Numéro d'article: 143475 - Dernière mise à jour: mercredi 30 avril 2003 - Version: 3.0

La clé système Windows NT permet un cryptage renforcé du SAM

Voir les produits auxquels s'applique cet article
A noterCet article s'applique à un système d'exploitation différent de celui que vous utilisez. Le contenu de l'article qui ne vous concerne peut-être pas est désactivé.
Ancien nº de publication de cet article : F143475

Sommaire

Agrandir tout | Réduire tout

Résumé

Le correctif Clé système Windows NT Server 4.0 offre la possibilité d'utiliser des techniques de cryptage renforcé afin d'augmenter la protection des informations de mot de passe de comptes stockées dans le registre par le Gestionnaire de comptes de sécurité (SAM). Windows NT Server stocke les informations de compte d'utilisateur y compris un dérivé du mot de passe du compte d'utilisateur dans une section sécurisée du registre protégée par le contrôle d'accès et une fonction de dissimulation. Les informations de compte contenues dans le registre ne sont accessibles qu'aux membres du groupe Administrateurs. Comme d'autres systèmes d'exploitation, Windows NT Server accorde l'accès à toutes les ressources du système aux utilisateurs privilégiés qui sont administrateurs. Pour les installations nécessitant un niveau de sécurité plus élevé, le renforcement du cryptage des informations dérivées du mot de passe offre un niveau de sécurité supplémentaire empêchant un Administrateur d'accéder, volontairement ou par accident, aux dérivés de mots de passe à l'aide des interfaces de programmation du registre.

Vous trouverez ce fichier à l'adresse suivante :
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-postsp2/sec-fix/ (ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-postsp2/sec-fix/)
REMARQUE : Si vous souhaitez modifier l'emplacement de stockage de la clé SYSKEY, ne modifiez pas le registre directement, mais utilisez plutôt l'outil SYSKEY. Si vous modifiez le registre, SYSKEY fonctionnera correctement mais paraîtra ne pas fonctionner.

IMPORTANT : Pour les informations concernant un problème de sécurité avec l'outil Syskey, reportez-vous à l'article suivant dans la Base de connaissances Microsoft :
248183  (http://support.microsoft.com/kb/248183/ ) L'outil Syskey utilise à nouveau Keystream
Retour au début

Plus d'informations

La fonctionnalité de cryptage renforcé contenue dans le correctif Clé système Windows NT 4.0 est facultative. Les administrateurs peuvent choisir d'implémenter le cryptage renforcé en définissant une clé système pour Windows NT. Le cryptage renforcé protège les informations de comptes privés grâce au cryptage des données de mot de passe à l'aide d'une clé aléatoire cryptographiquement en 128 bits, nommée clé de cryptage des mots de passe.

Le cryptage renforcé est appliqué uniquement aux informations de mots de passe privés, et non à l'ensemble de la base de données des comptes. Chaque système qui utilise l'option de cryptage renforcé dispose de sa propre clé de cryptage des mots de passe. Cette clé est elle-même cryptée avec une clé système. Le cryptage de mot de passe renforcé peut être utilisé à la fois sur le serveur Windows NT Server et sur la station de travail sur laquelle les informations de compte sont stockées. Le cryptage renforcé des mots de passe de compte constitue une protection supplémentaire pour le contenu de la section SAM du registre, ainsi que pour les copies de sauvegarde ultérieures des informations du registre dans le répertoire %systemroot%\repair créé à l'aide de la commande RDISK et sur les bandes de sauvegarde du système.

La clé système est définie à l'aide de la commande Syskey.exe. Seuls les membres du groupe Administrateurs peuvent exécuter la commande Syskey.exe. Cet utilitaire est conçu pour initialiser ou modifier la clé système. La clé système est la " clé maîtresse " utilisée pour protéger la clé de cryptage des mots de passe et sa protection est donc essentielle à la sécurisation de votre système.

Trois options sont disponibles pour gérer la clé système, conçues pour répondre aux besoins d'environnements Windows NT différents. Les options de clé système sont les suivantes :
  • Utilisation d'une clé aléatoire générée par machine comme clé système et stockage de la clé sur le système local à l'aide d'un algorithme de dissimulation complexe. Cette option offre un cryptage renforcé des informations de mots de passe dans le registre et permet le redémarrage autonome du système.
  • Utilisation d'une clé aléatoire générée par machine et stockage de la clé sur une disquette. La disquette contenant la clé système est nécessaire au démarrage du système. Elle doit être insérée à l'invite après l'initialisation de la séquence de démarrage par Windows NT, mais avant que les utilisateurs ne puissent ouvrir une session sur le système. La clé système n'est stockée nulle part sur votre système local.
  • Utilisation d'un mot de passe sélectionné par l'Administrateur pour dériver la clé système Windows NT vous invite à entrer le mot de passe de la clé système lors de la séquence de démarrage initiale du système, mais avant que le système ne soit disponible pour l'ouverture de session par des utilisateurs. Le mot de passe de la clé système n'est stocké nulle part sur le système. Un abrégé MD5 du mot de passe est utilisé comme clé maîtresse pour protéger la clé de cryptage des mots de passe.
Les options de clé système utilisant soit un mot de passe soit une disquette introduisent une nouvelle invite lors de l'initialisation du système d'exploitation Windows NT. Ces options offrent le niveau de protection le plus élevé disponible, dans la mesure où les informations de la clé maîtresse ne sont pas stockées sur le système et le contrôle de cette clé peut être limité à quelques personnes. Cependant, pour démarrer le système, vous devez soit connaître le mot de passe de la clé système, soit posséder la disquette contenant la clé système. (Si la clé système est enregistrée sur une disquette, il est recommandé d'effectuer des copies de sauvegarde de la disquette.) Pour permettre le redémarrage autonome du système, les informations de clé système doivent peut-être être mises à disposition du système sans intervention de l'administrateur. Le stockage de la clé système sur le système local à l'aide d'un algorithme de dissimulation complexe permet de rendre la clé disponible à des composants de sécurité de base du système d'exploitation uniquement. Il sera ultérieurement possible de configurer la clé système pour obtenir les informations de clé à partir de composants matériels inviolables pour assurer un niveau maximal de sécurité.

AVERTISSEMENT : Si vous oubliez votre mot de passe de clé système ou perdez la disquette contenant la clé système, vous risquez de ne pas pouvoir démarrer votre système. Stockez les informations de clé système dans un endroit sécurisé avec vos copies de sauvegarde en cas de problème. Si vous perdez votre clé système, le seul moyen de récupérer le système sera d'utiliser une disquette de réparation pour restaurer le registre à un état antérieur à l'activation du cryptage renforcé. Référez-vous à la section Problèmes de réparation ci-dessous.

Le cryptage renforcé peut être configuré indépendamment sur le contrôleur principal de domaine (PDC) et sur chaque contrôleur secondaire de domaine (BDC). Chacun des contrôleurs de domaine disposera de sa propre clé de cryptage des mots de passe et d'une clé système propre. Par exemple, le PDC peut être configuré pour utiliser une clé système générée par machine stockée sur une disquette, et les BDC peuvent chacun utiliser une clé système différente, générée par machine et stockée sur le système local. La clé système générée par machine stockée localement sur un PDC n'est pas répliquée.

Avant d'activer le cryptage renforcé pour les contrôleurs principaux de domaine, il est recommandé de vous assurer qu'un contrôleur secondaire de domaine complet et mis à jour est disponible pour pouvoir l'utiliser comme système de sauvegarde jusqu'à ce que les modifications apportées au contrôleur principal soient achevées et vérifiées. Avant l'activation du cryptage renforcé sur un système, Microsoft recommande la création d'une copie mise à jour de votre disquette de réparation d'urgence, y compris les informations de sécurité contenues dans le registre, à l'aide de la commande RDISK /S. Veuillez consulter l'article suivant dans la Base de connaissances Microsoft avant d'utiliser la commande RDISK /S :
N° D'ARTICLE : 122857  (http://support.microsoft.com/kb/122857/ )
TITRE : Options RDISK /S et RDISK /S- dans Windows NT

La commande SYSKEY est utilisée pour sélectionner l'option souhaitée de clé système et générer la valeur initiale de la clé. Cette valeur peut être soit générée par machine, soit dérivée d'un mot de passe. La commande SYSKEY affiche tout d'abord une boîte de dialogue indiquant si le cryptage renforcé est activé ou désactivé. Une fois la fonctionnalité de cryptage renforcé activée, elle ne peut plus être désactivée. Pour activer l'authentification renforcée sur la base de données de comptes, sélectionnez l'option " Cryptage activé ", puis cliquez sur OK. Une boîte de dialogue de confirmation apparaît, rappelant à l'administrateur de créer une disquette de réparation d'urgence. Celle-ci est suivie par une deuxième boîte de dialogue présentant les options disponibles pour la clé de la base de données des comptes. Utilisez ces options pour sélectionner la clé système.

Après avoir sélectionné l'option de clé système, vous devez redémarrer Windows NT pour que cette option soit prise en compte. Lors du redémarrage du système, l'administrateur sera peut-être invité à entrer la clé système, en fonction de l'option de clé choisie. Windows NT détecte la première utilisation de la clé système et génère une nouvelle clé de cryptage des mots de passe aléatoire. La clé de cryptage des mots de passe est protégée par la clé système, puis le cryptage renforcé est appliqué à toutes les informations de mot de passe de comptes.

La commande SYSKEY doit être exécutée sur chaque système sur lequel le cryptage renforcé des informations de mot de passe des comptes doit être appliqué. SYSKEY prend en charge une option de commande " -l " pour générer la clé maîtresse et stocker la clé sur le système local. Cette option active le cryptage renforcé des mots de passe dans le registre et permet l'exécution de la commande sans boîte de dialogue interactive. La commande SYSKEY peut être utilisée ultérieurement pour modifier les options de clé système d'une méthode à l'autre, ou pour changer la valeur de la clé système. Le changement de clé système nécessite la connaissance ou possession préalable de la clé système actuelle. Dans le cas de l'option de clé système dérivée d'un mot de passe, SYSKEY ne définit pas de longueur minimale de mot de passe ; toutefois, il est recommandé d'utiliser des mots de passe de plus de 12 caractères de long. La longueur maximale du mot de passe de la clé système est de 128 caractères.

SYSKEY doit être appliquée à tous les contrôleurs de domaine. Dans le cas contraire, le SAM sur les contrôleurs secondaires de domaine (BDC) ne sera pas aussi sécurisé que celui du contrôleur principal de domaine (PDC). Ceci annulerait l'objectif recherché par l'installation de SYSKEY.
Retour au début

PROBLÈMES DE RÉPARATION

Les modifications des sections SYSTEM et SAM du registre apportées par l'introduction du cryptage renforcé des informations de mot de passe des comptes affectent les options de réparation disponibles pour la récupération d'un système Windows NT. Utilisez toujours la commande RDISK avec l'option /S pour créer une nouvelle disquette de réparation d'urgence comprenant une copie de sauvegarde des sections SYSTEM et SAM du registre dans le dossier \Repair.

Pour disposer de toutes les options de récupération possibles, vous devez créer les disquettes de réparation d'urgence suivantes :
  • Avant d'installer le correctif Clé système, créez une nouvelle disquette de réparation. Cette disquette est une disquette de réparation " pré-correctif " qui contient une copie de la configuration système et des informations de compte avant l'installation du correctif. Cette disquette " pré-correctif " peut être utilisée pour la récupération du registre et des fichiers système à l'aide du CD-ROM de distribution Windows NT.
  • Créez une disquette de réparation après l'installation du correctif Clé système, mais avant d'activer le cryptage renforcé à l'aide de la commande SYSKEY. Cette disquette sera intitulée " correctif - avant cryptage ". Elle peut être utilisée pour réparer le registre et le restaurer à l'état précédant l'activation du cryptage renforcé : par exemple, pour la restauration du système en cas d'oubli ou de perte de la clé système Windows NT.
  • Après avoir exécuté SYSKEY pour activer le cryptage renforcé, créez une troisième disquette de réparation, intitulée " correctif - après cryptage ". Cette disquette et les mises à jour effectuées ultérieurement sur cette disquette peuvent être utilisées pour restaurer le registre avec un cryptage renforcé à l'aide de la clé système utilisée au moment de la dernière mise à jour.
La prise en charge du cryptage renforcé par le correctif Clé système affecte les composants système suivants :
  • Ruches du registre SYSTEM et SAM
  • Trois fichiers de composants de sécurité système : Winlogon.exe, Samsrv.dll, Samlib.dll
En général, le processus de réparation doit utiliser des versions identiques de ces composants. Quelle que soit l'option de réparation sélectionnée, le processus de réparation coordonnera la réparation des ruches du registre avec les fichiers système correspondants.

Le tableau suivant répertorie les options de récupération disponibles. 

Configuration de système    Disquette de réparation à   Système réparé
Souhaitée                   appliquer
après la réparation 
-------------------------------------------------------------------------------------------------------------

Windows NT 4.0,             Utiliser la disquette       Le registre est identique au système 
avant l'installation        " pré-correctif "           avant l'installation du 
du correctif                                            correctif ; les trois fichiers de
                                                        composants de sécurité système 
                                                        doivent être réparés à partir du CD-ROM
                                                        Windows NT 4.0 pour qu'ils correspondent
                                                        au format pré-correctif du registre.

Windows NT 4.0               Utiliser la                Le registre est identique 
avec correctif installé,     disquette de réparation    au système avant le cryptage renforcé.
mais le cryptage             " correctif - avant        La clé système n'est pas en effet ;
renforcé n'est pas activé    cryptage "                 le cryptage renforcé n'est pas activé.
                                                        Les fichiers de sécurité système ne doivent 
                                                        pas être réparés à partir du CD-ROM Windows NT 4.0.

Windows NT 4.0               Utiliser la disquette      Le registre est identique au système avec le 
avec le correctif            de réparation cryptage     renforcé activé ; la clé système en effet est la clé 
installé, le cryptage        " correctif - après        système utilisée au moment de la création
renforcé est activé          cryptage "                 de la disquette de réparation.


Si un administrateur doit réparer le système après l'installation du correctif Clé système, il devra réparer les sections SYSTEM et SAM du registre simultanément. L'option de clé système sélectionnée dans la section SYSTEM du registre doit correspondre à la clé de cryptage renforcé utilisée pour la section SAM du registre. Si l'une des ruches du registre est réparée sans l'autre, le système tentera peut-être d'utiliser une option de clé système différente (dérivée d'un mot de passe ou générée par machine) qui ne correspond pas à la clé de cryptage renforcé utilisée pour les informations de mot de passe des comptes.

L'installation du correctif Clé système met à jour les sommes de contrôle pour le composant de sécurité système (Winlogon.exe, Samsrv.dll, Samlib.dll) dans le fichier System.log. Ce fichier est enregistré sur la disquette de réparation d'urgence. Le fichier System.log est utilisé au cours de la récupération pour déterminer si les fichiers doivent être mis à jour à partir du CD-ROM Windows NT Server 4.0 pour correspondre à la configuration pré-correctif du registre. Si la configuration de récupération souhaitée est Windows NT Server 4.0 avec le correctif Clé système installé, le système ne vous invitera pas à réparer ces fichiers de sécurité système.

Après avoir installé le correctif sans avoir toutefois activé le cryptage renforcé, si vous tentez de réparer les fichiers système à l'aide d'une disquette de réparation créée avant l'installation du correctif (la disquette " pré-correctif "), vous DEVEZ également réparer les sections SYSTEM et SAM du registre. Sinon, les fichiers système ne correspondront pas au format du registre, et vous recevrez un message d'erreur (erreur C00000DF) lors de l'ouverture de session. Lorsque le registre et les fichiers système ne correspondent pas, vous devez réparer les fichiers du registre et les fichiers système correspondants. Pour cela, vous pouvez soit réparer les ruches du registre à partir de la même disquette de réparation " pré-correctif ", soit utiliser la disquette " correctif - avant cryptage ", dont le format de registre correspond aux fichiers système du correctif Clé système.

Enfin, au cas où les fichiers de sécurité système (Winlogon, Samsrv.dll, Samlib.dll) seraient endommagés, vous devez récupérer le système à l'aide de la disquette " pré-correctif " et réparer les fichiers endommagés à partir du CD-ROM Windows NT Server 4.0. Vous devez également réparer les ruches du registre SYSTEM et SAM pour qu'elles correspondent aux fichiers système de la disquette de réparation " pré-correctif ".

Les règlements actuellement en vigueur aux États-Unis autorisent l'utilisation de clés de cryptage en 128 bits pour la protection de données d'authentification telles que les mots de passe. Les clés de cryptage utilisées pour Syskey sont spécifiques à la protection des mots de passe stockés dans SAM et dans la section Sécurité du registre. Il n'existe pas d'interface API d'applications disponible pour l'utilisation d'un cryptage Syskey en 128 bits pour la protection générale de données.

Dans les systèmes d'exploitation Windows 2000 et ultérieurs, Syskey est activée automatiquement et ne peut pas être désactivée. La seule option de modification possible est de stocker la clé de démarrage sur une disquette plutôt que de la stocker localement.
Retour au début
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows NT Workstation 4.0 Édition Développeur
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professionel
  • Microsoft Windows 2000 Server
Retour au début
Mots-clés : 
kbinfo kbenv kbnetwork KB143475
Retour au début
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.