ID do artigo: 143475 - Última revisão: quarta-feira, 1 de novembro de 2006 - Revisão: 2.1

Chave do sistema Windows NT houver criptografia forte de SAM

Vista lado a ladoClique aqui para exibir o artigo traduzido e o artigo original em inglês, lado a lado.
Tradução automáticaExibir Aviso de Isenção de Tradução Automática
Exibir os produtos aos quais esse artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.
Para um Microsoft Windows 2000, Windows XP e Windows Server 2003 versão deste artigo, consulte 310105  (http://support.microsoft.com/kb/310105/ ) .

Nesta página

Expandir tudo | Recolher tudo

Sumário

A chave do Windows NT Server 4.0 sistema (Syskey.exe) fornece a capacidade de usar técnicas de criptografia de alta segurança para aumentar a proteção de informações de senha de conta armazenadas no registro pelo Gerenciador de contas de segurança (SAM). Windows NT Server armazena informações de conta de usuário, incluindo um derivativo da senha de conta de usuário, em uma parte segura do registro protegido por uma função de obscurecimento e controle de acesso. As informações da conta no Registro só são acessíveis aos membros do grupo Administradores. Windows NT Server, como outros sistemas operacionais, permite que usuários privilegiados que são administradores acesso aos recursos no sistema. Para instalações que deseja aumentar a segurança, criptografia de alta segurança de informações derivativas de senha de conta fornece um nível adicional de segurança para impedir que administradores acessem intencionalmente ou acidentalmente derivados de senha usando interfaces de programação do Registro.

Syskey.exe está incluído com o Service Pack 3 (SP3) e posterior para Windows NT 4.0.

Observação : se você quiser alterar onde a chave SYSKEY é armazenada, use a ferramenta SYSKEY não modifique o registro diretamente. Se você modificar o registro, SYSKEY irá funcionar corretamente mas dar a impressão de que não é.

importante : para obter informações importantes sobre um problema de segurança com a ferramenta Syskey, consulte o artigo seguinte na Base de dados de Conhecimento da Microsoft:
248183  (http://support.microsoft.com/kb/248183/EN-US/ ) Ferramenta Syskey reutiliza Keystream
Voltar para o início

Mais Informações

O recurso de criptografia de alta segurança com o hotfix de chave do sistema Windows NT 4.0 é um recurso opcional. Os administradores podem optar por implementar criptografia de alta segurança, definindo uma chave do sistema para Windows NT. criptografia de alta segurança protege informações de conta particular criptografando os dados de senha usando uma chave de 128 bits criptograficamente aleatória, conhecido como uma chave de criptografia de senha.

Somente as informações de senha particular altamente são criptografadas no banco de dados, não o banco de dados inteiro de conta. Cada sistema usando a opção de criptografia de alta segurança terá uma chave de criptografia de senha exclusiva. A chave de criptografia de senha é próprio criptografado com uma chave do sistema. Criptografia de senha de alta segurança pode ser usada em Windows NT Server e Workstation onde informações de conta são armazenadas. Usando a criptografia forte de senhas de conta adiciona proteção adicional para o conteúdo de parte do Registro SAM e subseqüentes cópias backup das informações do registro na pasta %systemroot%\repair criado usando o comando RDISK e em fitas de backup do sistema.

A chave do sistema é definida usando o comando Syskey.exe. Somente os membros do grupo Administradores podem executar o comando Syskey.exe. O utilitário é usado para inicializar ou alterar a chave do sistema. A chave do sistema é "mestre tecla" usada para proteger a chave de criptografia de senha e, portanto, a proteção da chave do sistema é uma operação de segurança críticos do sistema.

Há três opções para gerenciar a chave do sistema criado para atender às necessidades de diferentes ambientes Windows NT. As opções de chave do sistema são as seguintes:
  • Usar uma chave aleatória gerada pelo computador como a chave do sistema e armazenar a chave no sistema local usando um algoritmo de obscurecimento complexos. Esta opção fornece criptografia segura de informações de senha no registro e permite a reinicialização do sistema autônomo.
  • Use uma chave aleatória gerada pelo computador e armazenar a chave em um disquete. O disquete com a chave do sistema é necessário iniciar o sistema e deve ser inserido quando solicitado após o Windows NT começa a seqüência de inicialização, mas antes que o sistema está disponível para usuários fazer logon. A Chave do sistema não é armazenada em qualquer lugar no sistema local.
  • Use uma senha escolhida pelo administrador para derivar a chave do sistema. Windows NT solicitará a senha da chave do sistema quando o sistema está na seqüência inicial de inicialização, mas antes que o sistema esteja disponível para os usuários fazer logon. A senha da chave do sistema não é armazenada em qualquer lugar no sistema. Um resumo de MD5 da senha é usado como a chave mestra para proteger a chave de criptografia de senha.
As opções de chave do sistema usando uma senha ou exigir um disquete apresentam um novo prompt durante a inicialização do sistema operacional Windows NT. Eles oferecem a opção de proteção mais forte disponível como material de chave mestre não é armazenado no sistema e o controle da chave pode ser restrito a algumas pessoas. Por outro lado, Conhecimento da senha de chave do sistema ou posse do disco de chave do sistema é necessário para inicializar o sistema. (Se a chave do sistema for salvo em um disquete, cópias de backup de disco chave do sistema são recomendadas.) Reinicialização do sistema autônomo pode exigir que o material de chave do sistema estejam disponíveis para o sistema sem resposta do administrador. Armazenar a chave do sistema no sistema local usando um algoritmo de obscurecimento complexos torna a chave disponível somente para componentes de segurança do sistema operacional principal. No futuro, será possível configurar a chave do sistema para obter o material da chave de violação componentes de hardware prova para segurança máxima.

Aviso: Se a senha da chave do sistema é esquecida ou o disquete de chave do sistema é perdido, talvez não seja possível iniciar o sistema. Proteger e armazenar as informações de chave do sistema com segurança com cópias de backup no caso de emergência. A única maneira de recuperar o sistema se a chave do sistema for perdida está usando um disco de reparo para restaurar o registro para um estado anterior para ativar a criptografia de alta segurança. Consulte a seção de reparar problemas abaixo.

Criptografia de alta segurança pode ser configurada independentemente a primária e cada ISP (controladores de domínio de backup). Cada controlador de domínio terá uma chave de criptografia de senha exclusiva e uma chave exclusiva de sistema. Por exemplo, controlador de domínio primário pode ser configurado para usar uma chave do sistema gerado armazenado em um disco de máquina e controladores de domínio de backup pode cada uso que uma máquina diferente gerado chave do sistema armazenadas no sistema local. Uma máquina de chave do sistema gerado armazenado localmente em um controlador de domínio primário não é replicada.

Antes de ativar a criptografia de alta segurança para controladores de domínio primário, convém garantir que um controlador de domínio atualizado backup completo está disponível para uso como um sistema de backup de até alterações para o domínio primário completo e verificado. Antes de habilitar criptografia de alta segurança em qualquer sistema, Microsoft recomenda fazer uma cópia nova do que o disco de reparação de emergência, incluindo as informações de segurança no registro, usando o comando RDISK /S. Consulte o seguinte artigo na Base de dados de Conhecimento da Microsoft antes de usar RDISK/s:
Identificação do artigo: 122857  (http://support.microsoft.com/kb/122857/EN-US/ )
TITLE: RDISK /S RDISK /S-opções e no Windows NT

O comando SYSKEY é usado para selecionar a opção de chave do sistema e gerar o valor da chave inicial. O valor da chave pode ser uma chave de máquina gerada ou uma chave derivada de senha. O comando SYSKEY primeiro exibe uma caixa de diálogo mostrando se criptografia de alta segurança está habilitada ou desabilitada. Depois que o recurso de criptografia de alta segurança for habilitado, ele não pode ser desativado. Para ativar a autenticação forte do banco de dados conta, selecione a opção "Criptografia ativada" e clique em OK. Uma caixa de diálogo confirmação aparece lembrando o administrador para criar um disco de reparação de emergência atualizado. Uma nova caixa de diálogo aparece opções de apresentação para a chave de conta do banco de dados. Use as opções disponíveis na caixa de diálogo chave do banco de dados de conta para selecionar a chave do sistema.

Depois de selecionar a opção de chave do sistema, Windows NT deve ser reiniciado para que a opção chave do sistema entrem em vigor. Quando o sistema for reiniciado, o administrador pode ser solicitado a inserir a chave do sistema, dependendo da opção chave escolhida. O Windows NT detecta o primeiro uso da chave do sistema e gera uma nova chave de criptografia de senha aleatória. A chave de criptografia de senha é protegida com a chave do sistema e, em seguida, todas as informações de senha de conta altamente são criptografadas.

O comando SYSKEY precisa ser executado em cada sistema em que a criptografia de alta segurança das informações de senha da conta é necessária. Oferece suporte a SYSKEY um "-l" comando opção para gerar a chave mestra e armazenar a chave localmente no sistema. Esta opção permite a criptografia de senha de alta segurança no registro e permite que o comando a ser executado sem um diálogo interativo. O comando SYSKEY pode ser usado em um momento posterior para alterar as opções de chave do sistema de um método para outro ou para alterar a chave do sistema para uma nova chave. Alterar a chave do sistema requer conhecimento dos ou posse de, a chave do sistema atual. Se a senha derivada chave do sistema opção é usada, SYSKEY não impõe um comprimento mínimo da senha, no entanto longo senhas (maiores que 12 caracteres) são recomendadas. O comprimento máximo de senha de chave do sistema é 128 caracteres.

SYSKEY deve ser aplicado a todos os controladores de domínio. Se isso não for feito, o SAM nos controladores de domínio de backup (BDCs) não será tão seguro quanto que no controlador de domínio primário (PDC). Portanto, o ponto de instalação do SYSKEY seria derrotado.
Voltar para o início

PROBLEMAS DE REPARO

Introdução de criptografia de alta segurança das informações de senha de conta altera as partes do sistema e SAM do registro de maneiras que afetam as opções de reparo disponíveis para recuperação de um sistema Windows NT. Sempre use o comando RDISK com a opção /S para criar um novo disco de reparação de emergência incluindo uma cópia backup da parte SAM e SYSTEM do registro na pasta \Repair.

Para opções de recuperação completa, os seguintes discos reparar emergência devem estar disponíveis:
  • Antes de instalar o hotfix chave do sistema, crie um disco de reparação nova. Esse disco é um disco de reparo "pré-hotfix" que contém uma cópia da configuração do sistema e informações de conta antes da instalação do hotfix. O disco de reparação "pré-hotfix" pode ser usado para recuperar os arquivos de registro e sistema usando a distribuição do Windows NT CD-ROM.
  • Após a instalação do hotfix chave do sistema, mas antes de habilitar a criptografia forte usando o comando SYSKEY, crie um disco de reparo. Este disco de reparo é "hotfix - antes criptografia". Este disco de reparação pode ser usado para reparar o registro para o estado antes de criptografia de alta segurança está habilitada, por exemplo pode ser usado para recuperar um sistema se a chave do sistema Windows NT é perdida ou esquecida.
  • Depois executando o SYSKEY para permitir criptografia de alta segurança, crie um disco de reparação. Este disco de reparo é "hotfix - após criptografia". Este disco de reparação e atualizações subseqüentes para este disco de reparação, podem ser usadas para recuperar o registro com criptografia forte intacta usando a chave do sistema em vigor no momento que o disco de reparação foi atualizado pela última vez.
O suporte de hotfix de chave do sistema para criptografia de alta segurança afeta os seguintes componentes de sistema:
  • Seções do Registro SYSTEM e SAM
  • Três arquivos de componente de segurança do sistema: Winlogon.exe, Samsrv.dll, Samlib.dll
Em geral, o processo de reparação precisa usar correspondentes versões desses componentes. Qualquer opção de reparação escolhido, o processo de reparação coordenará reparo das seções do registro com os arquivos correspondentes do sistema.

A tabela a seguir lista as opções de recuperação disponíveis. 

Desired System        Repair disk to        Repaired System
Configuration         apply
after Repair
--------------------------------------------------------------------------

Windows NT 4.0,       Use the "Pre-hotfix"  Registry matches system before
prior to hotfix       repair disk           hotfix installed; the three
installation                                system security component
                                            files need to be repaired from
                                            the Windows NT 4.0 compact
                                            disc to match the pre-hotfix
                                            registry format.

Windows NT 4.0 with   Use the "hotfix -     Registry matches the system
hotfix installed,     Before Encryption"    before strong encryption.
but strong            repair disk           System Key is not in effect;
encryption is not                           strong encryption not enabled.
enabled                                     System security files do not
                                            need to be repaired from the
                                            Windows NT 4.0 compact disc.

Windows NT 4.0 with   Use the "hotfix -     Registry matches the system
hotfix installed,     After Encryption"     with strong encryption
and strong            repair disk           enabled; the System Key in
encryption is                               effect is the System Key used
enabled                                     at the time the repair disk
                                            was made.


No caso de um administrador precise reparar o sistema após o hotfix de chave do sistema é instalado, o sistema e o SAM partes do Registro precise ser reparado ao mesmo tempo. A opção de chave do sistema na parte do Registro SYSTEM deve coincidir com a chave de criptografia de alta segurança usada para a parte do SAM do Registro. Se uma seção do registro for reparada sem o outro, talvez seja possível para o sistema tentar usar uma opção diferente de chave do sistema (derivado de senha ou máquina gerado) que não coincide com a chave de criptografia de alta segurança usada para as informações de senha de conta.

Instalação do hotfix chave do sistema atualizará as somas de verificação do componente de segurança do sistema (Winlogon.exe, Samsrv.dll, Samlib.dll) no arquivo System.log. O arquivo System.log é salvo no disco de reparação de emergência. O arquivo System.log é usado durante a recuperação para determinar se os arquivos precisam ser atualizados a partir do CD do Windows NT Server 4.0 para coincidir com a configuração de registro pré-hotfix. Se a configuração do sistema recuperação desejada for Windows NT Server 4.0 com o hotfix de chave do sistema, não será solicitado para reparar esses arquivos de sistema de segurança.

Depois de instalar o hotfix de chave do sistema e você não ativou a criptografia de alta segurança, se você tentar reparar o sistema de arquivos usando um disco de reparação criado antes de instalar o hotfix de chave do sistema (que é, usando o disco de reparo "hotfix pré") também é deve reparar o registro de sistema e SAM. Se você não reparar o registro, a arquivos de sistema e formato do Registro não serão correspondentes. Você obterá um erro (erro número C00000DF) quando você tenta fazer logon. Quando os arquivos do Registro e sistema são incompatíveis, o procedimento de recuperação é reparar o sistema de correspondência e arquivos do Registro. Reparar o registro seções a partir do mesmo "pré-hotfix" reparar o disco ou use o disco de reparação "hotfix - antes criptografia", que tem um formato de registro que coincide com os arquivos de sistema de hotfix de chave do sistema.

Finalmente, se você tiver uma situação onde a segurança do sistema de arquivos (Winlogon, Samsrv.dll, Samlib.dll) estão corrompidos, você deve recuperar o sistema usando um disco de reparo "Pré-hotfix" e reparar arquivos corrompidos de um CD-ROM do Windows NT Server 4.0. Também é necessário reparar as seções do Registro SYSTEM e SAM para coincidir com os arquivos de sistema do disco de reparo "Pré-hotfix".

Regulamentos de exportação dos Estados Unidos atuais permitem o uso das chaves de criptografia de 128 bits para ser usado para proteger dados de autenticação, como senhas. As chaves de criptografia usadas para Syskey são específicas para a proteção de senhas armazenadas no SAM e a parte de segurança do Registro. Não há nenhum aplicativo APIs disponíveis para usar criptografia Syskey de 128 bits para proteção de dados de finalidade geral.
Voltar para o início
A informação contida neste artigo aplica-se a:
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
Voltar para o início
Palavras-chave: 
kbmt kbenv kbinfo kbnetwork KB143475 KbMtpt
Voltar para o início
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 143475  (http://support.microsoft.com/kb/143475/en-us/ )
Voltar para o início