Windows NT System Key consente crittografia avanzata del database SAM

Traduzione articoli Traduzione articoli
Identificativo articolo: 143475 - Visualizza i prodotti a cui si riferisce l?articolo.
Per un Microsoft Windows 2000, Windows XP e una versione di Windows Server 2003 di questo articolo, vedere 310105.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Windows NT Server 4.0 System Key (Syskey.exe) consente di utilizzare tecniche di crittografia avanzata per aumentare la protezione delle informazioni di password di account memorizzate nel Registro di sistema da Gestione di account di protezione (SAM). Windows NT Server memorizza le informazioni di account utente, quali un derivato della password di account utente, una parte protetta del Registro di sistema protetto da un controllo di accesso e una funzione di offuscamento. Le informazioni di account contenute nel Registro di sistema sono disponibili solo ai membri del gruppo Administrators. Windows NT Server, come altri sistemi operativi, consente il con privilegi agli utenti che sono di accesso di amministratori a tutte le risorse presenti nel sistema. Per quelle installazioni che richiedono una protezione superiore, la crittografia avanzata delle informazioni derivate delle password di account fornisce un ulteriore livello di protezione per impedire che gli amministratori possano accedere in maniera intenzionale o meno alle derivate delle password utilizzando le interfacce di programmazione del Registro di sistema.

Syskey.exe Ŕ incluso con Service Pack 3 (SP3) e versioni successive per Windows NT 4.0.

Nota : se si desidera modificare in cui si trova la chiave SYSKEY, utilizzare lo strumento SYSKEY non modificare direttamente il Registro di sistema. Modificando il Registro di sistema, la chiave SYSKEY funzionerÓ correttamente sebbene possa dare l'impressione di non funzionare correttamente.

importante : per informazioni importanti su un problema di protezione relativo allo strumento Syskey, vedere l'articolo seguente della Microsoft Knowledge Base riportato di seguito:
248183Strumento Syskey riutilizza il flusso in tasti

Informazioni

Le funzionalitÓ di crittografia avanzata offerte dalla correzione System Key di Windows NT 4.0 sono facoltative e. Gli amministratori possono scegliere di implementare la crittografia avanzata definendo una chiave di sistema per la crittografia avanzata di Windows NT. protezione informazioni di account crittografando i dati di password utilizzando una chiave casuale di crittografia a 128 bit, noto come una chiave di crittografia delle password.

La crittografia avanzata viene applicata esclusivamente alle informazioni relative alle password private contenute nel database, non a tutto il database degli account. Tutti i sistemi che utilizzano l'opzione di crittografia avanzata dispongono di una chiave di crittografia delle password univoca,. essa stessa crittografata tramite una chiave di sistema. La crittografia avanzata delle password pu˛ essere utilizzata sia in Windows NT Server che in Windows NT Workstation laddove sono memorizzate le informazioni di account. Utilizzando la crittografia avanzata delle password di account aggiunge la protezione aggiuntiva per il contenuto di parte di registro di sistema SAM e successive copie di backup delle informazioni del Registro di sistema nella directory %systemroot%\repair creato utilizzando il comando RDISK e su nastri di backup del sistema.

La chiave di sistema viene definita mediante il comando SYSKEY.exe. Solo i membri del gruppo Administrators Ŕ in possono di eseguire il comando SYSKEY.exe. L'utilitÓ viene impiegata per inizializzare o modificare la System Key ovvero. la chiave master utilizzata per proteggere la chiave di crittografia delle password, pertanto la sua protezione Ŕ fondamentale per le operazioni di protezione del sistema.

Esistono tre opzioni per la gestione della System Key pensate per soddisfare le esigenze dei diversi ambienti Windows NT. Tali opzioni sono:
  • Utilizzo di una chiave casuale generata dal computer e memorizzazione della chiave nel sistema locale tramite un complesso algoritmo di oscuramento. Questa opzione fornisce la crittografia avanzata delle informazioni delle password nel Registro di sistema e consente un riavvio automatico del sistema.
  • Utilizzo di una chiave casuale generata dal computer e memorizzazione della chiave su un disco floppy. Il disco floppy contenente la System Key Ŕ necessario per avviare il sistema e deve essere inserito quando richiesto, ovvero dopo che Windows NT ha iniziato la sequenza di avvio, ma prima che il sistema sia disponibile per l'accesso da parte degli utenti. La System Key non Ŕ memorizzata in nessuna posizione all'interno del sistema locale.
  • Utilizzo di una password scelta dall'amministratore per ottenere la System Key. Windows NT chiederÓ di specificare la password System Key durante la fase iniziale di avvio del sistema, ma prima che il sistema sia disponibile per l'accesso da parte degli utenti. La password System Key non Ŕ memorizzata in nessuna posizione all'interno del sistema locale. Una forma concisa MD5 della password Ŕ utilizzata come chiave master per proteggere la chiave di crittografia delle password.
Le opzioni System Key che utilizzano una password o richiedono l'inserimento di un disco floppy introducono un nuovo messaggio di richiesta nel corso dell'inizializzazione del sistema operativo Windows NT. Tali opzioni offrono il tipo di protezione migliore in quanto la chiave master non Ŕ memorizzata nel sistema e il controllo della chiave pu˛ essere limitato a determinati soggetti autorizzati. D'altra parte, per avviare il sistema Ŕ necessario conoscere la password System Key o possesso del disco System Key. (Se la System Key viene salvata su un disco floppy, fare delle copie di backup di tale disco.) Il riavvio automatico del sistema pu˛ richiedere che la System Key sia disponibile nel sistema senza che sia necessaria la risposta dell'amministratore. Memorizzando la System Key nel sistema locale tramite un complesso algoritmo di oscuramento, si rende disponibile la chiave solo ai componenti di base della protezione del sistema operativo. In futuro sarÓ possibile configurare la System Key in modo da ottenere la chiave materiale da componenti hardware a prova di manomissione in grado di garantire la massima protezione.

Avviso: Se si dimentica la password System Key o si perde il disco floppy System Key, potrebbe risultare impossibile avviare il sistema. Per tale ragione proteggere e memorizzare le informazioni System Key facendo delle copie di backup. L'unico modo per ripristinare il sistema qualora la System Key vada perduta consiste nell'utilizzare un disco di ripristino che consenta di riportare il Registro di sistema a uno stato precedente all'abilitazione della crittografia avanzata. A tale riguardo si veda la sezione Aspetti di ripristino di seguito in questo articolo.

La crittografia avanzata pu˛ essere configurata in maniera indipendente sul controller di dominio primario e su ciascun controller di dominio di backup. Ogni controller di dominio disporrÓ di una chiave di crittografia delle password univoca e di una System Key univoca. Ad esempio, il controller di dominio primario potrebbe essere configurato per utilizzare una System Key generata dal computer e memorizzata su un disco, mentre i controller di dominio di backup utilizzare ciascuno una diversa System Key generata dal computer e memorizzata nel sistema locale. Una System Key generata dal computer e memorizzata localmente in un controller di dominio primario non pu˛ essere replicata.

Prima di abilitare la crittografia avanzata per il controller di dominio primario, si consiglia di verificare che un controller di dominio di backup aggiornato sia disponibile per poter essere utilizzato come sistema di backup finchÚ non saranno state completate e verificate le modifiche al dominio primario. Prima di abilitare la crittografia avanzata in qualsiasi sistema, Microsoft consiglia creare una nuova copia del disco di ripristino, incluse le informazioni di protezione nel Registro di sistema, utilizzando il comando RDISK/s. Prima di utilizzare tale comando, vedere il seguente articolo della Microsoft Knowledge Base:
ID articolo: 122857
TITLE: RDISK /S and RDISK /S-Options in Windows NT

Il comando SYSKEY Ŕ utilizzato per selezionare l'opzione System Key e generare il valore di chiave iniziale,. che pu˛ essere una chiave generata dal computer oppure una chiave derivata da password. Il comando SYSKEY visualizza una finestra di dialogo che informa se la crittografia avanzata Ŕ abilitata o meno. Se la crittografia avanzata Ŕ abilitata, non potrÓ essere disabilitata. Per abilitare la crittografia avanzata del database degli account, selezionare l'opzione "Encryption Enabled", quindi scegliere OK. VerrÓ visualizzata una finestra di dialogo di conferma che ricorda di creare un disco di ripristino aggiornato. In seguito verrÓ visualizzata una finestra di dialogo contenente le opzioni per la chiave del database degli account. Utilizzare le opzioni disponibili nella finestra di dialogo Account Database Key per selezionare la System Key.

Una volta selezionata l'opzione System Key, Windows NT dovrÓ essere riavviato affinchÚ l'opzione System Key abbia effetto. Al riavvio del sistema Ŕ possibile che venga chiesto di specificare la System Key, ci˛ dipende dall'opzione selezionata. Windows NT rileva il primo utilizzo della System Key e genera una nuova chiave casuale di crittografia delle password. La chiave di crittografia di password Ŕ protetta con la chiave di sistema e quindi tutte le informazioni di password account fortemente sono crittografate.

Il comando SYSKEY deve essere eseguito in ciascun sistema in cui sia richiesta la crittografia avanzata delle informazioni delle password di account. Il comando SYSKEY supporta un parametro "-l" che consente di generare la chiave master e memorizzarla nel sistema locale. Questa opzione abilita la crittografia avanzata delle password nel Registro di sistema e consente l'esecuzione del comando senza che venga visualizzata una finestra di dialogo interattiva. Il comando SYSKEY potrÓ essere utilizzato in seguito per modificare le opzioni System Key oppure per impostare una nuova chiave. Per cambiare la chiave Ŕ necessario conoscere o possedere la System Key corrente. Se si utilizza l'opzione che consente di derivare la System Key da una password, il comando SYSKEY non imporrÓ alcuna lunghezza minima di password, sebbene siano comunque consigliate password non inferiori ai 12 caratteri. La lunghezza massima della password System Key Ŕ di 128 caratteri.

Il comando SYSKEY dovrebbe essere applicato a tutti i controller di dominio. In caso contrario il sistema di gestione degli account di protezione (SAM) nei controller di dominio di backup non risulterÓ altrettanto sicuro quanto quello del controller di dominio primario,. vanificando in tal modo il ricorso alla crittografia avanzata.

ASPETTI DI RIPRISTINO

L'introduzione della crittografia avanzata delle password di account determina una modifica delle porzioni del Registro di sistema SYSTEM e SAM tale influire sulle opzioni di ripristino disponibili per un sistema Windows NT. Utilizzare sempre il comando RDISK con il parametro /S in modo da creare un nuovo disco di ripristino che comprenda una directory \Repair in cui sia inclusa una copia di backup delle porzioni SYSTEM e SAM del Registro di sistema.

AffinchÚ tutte le opzioni di ripristino siano disponibili, Ŕ necessario disporre dei seguenti dischi di ripristino:
  • Prima di installare la correzione System Key, creare un nuovo disco di ripristino. Questo disco di ripristino contiene una copia della configurazione di sistema e delle informazioni di account precedenti all'applicazione della correzione. e potrÓ essere utilizzato per ripristinare il Registro di sistema e il file di sistema utilizzando il CD di distribuzione di Windows NT.
  • Una volta installata la correzione System Key, ma prima di abilitare la crittografia avanzata utilizzando il comando SYSKEY, creare un altro disco di ripristino. Tale disco di ripristino Ŕ una "correzione rapida - precedente alla crittografia". potrÓ essere utilizzato per ripristinare il Registro di sistema allo stato esistente prima dell'abilitazione della crittografia avanzata, ad esempio per ripristinare un sistema qualora si dimentichi o vada perduta la Chiave di sistema di Windows NT.
  • Una volta eseguito il comando SYSKEY per abilitare la crittografia avanzata, creare un altro disco di ripristino. Il disco di ripristino Ŕ "correzione rapida - dopo la crittografia". e i suoi successivi aggiornamenti potranno essere utilizzati per ripristinare il Registro di sistema con la crittografia avanzata intatta utilizzando la Chiave di sistema in uso al momento in cui Ŕ stato eseguito l'ultimo aggiornamento del disco di ripristino.
Il supporto della correzione System Key per la crittografia avanzata influisce sui seguenti componenti di sistema:
  • Hive di registro SYSTEM e SAM
  • Tre file di componente di sistema di protezione: Winlogon.exe, Samsrv.dll, Samlib.dll
In generale il processo di ripristino deve utilizzare versioni corrispondenti di questi componenti. Qualunque sia l'opzione di ripristino selezionata, il processo di ripristino coordinerÓ il ripristino degli hive del Registro di sistema con i file di sistema corrispondenti.

Nella tabella seguente sono elencate le opzioni di ripristino disponibili.

Desired System        Repair disk to        Repaired System
Configuration         apply
after Repair
--------------------------------------------------------------------------

Windows NT 4.0,       Use the "Pre-hotfix"  Registry matches system before
prior to hotfix       repair disk           hotfix installed; the three
installation                                system security component
                                            files need to be repaired from
                                            the Windows NT 4.0 compact
                                            disc to match the pre-hotfix
                                            registry format.

Windows NT 4.0 with   Use the "hotfix -     Registry matches the system
hotfix installed,     Before Encryption"    before strong encryption.
but strong            repair disk           System Key is not in effect;
encryption is not                           strong encryption not enabled.
enabled                                     System security files do not
                                            need to be repaired from the
                                            Windows NT 4.0 compact disc.

Windows NT 4.0 with   Use the "hotfix -     Registry matches the system
hotfix installed,     After Encryption"     with strong encryption
and strong            repair disk           enabled; the System Key in
encryption is                               effect is the System Key used
enabled                                     at the time the repair disk
                                            was made.
				


Nell'eventualitÓ che l'amministratore debba ripristinare il sistema allo stato esistente dopo l'installazione della correzione, sarÓ necessario ripristinare contemporaneamente entrambe le porzioni SYSTEM e SAM del Registro di sistema. L'opzione System Key presente nella porzione SYSTEM del Registro deve corrispondere alla chiave di crittografia avanzata utilizzata dalla porzione SAM. Se viene ripristinato solo uno dei due hive di registro, Ŕ possibile che il sistema tenti di utilizzare una diversa opzione System Key, ad esempio la chiave derivata da password o quella generata dal computer, non corrispondente alla chiave di crittografia avanzata utilizzata per le password di account.

L'installazione della correzione System Key aggiornerÓ i valori checksum per i componenti della protezione di sistema, i file Winlogon.exe, Samsrv.dll e Samlib.dll, nel file System.log. Il file System.log, salvato sul disco di ripristino,. Ŕ utilizzato durante il ripristino per determinare se i file devono essere aggiornati dal CD di Windows NT Server 4.0 per essere corrispondenti alla configurazione del Registro precedente all'applicazione della correzione. Se la configurazione di ripristino desiderata Ŕ quella di Windows NT Server 4.0 con la correzione applicata, non verrÓ chiesto di ripristinare questi file della protezione di sistema.

Una volta installata la correzione System Key, ma non ancora abilitata la crittografia avanzata, se si tenta di ripristinare i file di sistema utilizzando un disco di ripristino creato prima dell'installazione della correzione, sarÓ necessario ripristinare le porzioni SYSTEM e SAM del Registro di sistema. Se non Ŕ ripristinare il Registro di sistema, i file di sistema e il formato del Registro di sistema non corrisponderanno. e verrÓ visualizzato un messaggio di errore, con codice di errore C00000DF, quando si tenterÓ di accedere. Quando i file del Registro di sistema e di sistema non corrispondono, la procedura di ripristino Ŕ ripristino di sistema di simulazione e i file del Registro di sistema. ripristinando gli hive del Registro dal disco di ripristino precedente all'applicazione della correzione oppure utilizzando il disco di ripristino precedente all'abilitazione della crittografia, che presenta un formato di Registro corrispondente ai file di sistema della correzione System Key.

Nel caso in cui i file della protezione di sistema, Winlogon, Samsrv.dll e Samlib.dll, siano danneggiati, sarÓ necessario ripristinare il sistema utilizzando il disco di ripristino precedente all'applicazione della correzione ripristinando i file danneggiati dal CD di Windows NT Server 4.0. SarÓ anche necessario ripristinare gli hive SYSTEM e SAM del Registro di sistema affinchÚ corrispondano ai file di sistema del disco di ripristino precedente all'applicazione della correzione.

Gli attuali regolamenti in vigore negli Stati Uniti in merito alle esportazioni consentono l'utilizzo delle chiavi di crittografia a 128 bit per proteggere i dati autenticati, quali ad esempio le password. Le chiavi di crittografia utilizzate per Syskey sono specifiche per la protezione delle password memorizzate nelle porzioni del Registro di sistema relative alla protezione e al sistema di gestione degli account di protezione (SAM). Attualmente non esistono API di applicazione disponibili per l'impiego della crittografia Syskey a 128 bit per la protezione dei dati generali.

ProprietÓ

Identificativo articolo: 143475 - Ultima modifica: mercoledý 1 novembre 2006 - Revisione: 2.1
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
Chiavi:á
kbmt kbenv kbinfo kbnetwork KB143475 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 143475
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com