Windows NT 系统密钥执照 SAM 的强的加密

文章翻译 文章翻译
文章编号: 143475 - 查看本文应用于的产品
对于 Microsoft Windows 2000,Windows XP 和 Windows Server 2003 版本的这篇文章,请参阅 310105
展开全部 | 关闭全部

本文内容

概要

Windows NT Server 4.0 系统密钥 (Syskey.exe) 提供了使用强加密技术来增加存储在注册表中的安全帐户管理器 (SAM) 帐户密码信息的保护功能。 Windows NT 服务器存储受访问控制和模糊处理函数注册表安全部分中包括一个派生内容的用户的帐户密码的用户帐户信息。在注册表中的帐户信息才可以访问该管理员组的成员。Windows NT Server 像其他的操作系统允许特权的用户是系统中的所有资源的管理员访问权限。对于需要增强的安全性的安装,强加密帐户密码派生信息提供额外的安全性,以防止管理员有意或无意中访问密码派生使用注册表编程接口。

包括与 Service Pack 3 (SP3) 和更高版本的 Windows NT 4.0 Syskey.exe。

: 如果想更改 SYSKEY 密钥存储的位置使用 SYSKEY 工具不要直接修改注册表。如果修改了注册表 SYSKEY 将正常工作,但使它不是在给人留下深刻印象。

重要提示: 使用 Syskey 工具的安全问题有关的重要信息,请参阅下面 Microsoft 知识库中相应的文章:
248183Syskey 工具 Reuses Keystream

更多信息

强加密功能,与 Windows NT 4.0 系统密钥修补程序是一项可选功能。管理员可以选择通过定义系统密钥的 Windows NT 强加密通过对密码数据使用 128 位密码随机密钥加密保护专用帐户信息来实现功能强大的加密称为密码加密密钥。

仅在专用的密码信息是高度加密在的数据库而不是整个帐户数据库中。使用强加密选项的每个系统都将具有一个唯一的密码加密密钥。密码加密密钥本身就是使用系统密钥加密。在 Windows NT 服务器和帐户信息的存储位置的工作站上可能使用强密码加密。使用的帐户密码的强加密增加额外的保护的内容的注册表的一部分,SAM 和后续的备份副本的注册表信息在使用 RDISK 命令创建 %systemroot%\repair 目录和系统备份磁带上。

使用命令 Syskey.exe 定义系统密钥。只有在管理员组的成员可以运行 Syskey.exe 命令。该实用程序用于初始化或更改系统密钥。系统密钥是"母版密钥"用来保护密码加密密钥,因此系统密钥的保护关键的系统安全操作。

有三个选项可用于管理以满足不同的 Windows NT 环境的需要而设计的系统密钥。系统密钥选项如下所示:
  • 一个计算机生成的随机密钥用作系统密钥,并将密钥存储在本地系统使用复杂的模糊处理的算法。此选项提供强加密的密码在注册表中的信息,并允许实现无人参与的系统重新启动。
  • 使用计算机生成的随机密钥并将密钥存储在软盘上。 使用系统密钥的软盘启动系统都需要和 Windows NT 开始在启动序列后出现提示时,但在系统是可用于用户登录之前必须插入。该系统密钥根本不保存在本地系统上。
  • 使用由管理员选择一个密码来派生系统密钥。 当系统是初始启动顺序,但可用于用户登录系统之前,Windows NT 将提示输入系统密钥密码。系统密钥密码根本不保存在系统中。该密码的 MD5 摘要作为主密钥用于保护密码的加密密钥。
系统密钥选项使用密码或需要一个软盘在 Windows NT 操作系统的初始化过程中引入新的提示。它们提供了少数几个人可以将限制最强的保护选项可用,因为密钥材料不存储在系统和键的控件上。另一方面,知识的系统密钥的密码或 $ 系统密钥磁盘的所有权才能启动系统。(如果系统密钥保存到软盘,系统密钥磁盘的备份副本被推荐)。无人参与的系统重新启动时可能需要系统密钥材料可用于没有管理员响应系统。使用复杂的模糊处理的算法在本地系统上存储系统密钥使密钥只能用于核心操作系统安全组件。在以后将可以配置系统密钥,以获取防篡改证据的硬件组件的最大的安全密钥材料。

警告: 如果忘记了系统密钥密码,或系统密钥的磁盘将会丢失它可能无法启动系统。保护和存储系统密钥信息安全地与紧急事件的备份副本。唯一的方法来恢复系统,如果系统密钥丢失使用修复磁盘来将注册表还原到的状态之前启用强加密。请参阅下面的修复问题部分。

强加密可能在主和每个备份域控制器 (dc) 上分别设置。每个域控制器将有一个唯一的密码加密密钥和一个唯一的系统密钥。例如对于主 DC 可能被配置为使用的计算机生成的系统密钥存储在一个磁盘和备份域控制器可能每次使用不同的计算机生成系统密钥存储在本地系统上。在主要域控制器生成的系统密钥存储在本地计算机不被复制。

在启用的主要域控制器的强加密之前, 您可能希望确保完成更新后的备份域控制器是可用作备份系统,直到对主要域的更改都是完整的和已验证。在启用任何系统上的强加密之前, Microsoft 建议创建紧急修复磁盘的全新副本包括在注册表中的安全信息),使用命令 RDISK /S.请参阅以下才能使用 RDISK /S: 在 Microsoft 知识库文章
文章 ID: 122857
标题: RDISK/S 和在 Windows NT RDISK /S-选项

选择系统项选项并生成最初的密钥值使用 SYSKEY 命令。密钥值可能生成的计算机密钥或密码派生密钥。SYSKEY 命令首次显示一个对话框,显示是启用还是禁用强加密。启用强加密功能后,它不能被禁用。若要强身份验证的帐户数据库选择"启用加密",选项,然后单击确定。此时将显示一个确认对话框,提醒管理员联系,以更新紧急修复磁盘。帐户数据库项的演示选项会出现一个新的对话框。使用帐户数据库项对话框中的可用的选项选择系统密钥。

选择系统密钥选项后必须重新启动 Windows NT 系统密钥选项才能生效。系统会重新启动时,管理员可能会提示您输入密钥选择的选项根据在系统密钥。Windows NT 检测到第一次使用系统密钥,并生成新的随机密码加密密钥。密码加密密钥受保护系统键,然后所有帐户密码信息高度都加密。

SYSKEY 命令需要需要强加密帐户密码信息的每个系统上运行。SYSKEY 支持一个"-l"命令生成主密钥,并将密钥存储在系统上的本地的选项。此选项启用在注册表中的强密码加密,并允许运行而不是交互式的对话框的命令。可以在以后使用 SYSKEY 命令,从一种方法的系统密钥选项更改为另一,或更改为新的密钥的系统密钥。更改系统密钥时,需要的知识或拥有当前的系统密钥。如果密码中派生系统密钥选项使用 SYSKEY 不强制一个最小密码长度密码 (大于 12 个字符),建议使用但是多长时间。最大的系统密钥密码长度为 128 个字符。

SYSKEY 应该应用到所有域控制器。如果这不进行备份域控制器 (bdc) 上的 SAM 不会与主域控制器 (PDC) 上的安全。因此,安装 SYSKEY 的点将失效。

修复问题

介绍的功能强大的加密帐户密码信息的更改方式影响修复选项可用于 Windows NT 系统恢复的注册表的 SYSTEM 和 SAM 的部分。若要创建新的紧急修复磁盘 \Repair 文件夹中包括的系统和 SAM 部分注册表的备份副本,使用/S 选项始终使用 RDISK 命令。

完整恢复选项下的紧急修复磁盘应该可用:
  • 在之前安装系统密钥修补程序,创建全新的修复磁盘。 此磁盘是一种预-修补修复磁盘包含系统配置和之前要安装此修补程序的帐户信息的副本。"预修补程序"修复磁盘可用于恢复注册表和系统文件使用 Windows NT 分发光驱。
  • 系统密钥修复程序的但在启用强加密使用 SYSKEY 命令之前的安装后, 创建修复磁盘。此修复磁盘是"修复程序-之前加密"。此修复磁盘可用于修复注册表状态以启用强加密之前,例如它也可以使用来恢复系统,如果丢失或忘记了 Windows NT 系统密钥。
  • 运行以启用强加密的 SYSKEY 之后创建修复磁盘。 此修复磁盘是"修复程序-后加密"。此修复磁盘和到此修复磁盘的后续更新可用于恢复注册表的高度不变在修复磁盘上次更新的时间使用有效的系统密钥的加密。
该系统密钥修补程序支持强加密会影响以下系统组件:
  • 系统和 SAM 注册表配置单元
  • 三个系统的安全组件文件: Winlogon.exe、 Samsrv.dll、 Samlib.dll
一般情况下,修复过程需要使用这些组件的匹配的版本。选择,任何修复选项修复过程将在匹配的系统文件与协调的注册表配置单元的修复。

下表列出了可用恢复选项。

Desired System        Repair disk to        Repaired System
Configuration         apply
after Repair
--------------------------------------------------------------------------

Windows NT 4.0,       Use the "Pre-hotfix"  Registry matches system before
prior to hotfix       repair disk           hotfix installed; the three
installation                                system security component
                                            files need to be repaired from
                                            the Windows NT 4.0 compact
                                            disc to match the pre-hotfix
                                            registry format.

Windows NT 4.0 with   Use the "hotfix -     Registry matches the system
hotfix installed,     Before Encryption"    before strong encryption.
but strong            repair disk           System Key is not in effect;
encryption is not                           strong encryption not enabled.
enabled                                     System security files do not
                                            need to be repaired from the
                                            Windows NT 4.0 compact disc.

Windows NT 4.0 with   Use the "hotfix -     Registry matches the system
hotfix installed,     After Encryption"     with strong encryption
and strong            repair disk           enabled; the System Key in
encryption is                               effect is the System Key used
enabled                                     at the time the repair disk
                                            was made.
				


管理员要在该系统密钥修补程序安装后修复系统注册表的系统和 SAM 部分需要修复一次。注册表的 SYSTEM 部分中的系统密钥选项必须与用于注册表的 SAM 部分的功能强大的加密键匹配。如果一个注册表配置单元修复不在其他情况下,它可能使系统尝试使用不同的系统密钥选项 (派生的密码或生成的计算机) 与强的加密密钥使用的帐户密码信息不匹配。

系统密钥修补程序的安装将更新系统安全组件 (Winlogon.exe、 Samsrv.dll Samlib.dll) 校验和 System.log 文件中。在紧急修复磁盘上保存 System.log 文件。System.log 文件在恢复过程中用于确定是否需要更新从 Windows NT Server 4.0 安装光盘以匹配预修补程序的注册表配置文件。如果需要的恢复系统配置系统密钥修补程序与 Windows NT Server 4.0,您将不会修复这些系统的安全文件要求。

安装系统密钥修补程序之后并且您没有启用强加密,如果您尝试修复系统文件使用修复磁盘之前安装该系统密钥的修补程序 (即,使用"复制前的修补程序"修复磁盘) 创建您还必须修复 SYSTEM 和 SAM 注册表。如果不修复注册表,系统文件和注册表格式将不匹配。您将收到错误 (错误号码 C00000DF) 当您尝试登录。当注册表和系统文件不匹配时,恢复过程是修复匹配的系统和注册表文件。可以修复注册表配置单元从修复相同"前的程序"修复磁盘,或使用"修复程序-加密之前"修复磁盘是注册表格式相匹配系统密钥修补程序的系统文件。

最后,如果您有已损坏 (Winlogon、 Samsrv.dll Samlib.dll) 系统安全的文件位置的情况下,然后您必须恢复系统使用"前修补程序"修复磁盘并修复损坏的文件从 Windows NT Server 4.0 CD-ROM。您还必须修复系统和 SAM 注册表配置单元来匹配系统文件从"前修补程序"修复磁盘。

当前的美国出口标准允许使用 128 位加密密钥是用于保护如密码的身份验证数据。用于 Syskey 的加密密钥是特定于存储在 SAM 和注册表的安全部分中的密码的保护。没有可供使用 128 位 Syskey 加密的一般用途的数据保护 api 的应用程序。

属性

文章编号: 143475 - 最后修改: 2006年11月1日 - 修订: 2.1
这篇文章中的信息适用于:
  • Microsoft Windows NT Workstation 4.0 开发员版
  • Microsoft Windows NT Server 4.0 Standard Edition
关键字:?
kbmt kbenv kbinfo kbnetwork KB143475 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 143475
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com