Kľúč systému Windows NT umožňuje silné šifrovanie Sam

Preklady článku Preklady článku
ID článku: 143475 - Zobraziť produkty, ktorých sa tento článok týka.
Microsoft Windows 2000, Windows XP a Windows Server 2003 verziu tohto článku, nájdete 310105.
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

SUHRN

Windows NT Server 4.0 systému kľúč (Syskey.exe) poskytuje schopnosť použiť silné šifrovanie techník na zvýšenie ochrany heslo konta informácie uložené v databáze registry zabezpečenia konta správcu (SAM). Windows NT Server uchováva informácie o konte používateľa vrátane derivát o heslo používateľského konta v bezpečné časť databázy Registry chránené riadenie prístupu a obfuscation funkciu. Konto informácie v databáze Registry prístupná iba pre členov Skupiny Administrators. Windows NT Server, rovnako ako iné operačné systémy, umožňuje privilegovaných užívateľov, ktorí sú správcovia prístup ku všetkým zdrojom v systém. Pre zariadenia, ktorý má vylepšené zabezpečenie, silné šifrovanie derivátových informácie o hesle konta poskytuje dodatočnú úroveň zabezpečenia na zabránenie správcov úmyselne alebo neúmyselne prístupe heslo deriváty pomocou databázy Registry programovacích rozhraní.

Syskey.exe je súčasťou Service Pack 3 (SP3) a neskôr pre systém Windows NT 4.0.

POZNÁMKA: Ak chcete zmeniť, kde SYSKEY kľúč uložený, použitie nástroja SYSKEY neupravujte databázy registry priamo. Ak databázu registry upravíte, SYSKEY bude fungovať správne, ale vytvárať dojem, že to nie je.

DÔLEŽITÉ: Ďalšie dôležité informácie o problém v zabezpečení pomocou nástroja Syskey, pozri článok v databáze Microsoft Knowledge Base:
248183 Syskey nástroj opätovné Keystream

DALSIE INFORMACIE

Silné šifrovanie spôsobilosť s rýchlu opravu systému Windows NT 4.0 systému kľúč je voliteľnou funkciou. Správcovia môžu rozhodnúť vykonávať silné šifrovanie definovaním systém kľúč pre silné šifrovanie systému Windows NT. chráni súkromný účet informácie zašifrovaním údajov heslo pomocou 128-bitové kryptograficky náhodný kľúč, známy ako heslo šifrovacieho kľúča.

Len súkromné heslo informácie sú silne šifrované v databázu nie celého konta databázy. Každý systém pomocou silné šifrovanie možnosť bude mať jedinečné heslo šifrovacieho kľúča. Heslo šifrovací kľúč je samotný zašifrované pomocou systému kľúča. Zložité heslo šifrovanie možno používať na Windows NT Server a Workstation kde informácie o účte je uložený. Pomocou silné šifrovanie účtu heslá pridáva dodatočnú ochranu pre obsah SAM časť databázy registry a následné záložné kópie databázy registry informácií v adresári % systemroot%\Repair vytvorené pomocou príkazu RDISK a na zálohovanie pások systému.

Systém kľúč je definovaný pomocou príkazu Syskey.exe. Len členovia skupiny Administrators môžete spustiť príkaz Syskey.exe. Tento nástroj je používaných na inicializáciu alebo zmeniť systém kľúč. Systém kľúč je "master kľúčové"používa na ochranu hesla šifrovacieho kľúča, a preto ochrana Systém kľúča je kritické systémové zabezpečovacia operácia.

Existujú tri možnosti pre riadenie systému kľúč tak, aby spĺňali potrebám rôznych životných prostredí systému Windows NT. Systém kľúč možnosti sú po:
  • Použite stroj-generované náhodný kľúč ako systém kľúč a uloženie kľúča na lokálnom systéme pomocou algoritmu komplexné obfuscation. Táto možnosť poskytuje silné šifrovanie informácie o hesle v databáze registry a umožňuje neobsluhované systém reštartovať.
  • Použite generovaný stroj náhodný kľúč a uložiť kľúč na disketu. Disketa s kľúčom systému je potrebné pre spustenie systému a sa musia vložiť pri zobrazení výzvy po Windows NT začína štarte sekvencie, ale pred systému je k dispozícii pre používateľov prihlásenie. V Systém kľúč sa neuloží kdekoľvek na lokálnom systéme.
  • Použite heslo vyberie administrátor na odvodenie systému kľúč. Windows NT vyzve na systém kľúčom hesla, ak je systém v úvodnom spúšťaní poradí, ale pred systému je k dispozícii pre užívatelia prihlásenie. Heslo systému kľúč nie je uložený kdekoľvek na systém. MD5 výťah z heslo sa používa ako hlavný kľúč na chrániť heslom šifrovacieho kľúča.
Systém Key options použitím buď hesla alebo vyžadujúce diskety zaviesť nové výzvy počas inicializácie systému Windows NT operačný systém. Ponúkajú najsilnejšiu ochranu možnosť k dispozícii pretože materiál hlavného kľúča nie je uložený na systéme a kontroly kľúč môže byť obmedzené na niekoľko málo jedincov. Na druhej strane, znalosti Systém kľúčom hesla alebo držby tla?idlo systém disk je potrebné na zavedenie systému. (Ak systém kľúč je uložiť na disketu, záložné kópie systému kľúč disku sa odporúča.) Neobsluhované systém Reštartovanie môže požadovať, aby systém kľúča sú k dispozícii systému bez správca odpovede. Ukladanie systém kľúč na lokálnom systéme pomocou algoritmu komplexné obfuscation robí kľúč k dispozícii len pre základné súčasti zabezpečenia operačného systému. V budúcnosti bude možné Ak chcete nakonfigurovať systém kľúč získať kľúč od falšovaniu hardvérové súčasti pre maximálnu bezpečnosť.

Upozornenie: Ak systém kľúč heslo zabudli alebo disketa systému kľúč disk je stratené, nie je možné spustiť systém. Chrániť a ukladať informácie o systéme kľúča bezpečne s záložné kópie v prípade núdze. Jediným spôsobom, ako obnoviť systém, ak je systém kľúč stratená je pomocou opravy diskety na obnovenie databázy registry do stavu pred umožnenie silné šifrovanie. Nájdete v časti oprava otázky nižšie.

Silné šifrovanie môže byť nakonfigurované nezávisle pre primárne a každý Záložné radiče domény (DCs). Každého radiča domény bude mať jedinečnú kľúč šifrovania hesla a jedinečný systém kľúč. Napríklad, primárna DC môže byť konfigurovaný na používanie stroj vygenerovaným kľúčom systému uložené na disk a zálohovanie DCs môže každé použitie rôznych stroj generované systém kľúč uložené na lokálnom systéme. Stroj generované systém kľúč uložený lokálne na primárneho radiča domény nie replikovať.

Pred zapnutím silné šifrovanie pre primárne radiče domény, môžete chcete zabezpečiť úplné aktualizované zálohovanie je radič domény k dispozícii použiť ako záložný systém, kým zmeny primárnej doméne sú úplné a overené. Pred zapnutím silné šifrovanie na akýkoľvek systém, Microsoft odporúča zodpovedajúco čerstvé kopírovať disketu núdzovej opravy, vrátane bezpečnostné informácie v databáze registry použitím príkazu RDISK /S. prosím pozri článok v databáze Microsoft Knowledge Base pred na pomocou RDISK/S:
ID ČLÁNKU: 122857
Názov: RDISK /S RDISK /S-možnosti a v systéme Windows NT

SYSKEY príkaz sa používa na voľbu systému kľúč a generovať Počiatočná hodnota kľúča. Hodnotu kľúča môže byť buď stroj generované kľúčom alebo heslo odvodených kľúč. Príkaz SYSKEY najprv zobrazí dialógové okno zobrazené či silné šifrovanie zapnuté alebo vypnuté. Po silných je povolené šifrovanie spôsobilosť, nemôže byť vypnutá. Umožniť silné Overenie účtu databázy, vyberte možnosť „šifrovanie Povolené", a kliknite na tlačidlo OK. Ukáže sa dialógové okno potvrdiť reminding Správca vykonať aktualizovaný záchranná oprava disku. Nové dialógové okno zobrazí sa, predstavujú možnosti pre kľúč databázy kont. Použite možnosti k dispozícii na kľúč databázy kont dialógové okno na výber systému kľúč.

Po výbere možnosti systému kľúč, musíte reštartovať systém Windows NT Systém kľúč možnosť nadobudne účinnosť. Keď sa systém reštartuje, Správca môže vyzvaní na zadanie kľúča systému, v závislosti na možnosť kľúč zvolený. Windows NT zistí prvé použitie kľúča systému a vytvorí nový kľúč šifrovania náhodné heslo. Šifrovanie hesiel kľúč je chránený systémom kľúč a potom všetky heslo konta informácie sú silne šifrované.

Príkaz SYSKEY potrebuje spustiť na každý systém, ak silné šifrovanie informácie o hesle konta je vyžadované. SYSKEY podporuje "-l" príkaz možnosť generovať hlavného kľúča a uložiť lokálne na kľúč systém. Táto voľba zapína silné heslo šifrovanie databázy registry a umožňuje aj príkaz na spustenie bez interaktívnym dialógovým oknom. SYSKEY príkaz možno použiť neskôr zmeniť možnosti systému kľúč od jedna metóda na iný alebo zmeniť kľúč systému na nový kľúč. Meniace sa Kľúč systému vyžaduje znalosť alebo vlastnenie súčasného systému Kľúč. Ak heslo odvodené systém kľúč možnosť sa používa, nie je SYSKEY presadzovať minimálnu dĺžku hesla, avšak dlho heslá (väčšia ako 12 odporúča sa znakov). Maximálna dĺžka hesla systému kľúč je 128 znaky.

SYSKEY by mali uplatňovať na všetky radiče domény. Ak sa tak nestalo, SAM na záložné radiče domény (BDC) nebude rovnako bezpečný ako že na primárny radič domény (PDC). Teda bod inštalácia SYSKEY by porazil.

OPRAVA PROBLÉMOV

Zavedenie silného šifrovacieho informácie zmenu hesla konta SYSTÉM a SAM časti databázy registry spôsobmi, ktoré majú vplyv na opravu Možnosti dostupné pre obnovenie systému Windows NT. Vždy používajte RDISK príkaz s prepínač vytvoriť nové disketu núdzovej opravy vrátane záložnú kópiu systému a SAM časť databázy registry v \Repair priečinok.

Možnosti úplného uzdravenia, by sa tieto núdzovej opravy disky byť k dispozícii:
  • Pred k inštalácii rýchlej opravy systému kľúč, vytvoriť disketu čerstvé opravy. Tento disk sa "nesplatené rýchla oprava" opravu disku, ktorý obsahuje kópiu systém konfigurácia a úvahy informácií pred inštaláciou Rýchla oprava. Disketu „nesplatené rýchla oprava"opravy môže použiť na obnovenie Registry a systémových súborov pomocou systému Windows NT distribúcie CDROM.
  • Po inštalácii rýchlej opravy systému kľúč, ale pred zapnutím silné šifrovanie pomocou príkazu SYSKEY vytvoriť disketu opravy. Táto oprava disk je „"rýchla oprava - pred šifrovanie". Tento opravy disk môžete použiť na opravu registra štátu pred silné šifrovanie zapnuté, napríklad môže sa použiť na obnovenie systému, ak systém Windows NT Kľúč je stratené alebo zabudnuté.
  • Po spustení SYSKEY umožniť silné šifrovanie, vytvorte disketu opravy. Táto oprava disk je „"rýchla oprava - po šifrovanie". Táto oprava disku, a následných aktualizácií na tento disk opravy môžete použiť na obnovenie register s silné šifrovanie neporušené, pomocou systému kľúča v platnosti v tom čase bol naposledy aktualizovaný na opravu disku.
Rýchla oprava podporu systému kľúč pre silné šifrovanie ovplyvňuje takto komponenty systému:
  • Podregistre databázy registry systému a SAM
  • Tri systém zabezpečenia čiastkové súbory: Winlogon.exe, Samsrv.dll, Samlib.dll
Vo všeobecnosti procesu opravy sa musia použiť zodpovedajúce verzie týchto súčasti. Akejkoľvek opravy možnosť vyberiete, proces opravy bude koordinovať opravy podregistre s rovnocennými systémové súbory.

Nasledovná tabuľka zobrazuje dostupné možnosti obnovenia.

Desired System        Repair disk to        Repaired System
Configuration         apply
after Repair
--------------------------------------------------------------------------

Windows NT 4.0,       Use the "Pre-hotfix"  Registry matches system before
prior to hotfix       repair disk           hotfix installed; the three
installation                                system security component
                                            files need to be repaired from
                                            the Windows NT 4.0 compact
                                            disc to match the pre-hotfix
                                            registry format.

Windows NT 4.0 with   Use the "hotfix -     Registry matches the system
hotfix installed,     Before Encryption"    before strong encryption.
but strong            repair disk           System Key is not in effect;
encryption is not                           strong encryption not enabled.
enabled                                     System security files do not
                                            need to be repaired from the
                                            Windows NT 4.0 compact disc.

Windows NT 4.0 with   Use the "hotfix -     Registry matches the system
hotfix installed,     After Encryption"     with strong encryption
and strong            repair disk           enabled; the System Key in
encryption is                               effect is the System Key used
enabled                                     at the time the repair disk
                                            was made.
				


V prípade, že správca musí opraviť systém po Systém tla?idlo rýchlej opravy je nainštalovaný, systém a SAM porcií databáza Registry je potrebné opraviť v rovnakom čase. Systém kľúč možnosť v SYSTÉM časť databázy registry sa musí zhodovať silný šifrovací kľúč použité na SAM časť databázy registry. Ak jeden podregister databázy registry opraviť bez druhej strane je možné pre systém pokúsiť využiť inú možnosť systém kľúč (heslo odvodené alebo stroj generované), nezodpovedá silného šifrovacieho kľúča používaného pre heslo konta information.

Inštalácia je rýchla systém kľúč bude aktualizovať kontrolné súčty pre systém bezpečnostného komponentu (Winlogon.exe, Samsrv.dll, Samlib.dll) v System.log súbor. System.log súbor sa uloží na núdzového obnovenia Disku. System.log súbor sa používa počas obnovovania zistiť, či súbory sa musia aktualizovať z CD-ROM Windows NT Server 4.0 zodpovedali konfigurácie databázy registry nesplatené-rýchla oprava. Ak požadovaný obnovenie systému konfigurácia je Windows NT Server 4.0 s systém kľúč rýchlu opravu, musíte nie vyzvaní na opravu týchto systém zabezpečenia súborov.

Po inštalácii systému kľúč rýchlu opravu, a nie je aktivované silné šifrovanie, ak sa pokúsite k oprave systémových súborov pomocou funkcie na opravu disku vytvorené pred inštaláciou rýchlu opravu systému kľúč (čiže pomocou "predzberového Rýchla oprava"opravu disku) musíte tiež opraviť systém a SAM databázy registry. Ak nie opravy databázy registry, súbory systému a databázy registry formát bude nie zápas. Dostanete chybu (chyba číslo C00000DF) pri pokuse na prihlásenie. Keď sú nespárované databázy registry a systémových súborov, vymáhanie postup je oprava zodpovedajúci systém a súbory databázy registry. Buď opravy Podregistre databázy registry z tej istej "nesplatené rýchla oprava" opravu disku alebo použite "rýchla oprava - pred šifrovanie" opravu disku, ktorý má registry formátovať zápasy systém tla?idlo rýchlej opravy systémové súbory.

Nakoniec, ak máte situácii kde systém zabezpečenia súborov (Winlogon, Samsrv.dll, Samlib.dll) sú poškodené, potom je potrebné obnoviť systém používa "Nesplatené-rýchla" opravu disku a opravovať poškodené súbory zo systému Windows NT Server 4.0 CD-ROM. Musíte tiež opraviť systém a Podregistre SAM zodpovedali systémové súbory z "Nesplatené rýchla oprava" opravy disku.

Súčasné Spojených štátov exportné predpisy povoliť používanie 128-bitové šifrovacie kľúče použije na ochranu overovania údajov, ako napríklad heslá. Šifrovacie kľúče používané na Syskey sú špecifické pre ochranu heslá uložené v SAM a bezpečnosť časť databázy registry. Neexistujú žiadne žiadosti API sú k dispozícii pre použitím 128-bitové šifrovanie Syskey pre ochranu univerzálny údajov.

Vlastnosti

ID článku: 143475 - Posledná kontrola: 17. októbra 2011 - Revízia: 2.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
Kľúčové slová: 
kbenv kbinfo kbnetwork kbmt KB143475 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem:143475

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com