Надежное шифрование базы данных диспетчера учетных записей безопасности (SAM) с использованием системного ключа Windows NT

Переводы статьи Переводы статьи
Код статьи: 143475 - Vizualiza?i produsele pentru care se aplic? acest articol.
Версия данной статьи для Windows 2000, Windows XP и Windows Server 2003: 310105.
Развернуть все | Свернуть все

В этой статье

Аннотация

Системный ключ операционной системы Windows NT Server 4.0 (Syskey.exe) позволяет использовать механизмы надежного шифрования для защиты данных о паролях учетных записей, сохраняемых в системном реестре диспетчером учетных записей безопасности (Security Account Manager, SAM). Операционная система Windows NT Server хранит данные учетных записей (включая сведения, относящиеся к паролям учетных записей) в закрытой части системного реестра, защищенной с помощью шифрования кода и таблицы управления доступом. Эти данные доступны только членам группы администраторов. Операционная система Windows NT Server дает пользователям, имеющим права администратора, доступ ко всем ресурсам системы. При наличии повышенных требований к безопасности надежное шифрование сведений о паролях учетных записей обеспечивает дополнительный уровень защищенности, предотвращая случайный или намеренный доступ членов группы администраторов к этим данным с помощью программных интерфейсов реестра.

Программа Syskey.exe содержится в пакете обновления 3 (SP3) для Windows NT 4.0 и более поздних версиях.

Примечание. Если требуется изменить расположение раздела SYSKEY, используйте программу SYSKEY. Не вносите изменения в реестр вручную. В противном случае возможно появление сообщений об ошибках.

Внимание! За информацией о вопросах безопасности при использовании программы Syskey обратитесь к следующей статье Microsoft Knowledge Base:
248183 Syskey Tool Reuses Keystream

Дополнительная информация

При использовании системного ключа для Windows NT 4.0 применение механизма надежного шифрования не является обязательным. Использование надежного шифрования включается администратором с помощью определения системного ключа для Windows NT. Надежное шифрование защищает данные учетных записей, используя случайный 128-разрядный ключ, называемый ключом шифрования паролем.

С помощью надежного шифрования защищаются только сведения о паролях, а не вся база данных учетных записей. Все системы, использующие надежное шифрование, имеют уникальные ключи шифрования паролем. Ключ шифрования паролем в свою очередь шифруется с помощью системного ключа. Надежное шифрование может использоваться на компьютерах под управлением Windows NT Server и Workstation, на которых хрянятся учетные записи. Надежное шифрование паролей учетных записей увеличивает защищенность раздела системного реестра, хранящего данные диспетчера учетных записей безопасности (SAM), а также резервных копий данных реестра, сохраняющихся в папке %systemroot%\repair при запуске команды RDISK и на лентах с архивами данных системы.

Для создания и изменения системного ключа используется программа Syskey.exe. Ее запуск разрешен только членам группы администраторов. Поскольку системный ключ используется для защиты ключа шифрования паролем, он также нуждается в защите.

Существуют три способа создания и хранения системного ключа, которые перечислены ниже.
  • Использование в качестве системного ключа случайного значения, сформированного компьютером, и хранение ключа на локальном компьютере с применением алгоритма шифрования кода. Данный способ обеспечивает надежное шифрование сведений о паролях в системном реестре и позволяет выполнять загрузку операционной системы без вмешательства пользователя.
  • Использование в качестве системного ключа случайного значения, сформированного компьютером, и хранение ключа на дискете. Данная дискета необходима для загрузки Windows NT и в процессе загрузки должна быть помещена в дисковод, когда этого потребует операционная система. На локальном компьютере копия системного ключа не сохраняется.
  • Создание системного ключа на основе заданного администратором пароля. Когда начнется загрузка операционной системы, Windows NT запросит пароль системного ключа, который необходимо указать для продолжения загрузки. На локальном компьютере пароль системного ключа не сохраняется. Для защиты ключа шифрования паролем используется цифровая подпись MD5 пароля системного ключа.
Создание системного ключа с помощью способов 2 и 3 приводит к появлению дополнительного запроса при загрузке операционной системы. Использование этих способов увеличивает защищенность, позволяя не хранить основной ключ на локальном компьютере и ограничить доступ к ключу. Однако для загрузки операционной системы необходимо иметь дискету с системным ключом или знать пароль системного ключа. При хранении системного ключа на дискете рекомендуется сделать резервную копию этой дискеты. Для автоматической загрузки системы необходимо, чтобы доступ к системному ключу был возможен без вмешательства администратора. Системный ключ, при сохранении которого на локальном компьютере использовался алгоритм шифрование кода, доступен только компонентам системы безопасности ядра операционной системы. В целях увеличения защищенности в дальнейшем можно будет настроить системный ключ на получение данных от оборудования с повышенным уровнем безопасности.

Внимание! Если пароль системного ключа или дискета с системным ключом будут утеряны, загрузка операционной системы будет невозможна. Поэтому необходимо сделать резервные копии системного ключа и хранить его в надежном месте. В случае утери системного ключа единственным способом восстановления работоспособности системы является использование диска аварийного восстановления для восстановления состояния реестра, предшествовавшего включению надежного шифрования. Обратитесь к разделу «Восстановление» данной статьи.

Надежное шифрование может настраиваться на основном контроллере домена и на каждом из резервных контроллеров домена независимо друг от друга. При этом у каждого контроллера домена будет уникальный ключ шифрования паролем и уникальный системный ключ. Например, основной контроллер домена может использовать системный ключ, хранящийся на дискете, а резервные контроллеры домена — ключи, хранящиеся на локальном компьютере. Созданный компьютером системный ключ, хранящийся на основном контроллере домена, не реплицируется на другие компьютеры.

Перед включением надежного шифрования на основном контроллере домена рекомендуется убедиться, что резервный контроллер домена работоспособен и может использоваться, пока на основном контроллере домена выполняются изменения и проверяется его работоспособность после внесения изменений. Корпорация Microsoft рекомендует перед включением надежного шифрования создать диск аварийного восстановления, используя команду RDISK /S. Предварительно обратитесь к следующей статье Microsoft Knowledge Base:
КОД: 122857
Название: RDISK /S and RDISK /S- Options in Windows NT

Команда SYSKEY используется для создания системного ключа и для выбора режима работы с ним. Ключ создается случайным образом или на основе введенного пароля. После запуска программы SYSKEY отображается информация о том, включено ли надежное шифрование. После включения надежного шифрования его уже не возможно отключить. Чтобы включить надежное шифрование базы данных учетных записей, выберите вариант «Шифрование включено» и нажмите кнопку OK. После этого предлагается подтвердить выбор и появляется напоминание о необходимости создания диска аварийного восстановления. В следующем окне требуется указать режим использования системного ключа. В диалоговом окне ключа базы данных учетных записей выберите нужный режим.

Чтобы изменения вступили в силу, необходимо перезагрузить Windows NT. После перезагрузки может появиться предложение указать пароль системного ключа или вставить дискету с системным ключом. При первом использовании системного ключа операционная система создает случайный ключ шифрования паролем. Для защиты данного ключа используется системный ключ, а для защиты паролей — надежное шифрование.

Программа SYSKEY должна быть запущена на каждом компьютере, требующем надежного шифрования сведений о паролях. При запуске программы может быть указан параметр «-l», позволяющий создать основной ключ и сохранить его на локальном компьютере. Использование этого параметра включает надежное шифрование и позволяет программе SYSKEY выполняться без вмешательства пользователя. С помощью команды SYSKEY можно также изменять режим использования системного ключа и менять сам ключ. Для изменения системного ключа необходим текущий системный ключ или пароль текущего системного ключа. Хотя при использовании системного ключа, создаваемого на основе введенного администратором пароля, программа SYSKEY не накладывает ограничения на минимальную длину пароля, рекомендуется использоваться пароли длиной не менее 12 символов. Максимальная длина пароля системного ключа составляет 128 символов.

Рекомендуется использовать SYSKEY на всех контроллерах домена. В противном случае база SAM на одном контроллере будет менее защищенной, чем на другом, что сделает бессмысленным использование надежного шифрования.

Восстановление

Включение надежного шифрования изменяет разделы реестра SYSTEM и SAM, что влияет на процесс восстановления работоспособности Windows NT. При создании диска аварийного восстановления всегда запускайте программу RDISK с параметром /S, чтобы резервные копии разделов реестра SYSTEM и SAM сохранялись в папке \Repair.

Создание следующих дисков аварийного восстановления позволит выполнять полное восстановление работоспособности.
  • Создайте первый диск аварийного восстановления перед установкой исправления, позволяющего использовать системный ключ. Данный диск будет содержать копию настроек системы и данных учетных записей до установки исправления и позволит выполнять восстановление реестра и системных файлов с помощью установочного компакт-диска Windows NT.
  • Создайте второй диск аварийного восстановления после установки исправления, позволяющего использовать системный ключ, но до включения надежного шифрования. Данный диск позволит восстанавливать состояние реестра, предшествовавшее включению надежного шифрования. Это может потребоваться, например, при утере системного ключа или пароля системного ключа.
  • Создайте третий диск аварийного восстановления после включения надежного шифрования. Данный диск позволит восстанавливать состояние реестра (с включенным надежным шифрованием) на момент последнего обновления этого диска.
Установка исправления, позволяющего использовать системный ключ, затрагивает следующие компоненты операционной системы.
  • Ветви системного реестра SYSTEM и SAM.
  • Три следующих системных файла: Winlogon.exe, Samsrv.dll, Samlib.dll.
В процессе восстановления должны использоваться соответствующие версии этих компонентов. Вне зависимости от выбранного режима восстановления процесс восстановления будет согласовывать восстановление ветвей реестра с версиями этих файлов.

В следующей таблице описаны возможные режимы восстановления.

Требуемая конфигурация      Используемый диск           Результат восстановления
системы после               аварийного восстановления
восстановления
--------------------------------------------------------------------------

Windows NT 4.0,             Первый диск                 Состояние реестра соответствует состоянию
до установки                аварийного                  до установки исправления. Три упомянутых выше
исправления                 восстановления              системных файла должны быть
                                                        восстановлены с компакт-диска
                                                        Windows NT 4.0, чтобы соответствовать
                                                        формату реестра до установки
                                                        обновления.

Windows NT 4.0 с            Второй диск                 Состояние реестра соответствует состоянию
установленным               аварийного                  до включения надежного шифрования. 
исправлением и              восстановления              Системный ключ не используется.
отключенным                                             Надежное шифрование отключено.
надежным шифрованием                                    Необходимости в замене
                                                        упомянутых выше 
                                                        системных файлов нет.
    
Windows NT 4.0 с           Третий диск                  Состояние реестра соответствует состоянию
установленным              аварийного                   после включения надежного шифрования. 
обновлением и              восстановления               Используется системный ключ,
включенным надежным                                     использовавшийся при создании
шифрованием                                             этого диска аварийного
                                                        восстановления.
				


При необходимости выполнить аварийное восстановление после установки исправления, позволяющего использовать системный ключ, следует также восстанавливать разделы реестра SYSTEM и SAM. Параметры системного ключа в разделе SYSTEM должны соответствовать ключу надежного шифрования, использовавшемуся для раздела реестра SAM. Если один из этих разделов реестра восстановлен, а второй — нет, это может привести к использованию системного ключа, не соответствующего ключу надежного шифрования данных учетных записей.

При установке вышеупомянутого исправления в файле System.log будут изменены значения контрольных сумм для файлов Winlogon.exe, Samsrv.dll, Samlib.dll. Файл System.log сохраняется на диске аварийного восстановления. Данный файл используется при восстановлении работоспособности для определения того, надо ли заменять вышеперечисленные файлы файлами с компакт-диска Windows NT Server 4.0, чтобы их версия соответствовала настройкам системного реестра. Если требуемая конфигурация системы после восстановления должна содержать исправление, позволяющее использовать системный ключ, эти файлы заменяться не будут.

Если исправление было установлено, но надежное шифрование включено не было, то при восстановлении с использованием первого (из вышеперечисленных) диска аварийного восстановления, необходимо также восстанавливать разделы реестра SYSTEM и SAM. В противном случае формат, используемый в реестре, будет отличаться от формата, используемого в системных файлах. Это приведет к появлению ошибки при попытке входа в систему (ошибка номер C00000DF). Если форматы, используемые реестром и системными файлами, не соответствуют друг другу, необходимо восстановить соответствие. Для этого необходимо восстановить разделы реестра с первого диска аварийного восстановления или восстановить системные файлы со второго диска.

Если файлы Winlogon, Samsrv.dll или Samlib.dll повреждены, необходимо провести восстановление с помощью первого диска аварийного восстановления и восстановить поврежденные файлы с компакт-диска Windows NT Server 4.0. Далее необходимо восстановить с того же диска аварийного восстановления разделы реестра SYSTEM и SAM, чтобы они соответствовали восстанавливаемым системных файлам.

Действующее законодательство США разрешает защиту паролей с использованием 128-разрядных ключей шифрования. Ключи шифрования, используемые программой Syskey, предназначены для защиты паролей, хранящихся в разделах реестра SAM и Security. Существующие интерфейсы API не позволяют использовать данное 128-разрядное шифрование в других целях.

Свойства

Код статьи: 143475 - Последний отзыв: 16 февраля 2004 г. - Revision: 2.0
Информация в данной статье применима к:
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
Ключевые слова: 
kbinfo kbenv kbnetwork KB143475

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com