Clave de sistema de Windows NT permite el cifrado seguro de la base de datos SAM

Seleccione idioma Seleccione idioma
Id. de artículo: 143475 - Ver los productos a los que se aplica este artículo
Para un Microsoft Windows 2000, Windows XP y Windows Server 2003 versión de este artículo, consulte 310105.
Expandir todo | Contraer todo

En esta página

Resumen

La clave de Windows NT Server 4.0 del sistema (Syskey.exe) proporciona la capacidad de utilizar técnicas de cifrado seguro para aumentar la protección de información de contraseña de cuenta almacenada en el registro por el Administrador de cuentas de seguridad (SAM). Windows NT Server almacena información de cuenta de usuario, incluido un derivado de la contraseña de cuenta de usuario, una parte segura del registro protegido por control de acceso y una función de ofuscación. La información de cuenta en el registro sólo es accesible para los miembros del grupo Administradores. Windows NT Server, al igual que otros sistemas operativos, permite que los usuarios con privilegios que los administradores acceso a todos los recursos del sistema. Para instalaciones que desean mejorar la seguridad, cifrado seguro de información derivada de contraseña de cuenta proporciona un nivel adicional de seguridad para impedir que los administradores intencionada o accidentalmente tenga acceso a derivados de la contraseña mediante interfaces de programación de registro.

Syskey.exe se incluye con el Service Pack 3 (SP3) y posterior para Windows NT 4.0.

Nota : si desea cambiar donde se almacena la clave SYSKEY, utilice la herramienta SYSKEY no modifique el registro directamente. Si modifica el registro, SYSKEY se funcione correctamente pero dar la impresión no es.

importante : para información importante acerca de un problema de seguridad con la herramienta Syskey, vea el artículo siguiente en Microsoft Knowledge Base:
248183La herramienta Syskey reutiliza la secuencia de claves

Más información

La capacidad de cifrado seguro con la revisión de clave de sistema de Windows NT 4.0 es una característica opcional. Los administradores pueden optar por implementar el cifrado seguro definiendo una clave del sistema de cifrado seguro de Windows NT. protege información de cuentas privadas cifrando los datos de contraseña mediante una clave criptográficamente aleatoria de 128 bits, conocida como una clave de cifrado de contraseña.

Sólo la información de contraseña privada establecimiento inflexible de tipos se cifra en la base de datos, no la base de datos toda cuenta. Cada sistema mediante la opción de cifrado seguro tendrá una clave de cifrado de contraseña única. La clave de cifrado de contraseña es propio cifrados con una clave del sistema. Cifrado de contraseña segura puede usarse en Windows NT Server y Workstation donde se almacena información de cuenta. Mediante el cifrado seguro de contraseñas de cuenta agrega protección adicional para el contenido de la parte de la SAM del registro y posteriores copias de seguridad de la información del registro en el directorio de %systemroot%\repair creado mediante el comando RDISK y en las cintas de copia de seguridad del sistema.

La clave del sistema se define mediante el comando Syskey.exe. Sólo los miembros del grupo Administradores pueden ejecutar el comando Syskey.exe. La utilidad se utiliza para inicializar o cambiar la clave del sistema. La clave del sistema es la "clave de patrón" utilizada para proteger la clave de cifrado de contraseña y, por lo tanto, protección de la clave del sistema es una operación de seguridad críticos del sistema.

Hay tres opciones para administrar la clave del sistema diseñado para satisfacer las necesidades de diferentes entornos de Windows NT. Las opciones de clave del sistema son los siguientes:
  • Utilice una clave aleatoria generada por el equipo como la clave del sistema y almacenar la clave en el sistema local mediante un algoritmo de ofuscación complejas. Esta opción proporciona cifrado seguro de información de contraseña en el registro y permite reiniciar el sistema desatendida.
  • Utilice una clave aleatoria generada por el equipo y almacenar la clave en un disquete. El disquete con la clave del sistema es necesario iniciar el sistema y debe insertarse cuando se le indique tras Windows comienza la secuencia de inicio, pero antes de que el sistema esté disponible para los usuarios de inicio de sesión. La Clave del sistema no se almacena en el sistema local.
  • Utilice una contraseña elegida por el administrador para derivar la clave del sistema. Windows le pedirá la contraseña de clave del sistema cuando el sistema está en la secuencia de inicio, pero antes de que el sistema esté disponible para los usuarios de inicio de sesión. La contraseña de clave del sistema no se almacena en el sistema. Un código MD5 de la contraseña se utiliza como la clave maestra para proteger la clave de cifrado de contraseña.
Las opciones de clave del sistema mediante una contraseña o que requieren un disquete introducen una nueva petición durante la inicialización del sistema operativo Windows NT. Ofrecen la opción de protección más fuerte disponible porque material de clave principal no está almacenado en el sistema y control de la clave puede restringirse a unos cuantos individuos. Por otro lado, se requiere conocimiento de la contraseña de clave del sistema o posesión del disco de clave del sistema para iniciar el sistema. (Si la clave del sistema se guarda en un disquete, copias de seguridad del disco de clave del sistema se recomienda). Reiniciar el sistema desatendida puede requerir que el material de clave del sistema esté disponible para el sistema sin respuesta del administrador. Almacenar la clave del sistema en el sistema local mediante un algoritmo complejo de ofuscación hace que la clave esté disponible únicamente a componentes de seguridad del sistema operativo principal. En el futuro, será posible configurar la clave del sistema para obtener el material de clave de manipular componentes de hardware prueba para obtener la máxima seguridad.

Advertencia: Si se olvida la contraseña de clave del sistema o se pierde el disco de clave del sistema, que no sea posible iniciar el sistema. Proteger y almacenar la información clave del sistema de forma segura con copias de seguridad en el caso de emergencia. La única manera de recuperar el sistema si se pierde la clave del sistema está utilizando un disco de reparación para restaurar el registro a un estado anterior a habilitar el cifrado seguro. Consulte la siguiente sección de reparar problemas.

Cifrado seguro puede configurarse por separado en el principal y cada controladores de reserva (DC). Cada controlador de dominio tendrán una clave de cifrado de contraseña única y una clave única de sistema. Por ejemplo, el controlador principal puede configurarse para utilizar un equipo almacena clave del sistema generado en un disco y controladores de copia de seguridad puede cada uso de que un equipo diferente genera la clave del sistema almacenan en el sistema local. No se replica una máquina generado System Key almacenado localmente en un controlador de dominio principal.

Antes de habilitar cifrado seguro para controladores de dominio principal, quizás desee asegurarse que un controlador de dominio actualizado copia de seguridad completado está disponible para utilizar como un sistema de copia de seguridad hasta que los cambios en el dominio principal se completa y comprobada. Antes de habilitar cifrado seguro en cualquier sistema, Microsoft recomienda hacer una copia nueva del disco de reparación, incluida la información de seguridad en el registro, mediante el comando/s. RDISK Consulte el artículo siguiente en Microsoft Knowledge Base antes para utilizar /S: RDISK
ARTICLE-ID: 122857
TITLE: RDISK opciones /S y RDISK/s-en Windows NT

El comando SYSKEY se utiliza para seleccionar la opción de clave del sistema y generar el valor de clave inicial. El valor de clave puede ser una clave de equipo generado o una clave derivada de contraseña. El comando SYSKEY primero muestra un cuadro de diálogo Mostrar si el cifrado seguro está habilitado o deshabilitado. Después de habilita la capacidad de cifrado seguro, no pueden deshabilitarse. Para habilitar la autenticación segura de la base de datos de cuenta, seleccione la opción "Cifrado habilitado" y haga clic en Aceptar. Aparece un diálogo de confirmación indicando el administrador para crear un disco de reparación de emergencia actualizado. Un cuadro de diálogo nuevo aparece opciones de presentación para la clave de la base de datos de cuentas. Utilice las opciones disponibles en el diálogo de la clave de la base de datos de cuentas para seleccionar la clave del sistema.

Después de seleccionar la opción de clave del sistema, debe reiniciar Windows para que surta efecto la opción de clave del sistema. Cuando se reinicia el sistema, el administrador puede pedir que escriba la clave del sistema, según la opción clave elegida. Windows NT detecta el primer uso de la clave del sistema y genera una nueva clave de cifrado de contraseña aleatoria. La clave de cifrado de contraseña está protegida con la clave del sistema y, a continuación, establecimiento inflexible de tipos está cifrada toda información de contraseña de cuenta.

El comando SYSKEY se debe ejecutar en cada uno de los sistemas donde se requiere cifrado seguro de la información de contraseña de cuenta. SYSKEY admite un "-l" comando de opción para generar la clave maestra y almacenar la clave localmente en el sistema. Esta opción permite el cifrado de contraseña segura en el registro y permite el comando ejecutar sin un cuadro de diálogo interactivo. El comando SYSKEY puede utilizarse en un momento posterior, para cambiar las opciones de clave del sistema de un método a otro, o para cambiar la clave del sistema a una nueva clave. Cambiar la clave del sistema requiere el conocimiento de o posesión de la clave del sistema actual. Si la contraseña derivada System Key se utiliza la opción, SYSKEY no exige una longitud mínima de contraseña, sin embargo largo se recomiendan las contraseñas (mayor que 12 caracteres). La longitud máxima de contraseña de clave del sistema es 128 caracteres.

SYSKEY se debe aplicar a todos los controladores de dominio. Si no lo hace, el SAM los controladores de dominio de reserva (BDC) no será lo seguro en el controlador de dominio principal (PDC). Por lo tanto, el punto de instalar SYSKEY sería rechaza.

PROBLEMAS DE REPARACIÓN

Introducción de cifrado seguro de información de contraseña de cuenta cambia las partes SYSTEM y SAM del registro de forma que afectan a las opciones de reparación disponibles para la recuperación de un sistema Windows NT. Utilice siempre el comando RDISK con la opción /S para crear un nuevo disco de reparación de emergencia incluidos una copia de seguridad del sistema y SAM la parte del registro en la carpeta \repair.

Las opciones de recuperación completa, los discos de reparación de emergencia siguiente debe estar disponibles:
  • Antes de instalar la revisión de la clave del sistema, es necesario crear un disco de reparación actualizada. Este disco es un disco de reparación de "pre-revisión" que contiene una copia de la configuración del sistema y la información de cuenta antes de instalación de la revisión. El disco de reparación "pre-revisión" puede utilizarse para recuperar los archivos de registro y el sistema mediante la distribución de Windows NT CD-ROM.
  • Después de la instalación de la revisión de clave del sistema, pero antes de habilitar el cifrado seguro mediante el comando SYSKEY, crear un disco de reparación. Este disco de reparación es "hotfix antes cifrado". Este disco de reparación puede utilizarse para reparar el registro para el estado antes de habilita cifrado seguro, por ejemplo puede utilizarse para recuperar un sistema si se pierde o olvida la clave del sistema de Windows NT.
  • Después de ejecutar SYSKEY para habilitar el cifrado seguro, crear un disco de reparación. Este disco de reparación es "hotfix - después cifrado". Este disco de reparación y las actualizaciones posteriores este disco de reparación, pueden utilizarse para recuperar el registro con el cifrado seguro intacto mediante la clave del sistema de vigente en el momento que se actualizó el disco de reparación por última vez.
La compatibilidad de revisión clave del sistema de cifrado seguro afecta a los siguientes componentes del sistema:
  • SYSTEM y SAM subárboles del registro
  • Tres archivos de componente de seguridad del sistema: Winlogon.exe, Samsrv.dll, Samlib.dll
En general, el proceso de reparación necesita utilizar versiones coincidentes de estos componentes. Cualquier opción de reparación que elija, el proceso de reparación coordinará reparación de los subárboles del registro con los archivos del sistema correspondiente.

En la tabla siguiente se enumeran las opciones de recuperación disponibles.

Desired System        Repair disk to        Repaired System
Configuration         apply
after Repair
--------------------------------------------------------------------------

Windows NT 4.0,       Use the "Pre-hotfix"  Registry matches system before
prior to hotfix       repair disk           hotfix installed; the three
installation                                system security component
                                            files need to be repaired from
                                            the Windows NT 4.0 compact
                                            disc to match the pre-hotfix
                                            registry format.

Windows NT 4.0 with   Use the "hotfix -     Registry matches the system
hotfix installed,     Before Encryption"    before strong encryption.
but strong            repair disk           System Key is not in effect;
encryption is not                           strong encryption not enabled.
enabled                                     System security files do not
                                            need to be repaired from the
                                            Windows NT 4.0 compact disc.

Windows NT 4.0 with   Use the "hotfix -     Registry matches the system
hotfix installed,     After Encryption"     with strong encryption
and strong            repair disk           enabled; the System Key in
encryption is                               effect is the System Key used
enabled                                     at the time the repair disk
                                            was made.
				


En el caso de que un administrador necesita reparar el sistema después de instalar la revisión de la clave del sistema, el sistema y el SAM partes del registro que repararse al mismo tiempo. La opción de clave del sistema en la parte SYSTEM del registro debe coincidir con la clave de cifrado seguro utilizada para la parte de la SAM del registro. Si se repara un subárbol del registro sin el otro, es posible para el sistema intente utilizar otra opción clave del sistema (derivada de contraseña o equipo generada) que no coincide con la clave de cifrado seguro utilizada para la información de contraseña de cuenta.

Instalación de la revisión de la clave del sistema actualizará las sumas de comprobación el componente de seguridad del sistema (Winlogon.exe, Samsrv.dll, Samlib.dll) en el archivo System.log. El archivo System.log se guarda en el disco de reparación. El archivo System.log se utiliza durante la recuperación para determinar si los archivos deben actualizarse desde el CD-ROM de Windows NT Server 4.0 para que coincida con la configuración de registro de revisión anterior. Si la configuración de recuperación deseadas del sistema es Windows NT Server 4.0 con la revisión de la clave del sistema, no deberá reparar estos archivos de seguridad del sistema.

Después de instalar la revisión de clave del sistema y no ha habilitado cifrado seguro, si intenta reparar el sistema de archivos mediante un disco de reparación creado antes de instalar la revisión de clave del sistema (es decir, utilizar el disco de reparación "hotfix anteriores") también se debe reparar el registro de sistema y SAM. Si no reparar el registro, puede que los archivos de sistema y el formato de registro no coincidirá. Obtendrá un error (número de error C00000DF) cuando intenta iniciar sesión. Cuando los archivos de registro y de sistema no coinciden, el procedimiento de recuperación es reparar el sistema coincidente y archivos de registro. Reparar el registro de secciones de la misma "pre-revisión" reparar el disco o utilice el disco de reparación "hotfix antes cifrado", que tiene un formato de registro que coincida con los archivos de sistema de revisión de clave del sistema.

Por último, si tiene una situación donde la seguridad del sistema de archivos (Winlogon, Samsrv.dll, Samlib.dll) están dañados, debe recuperar el sistema mediante un disco de reparación "Hotfix anterior" y reparar los archivos dañados desde un CD-ROM de Windows NT Server 4.0. También debe reparar los subárboles del registro SYSTEM y SAM para que coincida con los archivos de sistema del disco de reparación "Hotfix anterior".

Las regulaciones de exportación de EE.UU. actuales permiten el uso de claves de cifrado de 128 bits para utilizarse para proteger los datos de autenticación, como las contraseñas. Las claves de cifrado utilizadas para Syskey son específicas de la protección de contraseñas almacenadas en SAM y la parte de la seguridad del registro. No hay ninguna aplicación API disponibles para utilizar cifrado de 128 bits Syskey para protección de datos de propósito general.

Propiedades

Id. de artículo: 143475 - Última revisión: miércoles, 01 de noviembre de 2006 - Versión: 2.1
La información de este artículo se refiere a:
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
Palabras clave: 
kbmt kbenv kbinfo kbnetwork KB143475 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 143475

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com