Windows NT System Key Permits encriptação forte de SAM, Security Accounts Manager

Traduções de Artigos Traduções de Artigos
Artigo: 143475 - Ver produtos para os quais este artigo se aplica.
Para obter um Microsoft Windows 2000, Windows XP e Windows Server 2003 versão deste artigo, consulte 310105.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

O Windows NT Server 4.0 chave do sistema (Syskey.exe) fornece a capacidade para utilizar técnicas de encriptação forte para aumentar a protecção das informações de palavra-passe de conta armazenadas no registo por Gestor de contas de segurança (SAM). Windows NT Server armazena informações de conta de utilizador, incluindo um derivado da palavra-passe da conta de utilizador, numa parte segura do registo protegido por uma função obfuscation e de controlo de acesso. As informações da conta no registo só são acessíveis a membros do grupo Administradores. Windows NT Server, tal como outros sistemas operativos, permite aos utilizadores com privilégios com acesso de administradores a todos os recursos no sistema. Para instalações que pretende aumentar a segurança, encriptação forte das informações de derivado de palavra-passe de conta fornece um nível adicional de segurança para impedir que administradores acedam intencional ou inadvertidamente derivados de palavra-passe utilizando as interfaces de programação de registo.

Syskey.exe incluído com o Service Pack 3 (SP3) e posterior para Windows NT 4.0.

Nota : Se pretender alterar onde está armazenada a chave SYSKEY, utilize a ferramenta SYSKEY não modifique o registo directamente. Se modificar o registo, SYSKEY irá funcionar correctamente mas permitem a impressão não é.

importante : para obter informações importantes sobre um problema de segurança com a ferramenta Syskey, consulte o seguinte artigo na base de dados de conhecimento da Microsoft:
248183Ferramenta de Syskey Reuses Keystream

Mais Informação

A capacidade de encriptação forte com a correcção de chave do sistema Windows NT 4.0 é uma funcionalidade opcional. Os administradores podem optar por implementar a encriptação forte, definindo uma chave do sistema para Windows NT. forte encriptação protege informações da conta privada encriptando os dados de palavra-passe utilizando uma chave de 128 bits criptograficamente aleatória, conhecido como uma chave de encriptação de palavra-passe.

Apenas as informações de palavra-passe privada vivamente são encriptadas na base de dados, não a base de dados conta. Todos os sistemas utilizando a opção de encriptação forte terão uma chave de encriptação de palavra-passe exclusiva. A chave de encriptação de palavra-passe é próprio encriptadas com uma chave do sistema. Encriptação de palavra-passe segura pode ser utilizada no Windows NT Server e Workstation onde informações de conta estão armazenadas. Utilizar encriptação forte de palavras-passe de conta adiciona protecção adicional para o conteúdo da parte do registo do SAM, Security Accounts Manager e cópias de segurança subsequentes das informações de registo no directório %systemroot%\repair criados utilizando o comando RDISK e em bandas de cópia de segurança do sistema.

A chave do sistema é definida através do comando Syskey.exe. Apenas os membros do grupo administradores possam executar comandos Syskey.exe. O utilitário é utilizado para inicializar ou alterar a chave do sistema. A chave do sistema é a "chave de principal" utilizada para proteger a chave de encriptação de palavra-passe e assim a protecção da chave do sistema é uma operação de segurança críticos do sistema.

Existem três opções para gerir a chave do sistema concebido para satisfazer as necessidades de diferentes ambientes de Windows NT. Seguem-se as opções de chave do sistema:
  • Utilizar uma chave aleatória gerada por computador como a chave do sistema e armazenar a chave do sistema local utilizando um algoritmo complexo obfuscation. Esta opção fornece encriptação segura de informações de palavra-passe no registo e permite que o reinício do sistema automática.
  • Utilize uma chave aleatória gerada por computador e guarde a chave numa disquete. A disquete com a chave do sistema é necessária para o sistema iniciar e tem de ser introduzida quando lhe for pedido depois do Windows NT começa a sequência de arranque, mas antes o sistema fica disponível para os utilizadores iniciem sessão. A Chave do sistema não é armazenada no sistema local.
  • Utilize uma palavra-passe escolhida pelo administrador para derivar a chave do sistema. Windows NT irá pedir a palavra-passe chave do sistema quando o sistema está na sequência de arranque inicial, mas antes o sistema fica disponível para os utilizadores iniciem sessão. A palavra-passe chave do sistema não é armazenada no sistema. Um digest MD5 da palavra-passe é utilizada como a chave principal para proteger a chave de encriptação de palavra-passe.
As opções de chave do sistema utilizando uma palavra-passe ou que requer uma disquete de introduzir um novo pedido durante a inicialização do sistema operativo Windows NT. Oferecem a opção de protecção máxima disponível porque material de chave principal não está armazenado no sistema e controlar a chave pode ser restringida a algumas pessoas. Por outro lado, conhecimento da palavra-passe chave do sistema ou posse do disco de chave do sistema é necessária para iniciar o sistema. (Se a chave do sistema é guardada numa disquete, cópias de segurança do disco de chave do sistema são recomendadas.) Reinício do sistema automática pode requerer que esteja disponível no sistema sem resposta do administrador de material de chave do sistema. Armazenar a chave do sistema no sistema local utilizando um algoritmo complexo obfuscation disponibiliza a chave apenas para os principais componentes de segurança do sistema operativo. No futuro, será possível configurar a chave do sistema para obter material da chave de tamper componentes de hardware prova para segurança máxima.

Aviso: Se a palavra-passe System Key está esquecida ou a disquete de chave do sistema se perderem, que não seja possível iniciar o sistema. Proteger e armazenar as informações de chave do sistema com segurança com cópias de segurança no caso de emergência. A única forma de recuperar o sistema se se perder a chave do sistema está a utilizar um disco de reparação para restaurar o registo para um estado antes de activar a encriptação forte. Consulte a secção de reparar problemas abaixo.

Encriptação forte pode ser configurada independentemente o principal e cada controladores de domínio (DC) de cópia de segurança. Cada controlador de domínio terão uma chave de encriptação de palavra-passe exclusiva e uma chave exclusiva de sistema. Por exemplo, o DC principal pode ser configurado para utilizar um computador chave do sistema gerado armazenado num disco e os DC de cópia de segurança poderá cada utilizar que um computador diferente gerado System Key armazenados no sistema local. Uma máquina de chave do sistema gerado armazenado localmente no controlador de domínio principal não é replicada.

Antes de activar a encriptação forte para controladores de domínio principal, poderá pretender garantir que concluído actualizado cópia de segurança controlador de domínio está disponível para utilizar como um sistema de cópia de segurança enquanto as alterações ao domínio principal estão completos e verificados. Antes de activar a encriptação forte de qualquer sistema, Microsoft recomenda efectuar uma cópia nova do disco de reparação de emergência, incluindo as informações de segurança no registo, utilizando o comando/s. RDISK Consulte o seguinte artigo na Microsoft Knowledge Base para poder utilizar RDISK/s:
ID artigo: 122857
TÍTULO: RDISK /S RDISK /S-opções e no Windows NT

O comando SYSKEY é utilizado para seleccionar a opção de chave do sistema e gerar o valor de chave inicial. O valor da chave pode ser uma chave de máquina gerada ou uma chave derivada de palavra-passe. O comando SYSKEY primeiro apresenta uma caixa de diálogo Mostrar se uma encriptação forte é activada ou desactivada. Depois de activa a capacidade de encriptação forte, não pode ser desactivada. Para activar a autenticação segura da conta de base de dados, seleccione a opção "Activada a encriptação" e clique em OK. É apresentada uma caixa de diálogo de confirmação lembrar o administrador para criar um disco de reparação de emergência actualizado. Uma nova caixa de diálogo aparece opções de apresentação para a chave de base de dados de conta. Utilize as opções disponíveis na caixa de diálogo chave da base de dados de conta para seleccionar a chave do sistema.

Depois de seleccionar a opção de chave do sistema, Windows NT tem de ser reiniciado para que a opção de chave do sistema tenham efeito. Quando o sistema for reiniciado, o administrador poderão ser solicitado System Key, dependendo da opção chave escolhida. Windows NT detecta a primeira utilização da chave do sistema e gera uma nova chave de encriptação palavra-passe aleatória. A chave de encriptação de palavra-passe está protegida com a chave do sistema e, em seguida, todas as informações de palavra-passe da conta é vivamente encriptadas.

O comando SYSKEY necessita de ser executado em cada sistema onde é necessária encriptação forte das informações de palavra-passe da conta. SYSKEY suporta um "-l" comando optar por gerar a chave principal e armazenar a chave localmente no sistema. Esta opção permite a encriptação de palavra-passe segura no registo e permite que o comando seja executado sem uma caixa de diálogo interactiva. O comando SYSKEY pode ser utilizado numa altura posterior para alterar as opções de chave do sistema de um método para outra ou para alterar a chave do sistema para uma nova chave. Alterar a chave do sistema requer conhecimentos de ou posse do, a chave do sistema actual. Se a palavra-passe derivado System Key opção é utilizada, SYSKEY não aplica um comprimento mínimo da palavra-passe, no entanto longo palavras-passe (maior que 12 caracteres) são recomendadas. O comprimento de palavra-passe de chave do sistema máximo é 128 caracteres.

SYSKEY deve ser aplicada a todos os controladores de domínio. Se não for efectuada, o SAM nos controladores de domínio de reserva (BDC, Backup Domain Controller) não será tão seguro como no controlador de domínio primário (PDC, Primary Domain Controller). Assim, o ponto de instalação SYSKEY seria defeated.

PROBLEMAS DE REPARAÇÃO

Introdução de encriptação forte das informações de palavra-passe de conta altera as partes do sistema e SAM, Security Accounts Manager do registo de forma a afecta as opções de reparação disponíveis para a recuperação de um sistema Windows NT. Utilize sempre o comando RDISK com a opção /S para criar uma nova disquete de reparação de emergência incluindo uma cópia de segurança da parte do registo SYSTEM e SAM, Security Accounts Manager na pasta \Repair.

Para opções de recuperação concluída, as disquetes de reparação de emergência seguinte devem estar disponíveis:
  • Antes para instalar a correcção de chave do sistema, crie uma disquete nova reparação. Este disco é um disco de reparação "pré-correcção" que contém uma cópia da configuração do sistema e informações de conta antes da instalação da correcção. O disco de reparação "pré-correcção" pode ser utilizado para recuperar os ficheiros de registo e de sistema utilizando a unidade de CD-ROM de distribuição do Windows NT.
  • Após a instalação da correcção chave do sistema, mas antes de activar a encriptação forte utilizando o comando SYSKEY, crie uma disquete de reparação. Esta disquete de reparação é "hotfix - antes da encriptação". É possível utilizar este disco de reparação para reparar o registo para o estado antes da encriptação forte está activada, por exemplo podem ser utilizado para recuperar um sistema se o Windows NT System Key for perdida ou esquecida.
  • Depois de executar SYSKEY para activar a encriptação forte, crie uma disquete de reparação. Esta disquete de reparação é "hotfix - após a encriptação". Este disco de reparação de emergência e actualizações subsequentes para este disco de reparação podem ser utilizadas para recuperar o registo com encriptação forte através da intacta a chave do sistema em vigor no momento que a disquete de reparação foi actualizada pela última vez.
O suporte de correcção de chave do sistema de encriptação forte afecta os seguintes componentes de sistema:
  • Ramos de registo SYSTEM e SAM, Security Accounts Manager
  • Três ficheiros de componente de segurança de sistema: Winlogon.exe, Samsrv.dll Samlib.dll
Em geral, o processo de reparação tem de utilizar correspondentes versões desses componentes. Qualquer opção de reparação que escolher, o processo de reparação coordenar reparação ramos do registo com os ficheiros correspondentes do sistema.

A tabela seguinte lista as opções de recuperação disponíveis.

Desired System        Repair disk to        Repaired System
Configuration         apply
after Repair
--------------------------------------------------------------------------

Windows NT 4.0,       Use the "Pre-hotfix"  Registry matches system before
prior to hotfix       repair disk           hotfix installed; the three
installation                                system security component
                                            files need to be repaired from
                                            the Windows NT 4.0 compact
                                            disc to match the pre-hotfix
                                            registry format.

Windows NT 4.0 with   Use the "hotfix -     Registry matches the system
hotfix installed,     Before Encryption"    before strong encryption.
but strong            repair disk           System Key is not in effect;
encryption is not                           strong encryption not enabled.
enabled                                     System security files do not
                                            need to be repaired from the
                                            Windows NT 4.0 compact disc.

Windows NT 4.0 with   Use the "hotfix -     Registry matches the system
hotfix installed,     After Encryption"     with strong encryption
and strong            repair disk           enabled; the System Key in
encryption is                               effect is the System Key used
enabled                                     at the time the repair disk
                                            was made.
				


No caso de um administrador necessita de reparar o sistema depois de instalada a correcção de chave do sistema, as SYSTEM SAM, Security Accounts Manager partes e do registo de tem de ser reparado ao mesmo tempo. A opção de chave do sistema na parte do registo SYSTEM tem de corresponder à chave de encriptação forte utilizada para a parte do registo do SAM, Security Accounts Manager. Se um ramo de registo for reparado sem o outro, poderá ser possível para o sistema tentar utilizar uma opção diferente de chave do sistema (derivado de palavra-passe ou máquina gerada) que não coincide com a chave de encriptação forte utilizada para as informações de palavra-passe da conta.

Instalação da correcção System Key actualizará as somas de verificação para o componente de segurança do sistema (Winlogon.exe Samsrv.dll, Samlib.dll) no ficheiro System.log. O ficheiro System.log é guardado no disco de reparação de emergência. O ficheiro System.log é utilizado durante a recuperação para determinar se os ficheiros precisam de ser actualizadas a partir do CD-ROM do Windows NT Server 4.0 para corresponder a configuração de registo de pré-correcção. Se a configuração de sistema de recuperação pretendida for Windows NT Server 4.0 com a correcção de chave do sistema, não será pedido para reparar estes ficheiros de sistema de segurança.

Depois de instalar a correcção de chave do sistema e não tiver activado a encriptação forte, se tentar reparar o sistema de ficheiros utilizando um disco de reparação criado antes de instalar a correcção de chave do sistema (que é, utilizando o disco de reparação "correcção anterior ao") também tem reparar o registo de sistema e SAM, Security Accounts Manager. Se não corrigir o registo, os ficheiros de sistema e o formato de registo não irão corresponder. Obterá um erro (número de erro C00000DF) quando tenta iniciar sessão. Quando os ficheiros de registo e de sistema não coincidirem, é o procedimento de recuperação reparar o sistema de correspondência e ficheiros de registo. Ou reparar o registo hives da mesma "pré-correcção" reparar o disco ou utilize o disco de reparação "hotfix - antes da encriptação", que tem um formato de registo que corresponde aos ficheiros de sistema de correcção de chave do sistema.

Finalmente, se tiver uma situação em que a segurança do sistema de ficheiros (início de sessão, Samsrv.dll, Samlib.dll) está danificado e tem de recuperar o sistema utilizar uma disquete de reparação "Pré-correcção" e reparar ficheiros danificados a partir de um CD-ROM do Windows NT Server 4.0. Também deverá reparar os ramos de registo SYSTEM e SAM, Security Accounts Manager para fazer corresponder os ficheiros de sistema do disco de reparação "Pré-correcção".

Regulamentos de exportação dos Estados Unidos actuais permitem a utilização de chaves de encriptação de 128 bits para ser utilizado para proteger os dados de autenticação, tais como palavras-passe. As chaves de encriptação utilizadas para ' Syskey ' são específicas da protecção de palavras-passe armazenadas no SAM, Security Accounts Manager e a parte de segurança do registo. Não existem nenhuma aplicação API disponível para utilizar a encriptação SYSKEY de 128 bits para protecção de dados com finalidades genéricas.

Propriedades

Artigo: 143475 - Última revisão: 1 de novembro de 2006 - Revisão: 2.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
Palavras-chave: 
kbmt kbenv kbinfo kbnetwork KB143475 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 143475

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com