SAM, güçlü şifreleme Windows NT sistem anahtarı verir

Makale çevirileri Makale çevirileri
Makale numarası: 143475 - Bu makalenin geçerli olduğu ürünleri görün.
Bir Microsoft Windows 2000, Windows XP ve bu makalenin Windows Server 2003 sürümü için "310105" konusuna bakın.
Hepsini aç | Hepsini kapa

Bu Sayfada

Özet

Windows NT Server 4.0 Sistem anahtarı (Syskey.exe) hesap parolası bilgilerini güvenlik hesabı Yöneticisi (SAM) ile kayıt defterindeki korunmasını artırmak için güçlü şifreleme teknikleri ayn? ?ekilde kullanmay? yeteneği sağlar. Windows NT Server, erişim denetimi ve bir gizleme hile şaka işlevi tarafından korunan kayıt defterinin güvenli bir bölümünde, kullanıcı hesabının parolasını bir türevi de dahil olmak üzere, kullanıcı hesabı bilgilerini depolar. Hesap bilgileri kayıt defterindeki yalnızca <a0>Administrators</a0> grubunun üyeleri için erişilebilirdir. Windows NT Server gibi diğer işletim sistemleri, yöneticilerin tüm kaynaklara erişim izni sistemdeki ayrıcalıklı kullanıcılar sağlar. Gelişmiş Güvenlik istediğiniz yüklemeleri için bir ek güvenlik düzeyi, Administrators, isteyerek veya istemeden kayıt programlama arabirimleri kullanılarak parola türevleri erişimini engellemek için hesap parolası bilgilerinin türetilmiş, güçlü şifreleme sağlar.

Syskey.exe, Service Pack 3 (SP3) ve daha sonra Windows NT 4.0 için eklenmiştir.

Not: SYSKEY anahtarının depolandığı değiştirmek isterseniz, <a1>kullanım</a1> SYSKEY aracı değiştirilmez kayıt doğrudan. Kayıt defterini, SYSKEY düzgün ancak uyumlu olmayan bir etki sağlar.

ÖNEMLI: Syskey aracı ile bir güvenlik sorunu hakkında önemli bilgiler için Microsoft Knowledge Base'de aşağıdaki makaleye bakın:
248183Syskey aracı keystream'i yeniden kullanıyor (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)

Daha fazla bilgi

Windows NT 4.0 Sistem anahtarı düzeltme güçlü şifreleme özelliğiyle isteğe bağlı bir özelliktir. Yöneticiler, güçlü şifreleme için Windows NT. güçlü şifreleme, 128-bit şifreli rasgele anahtarı'nı kullanarak parola verileri şifreleyerek özel hesap bilgileri korur, bir sistem anahtarı tanımlayarak uygulamak seçebilirsiniz bir parola şifreleme anahtarı da bilinir.

Yalnızca özel bir parola bilgileri veritabanında, tüm hesap veritabanı şifrelidir. Her sistem, güçlü şifreleme seçeneğini kullanarak bir benzersiz bir parola şifreleme anahtarı gerekir. Parola şifreleme anahtarının kendisi bir sistem anahtarıyla şifrelenmiş olur. Güçlü parola şifreleme, Windows NT Server ve hesap bilgilerinin depolandığı Workstation üzerinde kullanılabilir. Hesabı parolaları, güçlü şifreleme kullanarak kayıt defterini <a1>SAM</a1> bölümü ve kayıt defteri bilgilerini izleyen yedek kopyalarını içeriği için ek koruma RDıSK'I komutu kullanılarak oluşturulan %systemroot%\repair dizin ve sistem Yedekleme teyplerini ekler.

Sistem anahtarı Syskey.exe komutu kullanılarak tanımlanır. Yalnızca Administrators grubunun üyeleri Syskey.exe komutunu çalıştırabilirsiniz. Yardımcı program başlatılamıyor ya da sistem anahtarı değiştirmek için kullanılır. Sistem anahtarı "ana parola şifreleme anahtarı korumak için kullanılan anahtar" ve bu nedenle sistem anahtarı koruma bir önemli sistem güvenlik işlemi.

Farklı bir Windows NT ortamların gereksinimlerini karşılamak için tasarlanmış sistem anahtarı'nı yönetmek için üç seçenek vardır. Sistem anahtarı seçenekleri şunlardır:
  • Sistem anahtarı makine tarafından üretilen rasgele anahtarı kullanır ve anahtarı karmaşık gizleme hile şaka algoritmasıyla yerel sistemde saklamak. Bu seçenek, kayıt defterindeki parola bilgilerinin güçlü şifreleme sağlar ve katılımsız sistem yeniden başlatma için izin verir.
  • Makine tarafından üretilen rasgele anahtarı kullanır ve anahtarı diskette depolar. Sistem anahtarını içeren disketi, sistemi başlatmak gerekli olan ve Windows NT başlatma sırası başladıktan sonra istendiğinde, ancak sistem, oturum açmak, kullanıcılar için kullanılabilir olmadan önce eklenmelidir. System anahtarı herhangi bir yerel sistem üzerindeki depolanmaz.
  • Sistem anahtarı türetmek için yönetici tarafından seçilen bir parola kullanın. Sistem ilk başlatma sırası çalışırken, ancak sistem, oturum açmak, kullanıcılar için kullanılabilir olmadan önce Windows NT sistem anahtarı parolası ister. Sistem anahtarı parola sistemde hiçbir konumda depolanmaz. Bir parola MD5 özünü parola şifreleme anahtarının koruma ana anahtarı kullanılır.
Bir parola kullanarak veya bir diskete gerek sistem anahtarı seçeneği, Windows NT işletim sisteminin başlatılması sırasında yeni bir komut istemi sunar. Bunlar, sistem ve Denetim anahtarının ana anahtar malzemesi depolandığı için kullanılabilen en güçlü koruma seçeneği birkaç kişilere kısıtlı sunar. Diğer taraftan, sistem anahtarı parolası hakkında bilgi sahibi veya sistem anahtarı disk elinde sistemi önyüklemek için gereklidir. (Sistem anahtarı bir diskete kaydedilir, diskin sistem anahtarı yedek kopyaları önerilir.) Katılımsız sistem yeniden başlatma sırasında sistem anahtar malzemesini sistem yöneticisi yanıt olmadan kullanılabilir olmasını gerektirebilir. Sistem anahtarı karmaşık gizleme hile şaka algoritmasıyla yerel sistemde saklamak anahtarı yalnızca çekirdek işletim sistemi güvenlik bileşenleri için kullanılabilir hale getirir. Daha sonra anahtar malzemesi değiştirilmeye en yüksek güvenlik için düzeltme donanım bileşenlerini elde etmek için sistem anahtarı'nı yapılandırmak, mümkün olacaktır.

UYARı: Sistem anahtarı parolası unutmuş olan veya sistem anahtar disketi kaybolur, bu sistemi başlatmak mümkün olmayabilir. Koruma ve Acil olan yedek kopyaları güvenli ile Sistem anahtarı bilgileri depolar. Sistem anahtarı kaybolursa sistemi kurtarmayı tek yolu kayıt defterinin güçlü şifreleme etkinleştirmek için önceki bir duruma geri yüklemek için bir onarım disketi kullanma. Aşağıdaki onarım sorunlar bölümüne bakın.

Güçlü şifreleme bağımsız olarak birincil ve yedekleme her etki alanı denetleyicileri (DC) üzerinde yapılandırılmış olabilir. Her etki alanı denetleyicisinde benzersiz bir parola şifreleme anahtar ve benzersiz bir sistem anahtarı gerekir. Örneğin, birincil etki alanı DENETLEYICISI, oluşturulan sistem anahtarı bir diskte saklanan bir makine kullanmak üzere yapılandırılmış olabilir ve yedekleme DC'ler farklı bir makinenin sistem yerel sistemde depolanan anahtar oluşturulan her bir kullanımı olabilir. Oluşturulan sistem anahtarı, birincil etki alanı denetleyicisinde yerel olarak depolanmış BIR makine çoğaltılmaz.

Birincil etki alanı denetleyicileri için güçlü şifreleme etkinleştirmeden önce tüm güncelleştirilmiş bir yedekleme etki alanı denetleyicisi değişiklikleri, birincil etki alanı için tam ve doğrulanmış kadar yedek bir sistem olarak kullanılabilir olduğundan emin olmak isteyebilirsiniz. Herhangi bir sistemde daha güçlü şifreleme etkinleştirmeden önce Microsoft Acil Durum Onarım Disketi, yeni bir kopya yapmak için kayıt defterindeki güvenlik bilgileri de dahil olmak üzere, komutu kullanarak RDıSK'I /S. önerir Lütfen RDıSK'I S: kullanmak için önce Microsoft Bilgi Bankası bulunan aşağıdaki makaleye bakın.
122857 MAKALEYI KIMLIĞI:
BAŞLıK: RDıSK'I /S ve Windows NT'de RDıSK'I /S-seçenekleri

SYSKEY</a0> komutu, sistem anahtarı seçeneği ve başlangıç anahtarı değerini oluşturmak için kullanılır. Anahtar değerini, makine tarafından oluşturulan bir anahtarı veya parola türetilmiş anahtar olabilir. SYSKEY</a0> komutu, ilk güçlü şifreleme etkin olup olmadığını gösteren bir iletişim kutusu görüntüler. Güçlü şifreleme özelliği etkinleştirildikten sonra devre dışı bırakılamıyor. Hesap veritabanı güçlü kimlik doğrulamayı etkinleştirmek için <a0></a0>, "Şifreleme etkin" seçeneğini seçin ve Tamam'ı tıklatın. Yönetici, güncelleştirilmiş bir Acil Onarım Disketi sağlamak için anımsatma BIR onaylama iletişim kutusu görüntülenir. Yeni BIR iletişim kutusu, hesap veritabanı anahtarı presenting seçenekleri görüntülenir. Hesap veritabanı anahtarı iletişim kutusunda kullanılabilen seçenekler, sistem anahtarı'nı seçmek için kullanın.

Sistem anahtarı seçeneği seçtikten sonra Windows NT sistem anahtarı seçeneğinin etkinleşmesi için yeniden başlatılması gerekir. Sistem yeniden başlatıldığında, yönetici, seçilen anahtar seçeneğe bağlı sistem anahtarı'nı girmeniz istenebilir. Windows NT sistem anahtarı kullanımını ilk algılar ve yeni bir rasgele bir parola şifreleme anahtarı oluşturur. Sistem anahtarı ile korunan parola şifreleme anahtarı ve ardından tüm hesap parolası bilgilerinin şifrelidir.

SYSKEY komut hesap parolası bilgilerinin, güçlü şifreleme gerekli olduğu her sistemde çalıştırılması gerekir. SYSKEY destekleyen bir "-l" seçeneği, ana anahtar oluşturur ve bu anahtar, sistemde yerel olarak saklamak için komut. Bu seçenek, kayıt defterindeki bir güçlü parola şifreleme sağlar ve etkileşimli bir iletişim kutusu çalıştırmak için komut verir. SYSKEY komutu daha sonra bir yöntemden diğerine sistem anahtarı seçenekleri değiştirin veya yeni bir anahtar için sistem anahtarı değiştirmek için kullanılabilir. Sistem anahtarını değiştirme hakkında bilgi sahibi veya elinde, geçerli sistem anahtarı gerektirir. Sistem anahtarı seçeneği kullanılan parolayı türetilmiş, SYSKEY (12 karakterden daha büyük) parolaları uzun ancak önerilir, en kısa parola uzunluğu zorlamaz. Sistem anahtarı parola uzunluğu en fazla 128 karakter var.

SYSKEY tüm etki alanı denetleyicilerine uygulanmamalıdır. Bu belirtilmez, yedek etki alanı denetleyicilerinde (BDC) SAM birincil etki alanı denetleyicisinde (PDC), kadar güvenli olacaktır. Bu nedenle, SYSKEY yükleme noktası defeated olacaktır.

ONARMA SORUNLARI

Hesap parolası bilgilerinin, güçlü şifreleme giriş, kayıt defterinin Onarım seçenekleri bir Windows NT sistemi kurtarma için kullanılabilir etkileyecek şekilde SISTEM ve SAM bölümleri değiştirir. Her zaman RDıSK'I komutu ile <a2>/S</a2> seçeneği bir yeni Acil Durum Onarım \Repair klasöründeki SYSTEM ve SAM bölümü kayıt defterinin yedeğini içeren disketi oluşturmak için kullanın.

Tam kurtarma seçenekleri için aşağıdaki Acil Durum Onarım diski kullanılabilir olması gerekir:
  • Sistem anahtarı düzeltmeyi yüklemeden önce bir yeni onarım disketi oluşturun. Bu disk sistem yapılandırmasını ve hesap bilgilerini düzeltmenin yüklenmesi için önce bir kopyasını içeren bir "öncesi düzeltme" onarım disktir. "Öncesi düzeltme" onarım disketi, Windows NT dağıtım CDROM kullanarak kayıt defteri ve sistem dosyaları kurtarmak için kullanılabilir.
  • Yükleme sistem anahtarı düzeltme, ancak güçlü şifreleme için SYSKEY komutunu etkinleştirmeden önce sonra onarım disketi. Bu onarım disketi "- Encryption önce" düzeltmedir. Bu onarım disketi güçlü şifreleme etkinleştirilmeden önce kayıt defterini durumuna onarmak için kullanılır, örneğin, Windows NT sistem anahtarı kayboldu veya Unutulan bir sistemi kurtarma için kullanılabilir.
  • Sağlam şifrelemeyi etkinleştirmek için SYSKEY çalıştırdıktan sonra bir onarım disketi oluşturun. Bu onarım disketi "- Encryption sonra" düzeltmedir. Bu onarım disketi ve bundan sonraki güncelleştirmeleri için bu onarım disketi ile güçlü şifreleme bozulmadan sistem anahtarı onarım disketi son kez güncelleştirildiği sırada etkin kullanarak kayıt defterini kurtarmak için kullanılır.
Sistem anahtarı Düzeltme desteği, güçlü şifreleme için aşağıdaki sistem bileşenleri etkiler:
  • Kayıt defteri kovanlarını SYSTEM ve SAM
  • Üç güvenlik bileşen dosya sistemi: Winlogon.exe, Samsrv.dll, samlib.dll
Bu bileşenlerin eşleşen sürümlerini kullanmak üzere, genel olarak, onarım işlemi gerekiyor. Her onarım seçeneği seçerseniz seçin, onarım işlemi kayıt defteri kovanını, onarım eşleşen sistem dosyalarıyla eşgüdümlemek.

Aşağıdaki tablo, kullanılabilen kurtarma seçenekleri listeler.

Desired System        Repair disk to        Repaired System
Configuration         apply
after Repair
--------------------------------------------------------------------------

Windows NT 4.0,       Use the "Pre-hotfix"  Registry matches system before
prior to hotfix       repair disk           hotfix installed; the three
installation                                system security component
                                            files need to be repaired from
                                            the Windows NT 4.0 compact
                                            disc to match the pre-hotfix
                                            registry format.

Windows NT 4.0 with   Use the "hotfix -     Registry matches the system
hotfix installed,     Before Encryption"    before strong encryption.
but strong            repair disk           System Key is not in effect;
encryption is not                           strong encryption not enabled.
enabled                                     System security files do not
                                            need to be repaired from the
                                            Windows NT 4.0 compact disc.

Windows NT 4.0 with   Use the "hotfix -     Registry matches the system
hotfix installed,     After Encryption"     with strong encryption
and strong            repair disk           enabled; the System Key in
encryption is                               effect is the System Key used
enabled                                     at the time the repair disk
                                            was made.
				


Sistem anahtarı düzeltme yüklendikten sonra sistem onarmak bir yönetici gerekli olay nedeniyle kayıt defterinin SISTEM ve SAM bölümlerini aynı anda onarılması gerekir. Sistem anahtarı seçeneği, kayıt defterindeki <a1>SYSTEM</a1> bölümündeki kayıt defterini SAM kısmı için kullanılan güçlü bir şifreleme anahtarı ile eşleşmelidir. Bir kayıt defteri kovanını diğer onarıldıktan, hesabın parola bilgileri için kullanılan güçlü bir şifreleme anahtarının eşleşmeyen farklı sistem anahtarı seçeneği (türetilmiş bir parola veya makine tarafından üretilen) kullanmaya çalıştığınızda sistemin çözmesi olasıdır.

Sistem anahtarı düzeltmenin yüklenmesi sistem güvenlik bileşeni (Winlogon.exe, Samsrv.dll, samlib.dll) sağlaması System.log dosyasında güncelleştirecektir. System.log dosya üzerinde Acil Durum Onarım Disketi olarak kaydedilir. System.log dosya kurtarma sırasında dosyaları, Windows NT Server 4.0 öncesi düzeltme kayıt defteri yapılandırması olarak eşleştirmek için CD ROM'dan güncelleştirilmesine gerek olup olmadığını belirlemek için kullanılır. Istenen kurtarma sistem yapılandırmasındaki Windows NT Server 4.0 ile Sistem anahtarı düzeltme, bu sistemin güvenlik files repair sorulmaz.

Sistem anahtarı düzeltmeyi yükledikten sonra ve güçlü şifreleme etkinleştirdiyseniz, bu sistem onarmaya çalışırsanız ("öncesi düzeltme" onarım disketi kullanan) sistem anahtarı düzeltmeyi yüklemeden önce oluşturulan bir onarım disketi kullanarak dosyaları, ayrıca SYSTEM ve SAM kayıt onarmanız GEREKIR. Kayıt defterini onarabilir, sistem dosyalarını ve kayıt defteri biçimi eşleşecektir değil. (Hata numarası C00000DF) bir hata alırsınız oturum açma girişimi. Kayıt defteri ve sistem dosyaları uyumsuz eşleşen sistemi ve kayıt defteri dosyaları onarmak için kurtarma yordamı olur. Aynı "öncesi-düzeltmeyi" kayıt defterini hives ya da onarım diski onarmanız ya da sistem anahtarı düzeltme sistem dosyaları ile eşleşen bir kayıt defteri biçimi "düzeltme - Encryption önce" onarım disketi kullanma.

Son olarak, varsa, sistem güvenliğini burada dosyaları (Winlogon, Samsrv.dll, samlib.dll) bir durum bozuk ve bir "Ön düzeltme" onarım disketi kullanarak sistem kurtarma ve bir Windows NT Server 4.0 CD-ROM'dan bozuk dosyaları onarabilirsiniz. Ayrıca, SYSTEM ve SAM kayıt defteri kovanlarını onarım disketinden "Öncesi düzeltme" sistem dosyalarını eşleşecek şekilde onarmalısınız.

Parolalar gibi kimlik doğrulama verileri korumak için kullanılmak üzere 128 bitlik şifreleme anahtarlarının geçerli Amerika Birleşik Devletleri verme düzenlemelerine izin. Syskey için kullanılan şifreleme anahtarlarının, SAM ve kayıt defteri güvenliği bölümü depolanan parolaları korunmasını özgüdür. Apı genel amaçlı bir veri koruma için 128-bit Syskey şifreleme kullanmak için kullanılabilir hiçbir uygulama vardır.

Özellikler

Makale numarası: 143475 - Last Review: 1 Kasım 2006 Çarşamba - Gözden geçirme: 2.1
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
Anahtar Kelimeler: 
kbmt kbenv kbinfo kbnetwork KB143475 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:143475

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com