Kunci sistem Windows NT izin enkripsi kuat SAM

Windows NT Server 4.0 sistem kunci (Syskey.exe) memberi Anda kemampuan untuk menggunakan teknik enkripsi yang kuat untuk meningkatkan perlindungan sandi account informasi yang disimpan dalam registri oleh Manajer Account Keamanan (SAM). Windows NT Server menyimpan informasi akun pengguna, termasuk turunan dari sandi account pengguna, di bagian aman registri dilindungi oleh kontrol akses dan fungsi kebingungan. Account informasi di registri hanya dapat diakses untuk anggota Grup Administrator. Windows NT Server, seperti sistem operasi lainnya, memungkinkan pengguna istimewa yang adalah administrator akses ke semua sumber daya dalam sistem. Untuk instalasi yang ingin meningkatkan keamanan, kuat menyediakan enkripsi sandi turunan informasi account tingkat tambahan keamanan untuk mencegah administrator dari sengaja atau tidak sengaja mengakses sandi derivatif menggunakan registri antarmuka pemrograman.

Syskey.exe disertakan dengan paket layanan 3 (SP3) dan kemudian untuk Windows NT 4.0.

CATATAN: Jika Anda ingin mengubah menyimpan kunci SYSKEY, penggunaan alat SYSKEY tidak memodifikasi registri secara langsung. Jika Anda memodifikasi registri, SYSKEY akan bekerja dengan benar tapi memberikan kesan bahwa bukan.

PENTING: Untuk informasi penting tentang masalah keamanan dengan alat Syskey, lihat artikel berikut pada Basis Pengetahuan Microsoft:

Kemampuan enkripsi kuat dengan Windows NT 4.0 sistem kunci perbaikan terbaru adalah fitur opsional. Administrator dapat memilih untuk menerapkan kuat enkripsi dengan mendefinisikan sistem kunci untuk Windows NT. enkripsi kuat melindungi informasi account pribadi dengan enkripsi sandi data menggunakan 128-bit key cryptographically acak, dikenal sebagai kunci enkripsi sandi.

Hanya informasi pribadi sandi sangat dienkripsi di database, tidak seluruh account database. Setiap sistem yang menggunakan yang kuat enkripsi pilihan akan memiliki kunci enkripsi sandi unik. Sandi kunci enkripsi itu sendiri dienkripsi dengan kunci sistem. Sandi yang kuat enkripsi dapat digunakan pada Windows NT Server dan Workstation di mana informasi account disimpan. Menggunakan enkripsi kuat account password menambahkan perlindungan tambahan untuk isi bagian SAM registri dan berikutnya salinan cadangan informasi registri dalam direktori %systemroot%\repair dibuat menggunakan perintah RDISK dan pada sistem cadangan kaset.

Tombol sistem didefinisikan menggunakan perintah Syskey.exe. Hanya anggota dari grup Administrator dapat menjalankan perintah Syskey.exe. Utilitas digunakan untuk menginisialisasi atau mengubah sistem kunci. Sistem kunci adalah "master kunci"digunakan untuk melindungi sandi kunci enkripsi dan karenanya perlindungan Sistem kunci adalah operasi keamanan sistem kritis.

Ada tiga pilihan untuk mengelola sistem kunci yang dirancang untuk memenuhi kebutuhan lingkungan Windows NT yang berbeda. Pilihan sistem kunci berikut:

• Menggunakan kunci acak yang dihasilkan mesin sebagai kunci sistem dan menyimpan kunci pada sistem lokal menggunakan algoritma kompleks kebingungan. Opsi ini menyediakan enkripsi kuat sandi informasi di registri dan memungkinkan untuk me-restart sistem tanpa pengawasan.
• Menggunakan kunci acak yang dihasilkan mesin dan menyimpan kunci pada disket. Disket dengan sistem kunci diperlukan untuk sistem untuk memulai dan harus dimasukkan ketika diminta setelah Windows NT mulai startup urutan, tapi sebelum sistem tersedia untuk pengguna untuk logon. The Sistem kunci tidak disimpan di mana saja pada sistem lokal.
• Menggunakan sandi yang dipilih oleh Administrator untuk memperoleh tombol sistem. Windows NT akan meminta untuk sistem kunci sandi ketika sistem dalam urutan startup awal, tapi sebelum sistem tersedia untuk pengguna untuk logon. Sistem kunci sandi tidak disimpan di mana saja di sistem. MD5 digest password digunakan sebagai master key untuk melindungi kunci enkripsi sandi.

Pilihan sistem kunci menggunakan kedua password atau memerlukan floppy disk memperkenalkan prompt baru selama inisialisasi Windows NT sistem operasi. Mereka menawarkan pilihan perlindungan terkuat yang tersedia karena master kunci bahan tidak disimpan di sistem dan kontrol kunci dapat dibatasi untuk beberapa individu. Di sisi lain, pengetahuan Sistem kunci sandi, atau memiliki tombol sistem disk adalah diperlukan untuk boot sistem tersebut. (Jika tombol sistem disimpan ke sebuah disket, salinan cadangan disk sistem kunci dianjurkan.) Sistem tanpa pengawasan restart mengharuskan bahwa sistem kunci bahan menjadi tersedia untuk sistem tanpa Administrator respon. Menyimpan kunci sistem pada sistem lokal menggunakan algoritma kompleks kebingungan membuat tombol yang tersedia hanya untuk inti sistem operasi keamanan komponen. Di masa depan, itu akan mungkin untuk mengkonfigurasi sistem kunci untuk memperoleh bahan kunci dari tamper bukti komponen perangkat keras untuk keamanan maksimal.

Peringatan: Jika lupa sandi sistem kunci atau disket sistem kunci disk hilang, mungkin tidak mungkin untuk memulai sistem. Melindungi dan menyimpan informasi sistem kunci aman dengan salinan cadangan dalam acara darurat. Satu-satunya cara untuk memulihkan sistem jika tombol sistem hilang menggunakan disk perbaikan untuk memulihkan registri ke keadaan sebelum mengaktifkan enkripsi kuat. Lihat bagian perbaikan masalah di bawah ini.

Enkripsi kuat dapat dikonfigurasi secara independen di primer dan masing-masing Kontroler Domain backup (DCs). Kontroler domain masing-masing akan memiliki unik kunci enkripsi sandi dan sistem kunci yang unik. Sebagai contoh, dasar DC dapat dikonfigurasi untuk menggunakan mesin yang dihasilkan sistem kunci disimpan di disk, dan cadangan DC dapat digunakan masing-masing mesin yang berbeda dihasilkan sistem kunci disimpan pada sistem lokal. Mesin dihasilkan sistem kunci disimpan secara lokal pada dasar kontroler domain tidak direplikasi.

Sebelum mengaktifkan enkripsi kuat untuk kontroler domain utama, Anda dapat ingin memastikan lengkap kontroler domain Backup diperbarui tersedia untuk digunakan sebagai sistem cadangan sampai perubahan ke domain utama lengkap dan diverifikasi. Sebelum mengaktifkan enkripsi yang kuat pada setiap sistem, Microsoft menyarankan membuat salinan Disk perbaikan darurat, termasuk keamanan informasi di registri, menggunakan perintah, RDISK /S. Mohon Lihat artikel berikut pada Basis Pengetahuan Microsoft untuk menggunakan RDISK/S:

SYSKEY perintah ini digunakan untuk memilih opsi sistem kunci dan menghasilkan kunci nilai awal. Nilai kunci mungkin baik kunci mesin yang dihasilkan atau sandi berasal kunci. Perintah SYSKEY pertama menampilkan kotak dialog menunjukkan apakah enkripsi kuat diaktifkan atau dinonaktifkan. Setelah yang kuat enkripsi kemampuan diaktifkan, tidak dapat dinonaktifkan. Untuk mengaktifkan kuat otentikasi dari basis data akun, pilih opsi "enkripsi Mengaktifkan", dan klik OK. Dialog konfirmasi yang muncul mengingatkan administrator untuk membuat disk perbaikan darurat diperbarui. Sebuah dialog yang baru muncul menyajikan pilihan untuk Account Database kunci. Gunakan pilihan tersedia di Account Database kunci dialog untuk memilih sistem kunci.

Setelah memilih opsi sistem kunci, Windows NT harus direstart supaya Opsi sistem kunci untuk mengambil efek. Ketika sistem restart, Administrator mungkin diminta untuk memasukkan tombol sistem, tergantung pada opsi kunci yang dipilih. Windows NT mendeteksi penggunaan pertama dari sistem kunci dan menghasilkan kunci enkripsi sandi acak baru. Sandi enkripsi kunci dilindungi dengan sistem kunci, dan kemudian semua sandi account informasi sangat dienkripsi.

Perintah SYSKEY yang perlu dijalankan pada setiap sistem di mana kuat enkripsi account sandi informasi ini diperlukan. SYSKEY mendukung "-l" perintah pilihan untuk menghasilkan master key dan menyimpan kunci secara lokal di sistem. Pilihan ini memungkinkan enkripsi sandi kuat di registri dan memungkinkan perintah untuk menjalankan tanpa dialog interaktif. SYSKEY perintah dapat digunakan di lain waktu untuk mengubah pilihan sistem kunci dari salah satu metode lain, atau mengubah tombol sistem kunci baru. Mengubah Tombol sistem membutuhkan pengetahuan, atau kepemilikan, sistem saat ini Kunci. Jika sandi berasal sistem kunci pilihan digunakan, SYSKEY tidak menegakkan panjang sandi minimal, namun panjang sandi (lebih dari 12 karakter) dianjurkan. Panjang sandi maksimal sistem kunci adalah 128 karakter.

SYSKEY harus diterapkan untuk semua pengontrol domain. Jika hal ini tidak dilakukan, SAM pada kontroler backup domain (BDCs) tidak akan aman yang pada kontroler domain utama (PDC). Dengan demikian, titik menginstal SYSKEY akan dikalahkan.

PERBAIKAN MASALAH

Pengenalan enkripsi kuat dari perubahan informasi sandi account bagian sistem dan SAM registri dalam cara yang mempengaruhi perbaikan pilihan yang tersedia untuk pemulihan sistem Windows NT. Selalu menggunakan RDISK perintah dengan/s pilihan untuk membuat Disk perbaikan darurat baru termasuk salinan cadangan sistem dan SAM sebagian dari registri pada Map \Repair.

Untuk opsi pemulihan lengkap, disk perbaikan darurat berikut harus akan tersedia:

• Sebelum untuk menginstal perbaikan terbaru sistem kunci, membuat disk perbaikan segar. Disk ini adalah "pra-perbaikan terbaru" perbaikan disk yang berisi salinan sistem konfigurasi dan informasi account sebelum untuk instalasi perbaikan terbaru. "Pra-perbaikan terbaru" repair disk dapat digunakan untuk memulihkan registri dan sistem file menggunakan Windows NT distribusi CDROM.
• Setelah instalasi dari sistem kunci perbaikan terbaru, tapi sebelum memungkinkan kuat enkripsi menggunakan perintah SYSKEY, membuat disk perbaikan. Perbaikan ini disk adalah "perbaikan terbaru - sebelum enkripsi". Disk perbaikan ini dapat digunakan untuk memperbaiki registri ke keadaan sebelum enkripsi kuat diaktifkan, sebagai contoh dapat digunakan untuk memulihkan sistem jika sistem Windows NT Kunci hilang atau lupa.
• Setelah menjalankan SYSKEY untuk mengaktifkan enkripsi kuat, membuat disk perbaikan. Disk perbaikan ini adalah "perbaikan terbaru - setelah enkripsi". Disk perbaikan ini, dan pembaruan berikutnya untuk disk perbaikan ini, dapat digunakan untuk memulihkan registri dengan enkripsi kuat utuh menggunakan tombol sistem berlaku pada saat disk perbaikan ini terakhir diperbaharui.

Dukungan perbaikan terbaru sistem kunci enkripsi kuat mempengaruhi berikut komponen sistem:

• SISTEM dan SAM kumpulan registri
• Tiga sistem keamanan komponen file: Winlogon.exe, Samsrv.dll, Samlib.dll

Secara umum, proses perbaikan perlu menggunakan Pencocokan versi ini komponen. Opsi perbaikan apa pun yang Anda pilih, proses perbaikan akan mengkoordinasikan perbaikan dari kumpulan registri dengan berkas sistem cocok.

Tabel berikut mencantumkan pilihan pemulihan yang tersedia.



Dalam acara yang memungkinkan Administrator untuk memperbaiki sistem setelah Sistem kunci perbaikan terbaru diinstal, sistem dan SAM registri perlu diperbaiki pada waktu yang sama. Pilihan sistem kunci dalam bagian sistem registri harus cocok dengan kunci enkripsi kuat digunakan untuk porsi SAM registri. Jika satu kumpulan registri diperbaiki tanpa yang lain, mungkin mungkin untuk sistem untuk mencoba untuk menggunakan pilihan sistem kunci berbeda (sandi yang berasal atau mesin yang dihasilkan) yang tidak cocok dengan kunci enkripsi kuat yang digunakan untuk sandi account informasi.

Instalasi sistem kunci perbaikan terbaru akan memperbarui checksum untuk sistem keamanan komponen (Winlogon.exe, Samsrv.dll, Samlib.dll) System.log file. System.log file disimpan pada perbaikan darurat Disk. Berkas System.log digunakan selama pemulihan untuk menentukan jika file perlu diperbarui dari Windows NT Server 4.0 CD-ROM untuk mencocokkan konfigurasi registri pra-perbaikan terbaru. Jika diinginkan pemulihan sistem konfigurasi adalah Windows NT Server 4.0 dengan sistem kunci perbaikan terbaru, Anda tidak akan diminta untuk memperbaiki file keamanan sistem ini.

Setelah menginstal sistem kunci perbaikan terbaru, dan Anda belum mengaktifkan kuat enkripsi, jika Anda mencoba untuk memperbaiki berkas sistem yang menggunakan disk perbaikan dibuat sebelum menginstal perbaikan terbaru sistem kunci (yang menggunakan "pra perbaikan terbaru"memperbaiki disk) Anda juga harus memperbaiki sistem dan SAM registri. Jika Anda tidak memperbaiki registri, sistem file dan registri format akan tidak cocok. Anda akan mendapatkan error (kesalahan nomor C00000DF) ketika Anda mencoba untuk log on. Ketika berkas registri dan sistem tidak cocok, pemulihan prosedur ini adalah untuk memperbaiki sistem cocok dan berkas registri. Salah satu perbaikan kumpulan registri dari yang sama "pra-perbaikan terbaru" memperbaiki disk, atau menggunakan "perbaikan terbaru - sebelum enkripsi" memperbaiki disk, yang telah registri format yang pertandingan berkas sistem perbaikan sistem kunci.

Akhirnya, jika Anda memiliki sebuah situasi di mana berkas sistem keamanan (Winlogon, Samsrv.dll, Samlib.dll) yang rusak, maka Anda harus memulihkan sistem menggunakan perbaikan "pra-terbaru" memperbaiki disk dan memperbaiki file rusak dari Windows NT Server 4.0 CD-ROM. Anda juga harus memperbaiki sistem dan SAM kumpulan registri untuk mencocokkan sistem file dari perbaikan "Pra-perbaikan terbaru" disk.

Peraturan ekspor Amerika Serikat sekarang memungkinkan penggunaan enkripsi 128-bit kunci untuk digunakan untuk melindungi data otentikasi, seperti sandi. Kunci enkripsi yang digunakan untuk Syskey spesifik untuk perlindungan sandi yang tersimpan di SAM dan bagian keamanan dari registri. Ada tidak ada aplikasi api tersedia untuk menggunakan enkripsi 128-bit Syskey untuk perlindungan data untuk keperluan umum.