αρχείο System.log χρησιμοποιείται κατά την αποκατάσταση, για να προσδιορίσετε αν τα αρχεία που πρέπει να ενημερωθούν από το CD-ROM των Windows NT Server 4.0 ώστε να ταιριάζουν με τις παραμέτρους μητρώου pre-επείγουσα επιδιόρθωση. Εάν η ρύθμιση παραμέτρων συστήματος ανάκτησης που θέλετε είναι Windows NT Server 4.0 με το κλειδί συστήματος της επείγουσας επιδιόρθωσης, δεν θα σας ζητηθεί να επιδιορθώσετε αυτά τα αρχεία ασφαλείας του συστήματος.

Μετά την εγκατάσταση της επείγουσας επιδιόρθωσης System Key, και δεν έχετε ενεργοποιήσει την ισχυρή κρυπτογράφηση, εάν προσπαθήσετε να επιδιορθώσετε το σύστημά αρχεία χρησιμοποιώντας μια δισκέτα επιδιόρθωσης που δημιουργήθηκαν πριν από την εγκατάσταση της επείγουσας επιδιόρθωσης System Key (που είναι, χρησιμοποιώντας τη δισκέτα επιδιόρθωσης "pre-επείγουσας επιδιόρθωσης") επίσης ΠΡΕΠΕΙ να επιδιορθώσετε το μητρώο SYSTEM και SAM. If you do not repair the registry, the system files and registry format will not match. You will get an error (error number C00000DF) when you attempt to log on. When the registry and system files are mismatched, the recovery procedure is to repair matching system and registry files. Either repair the registry hives from the same "pre-hotfix" repair disk, or use the "hotfix - Before Encryption" repair disk, which has a registry format that matches the System Key hotfix system files.

Finally, if you have a situation where the system security files (Winlogon, Samsrv.dll, Samlib.dll) are corrupted, then you must recover the system using a "Pre-hotfix" repair disk and repair the corrupted files from a Windows NT Server 4.0 CD-ROM. You must also repair the SYSTEM and SAM registry hives to match the system files from the "Pre-hotfix" repair disk.

Current United States export regulations allow the use of 128-bit encryption keys to be used to protect authentication data, such as passwords. The encryption keys used for Syskey are specific to the protection of passwords stored in SAM and the Security portion of the registry. There are no application APIs available for using 128-bit Syskey encryption for general-purpose data protection.

Ιδιότητες

Αναγν. άρθρου: 143475 - Τελευταία αναθεώρηση: Σάββατο, 18 Δεκεμβρίου 2010 - Αναθεώρηση: 2.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
Λέξεις-κλειδιά: 
kbenv kbinfo kbnetwork kbmt KB143475 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:143475

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com