文章編號: 143475 - 上次校閱: 2007年2月15日 - 版次: 2.1

Windows NT 系統金鑰允許對 SAM 啟用增強式加密

檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
本文曾發行於 CHT143475
如需本文的 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 版本,請參閱 310105? (http://support.microsoft.com/kb/310105/ )

在此頁中

全部展開 | 全部摺疊

結論

Windows NT Server 4.0 系統金鑰 (Syskey.exe) 具有使用增強式加密技術的功能,可以加強保護「安全性帳戶管理員」(SAM) 儲存在登錄中的帳戶密碼資訊。Windows NT Server 會將使用者帳戶資訊 (包括使用者帳戶密碼的衍生資訊) 儲存在登錄中由存取控制和混淆功能所保護的安全位置。只有 Administrators 群組的成員才能存取登錄中的帳戶資訊。Windows NT Server 和其他作業系統一樣,允許具有系統管理員權限的使用者存取系統中的所有資源。就要求增強型安全性的安裝而言,對帳戶密碼衍生資訊實作增強式加密能夠提供額外的安全性,以防止系統管理員使用登錄程式設計介面有意或無意地存取密碼衍生資訊。

Syskey.exe 隨附在 Windows NT 4.0 的 Service Pack 3 (SP3) (含) 以後版本中。

注意:如果您想要變更 SYSKEY 機碼的儲存位置,請使用 SYSKEY 工具,不要直接修改登錄。如果修改登錄,SYSKEY 雖然會正確運作,但卻給人運作失常的感覺。

重要:如需有關 Syskey 工具的安全性問題的重要資訊,請參閱「Microsoft 知識庫」中的下列文件:
248183? (http://support.microsoft.com/kb/248183/ ) Syskey Tool Reuses Keystream
回此頁最上方

其他相關資訊

Windows NT 4.0 系統金鑰 Hotfix 的增強式加密功能是選擇性功能。系統管理員可以選擇藉由定義 Windows NT 的系統金鑰,以實作增強式加密。增強式加密是使用稱為密碼加密金鑰的 128 位元密碼編譯隨機金鑰加密密碼資料,以保護私密帳戶資訊。

資料庫中只有私密密碼資訊會經過增強加密,並非整個帳戶資料庫。每個使用增強式加密選項的系統都會有唯一的密碼加密金鑰。這個密碼加密金鑰本身會以系統金鑰加密。增強式密碼加密可以運用在儲存帳戶資訊的 Windows NT Server 和 Workstation 上。藉由對使用帳戶密碼實作增強式加密,將可為登錄 SAM 部分的內容,以及使用 RDISK 命令建立於 %systemroot%\repair 目錄和系統備份磁帶上的後續登錄資訊備份提供額外的保護。

系統金鑰是使用 Syskey.exe 命令定義的,只有 Administrators 群組的成員可以執行 Syskey.exe 命令。此公用程式可用來初始化或變更系統金鑰。由於系統金鑰是用來保護密碼加密金鑰的「主要金鑰」,因此,保護系統金鑰是非常重要的系統安全性作業。

有三個管理系統金鑰的選項,這些選項是設計來符合不同 Windows NT 環境的需求。系統金鑰選項如下:
  • 使用由電腦產生的隨機金鑰做為系統金鑰,並使用複雜的混淆演算法將金鑰儲存在本機系統上。此選項可對登錄中的密碼資訊提供增強式加密,並允許系統自動重新啟動。
  • 使用由電腦產生的隨機金鑰,並將此金鑰儲存到磁片上。系統需要使用含有系統金鑰的磁片才能啟動,而且此磁片必須在 Windows NT 開始啟動程序之後、使用者可以登入系統之前,系統出現提示時插入。系統金鑰不會儲存在本機系統上。
  • 使用系統管理員選擇的密碼以衍生系統金鑰。當系統處於初始啟動程序、使用者可以登入系統之前,Windows NT 會提示您輸入系統金鑰密碼。系統金鑰密碼不會儲存在系統的任何地方。密碼的 MD5 摘要會做為主要金鑰,用以保護密碼加密金鑰。
使用密碼或需要磁片的系統金鑰選項會在 Windows NT 作業系統初始化期間引入新提示。這些選項提供的保護是最強的,因為主要金鑰資料並非儲存在系統上,而且可以限制只有少數人知道如何控制金鑰。另一方面,如果要啟動系統,必須知道系統金鑰密碼,或是擁有系統金鑰磁片(如果系統金鑰是儲存至磁片,建議您製作系統金鑰磁片的備份)。系統自動重新啟動時,必須能夠在不需系統管理員回應的情況下使用系統金鑰資料。使用複雜的混淆演算法將系統金鑰儲存在本機系統上,會使金鑰只能由核心作業系統安全性元件所使用。未來也許可以將系統金鑰設定為從防範入侵的硬體元件取得金鑰資料,以達到最大的安全性。

警告:如果忘記系統金鑰密碼或遺失系統金鑰磁片,可能就無法啟動系統。請製作備份,妥善保護並保存系統金鑰資訊,以供緊急時使用。如果系統金鑰遺失了,復原系統的唯一方法是使用修復磁片,將登錄還原至啟用增強式加密之前的狀態。請參閱下面的<修復問題>一節。

網域主控站和每個備份網域控制站 (DC) 都可以獨立設定增強式加密。每個網域控制站都會有唯一的密碼加密金鑰與唯一的系統金鑰。例如,網域主控站可以設定為使用儲存在磁片中、由電腦產生的系統金鑰,而備份網域控制站可以分別使用儲存在本機系統上、由電腦產生的不同系統金鑰。本機儲存在網域主控站上、由電腦產生的系統金鑰不會被複寫。

對網域主控站啟用增強式加密之前,請確定您有完整更新的備份網域控制站,可以在網域主控站的變更完成且確認之前,做為備份系統。在任何系統上啟用增強式加密之前,Microsoft 建議您使用 RDISK /S 命令,製作全新的緊急修復磁片,其中包括登錄中的安全性資訊。使用 RDISK /S 之前,請先參閱「Microsoft 知識庫」中的下列文件:
文件編號:122857? (http://support.microsoft.com/kb/122857/ )
標題:RDISK /S and RDISK /S- Options in Windows NT

SYSKEY 命令可用來選取系統金鑰選項及產生初始金鑰值。金鑰值可能是由電腦產生的金鑰或是密碼衍生的金鑰。SYSKEY 命令會先顯示對話方塊,指出增強式加密是啟用或停用狀態。增強式加密功能啟用之後,就無法停用。如果要對帳戶資料庫啟用增強式驗證,請選取 [啟用加密] 選項,然後按一下 [確定]。隨即會出現確認對話方塊,提醒系統管理員建立更新的緊急修復磁片。然後會出現新的對話方塊,提供「帳戶資料庫金鑰」的選項。請使用 [帳戶資料庫金鑰] 對話方塊上的這個可用選項來選取系統金鑰。

選取系統金鑰選項之後,Windows NT 必須重新啟動,系統金鑰選項才會生效。當系統重新啟動時,可能會根據所選的金鑰選項,提示系統管理員輸入系統金鑰。Windows NT 會偵測到這是第一次使用系統金鑰,並且產生新的隨機密碼加密金鑰。密碼加密金鑰會受到系統金鑰的保護,然後所有帳戶密碼資訊都會經過增強加密。

SYSKEY 命令必須在每個需要對帳戶密碼資訊啟用增強式加密的系統上執行。SYSKEY 支援 "-l" 命令選項,以產生主要金鑰並將金鑰本機儲存在系統上。這個選項會在登錄中啟用增強式密碼加密,並允許此命令不需顯示互動式對話方塊就能執行。您可以稍候使用 SYSKEY 命令將系統金鑰選項從某種方法變更為另一種方法,或是將此系統金鑰變更為新的金鑰。如果要變更系統金鑰,您必須知道或擁有目前的系統金鑰。如果使用由密碼衍生的系統金鑰選項,SYSKEY 就不會強制套用最短密碼長度,不過,還是建議您使用較長的密碼 (大於 12 個字元)。系統金鑰密碼的最大長度是 128 個字元。

SYSKEY 應該套用至所有的網域控制站。如果沒有這樣做,備份網域控制站 (BDC) 上的 SAM 將不如網域主控站 (PDC) 上的 SAM 那般安全。如此,安裝 SYSKEY 就沒意義了。
回此頁最上方

修復問題

對帳戶密碼資訊啟用增強式加密會影響到 Windows NT 系統可用的復原選項,進而改變登錄中 SYSTEM 與 SAM 的部分。請務必搭配 /S 選項使用 RDISK 命令來建立新的緊急修復磁片,在 \Repair 資料夾中加入登錄中 SYSTEM 與 SAM 部分的備份。

如需完整的復原選項,可以使用下列緊急修復磁片:
  • 在安裝系統金鑰 Hotfix 之前,請先建立全新的修復磁片。此磁片是「Hotfix 之前」(Pre-Hotfix) 的修復磁片,包含安裝 Hotfix 之前的系統組態與帳戶資訊副本。此「Hotfix 之前」的修復磁片可用於復原使用 Windows NT 散發光碟的登錄與系統檔案。
  • 在安裝系統金鑰 Hotfix 之後、使用 SYSKEY 命令啟用增強式加密之前,請先建立修復磁片。此修復磁片是「Hotfix - 加密前」。此修復磁片可用於將登錄修復至啟用增強式加密之前的狀態,例如,如果遺失或忘記 Windows NT 系統金鑰,就可以使用此磁片來復原系統。
  • 在執行 SYSKEY 以啟用增強式加密之後,請建立修復磁片。此修復磁片是「Hotfix - 加密後」。此修復磁片以及後續更新的修復磁片,可用於將已經使用系統金鑰啟用增強式加密的登錄原封不動地復原至上次更新修復磁片的狀態。
支援增強式加密的系統金鑰 Hotfix 會影響下列系統元件:
  • SYSTEM 和 SAM 登錄 Hive
  • 三個系統安全性元件檔案:Winlogon.exe、Samsrv.dll、Samlib.dll
一般而言,修復程序需要使用這些元件的相符版本。不論您選擇哪一個修復選項,修復程序都會使用相符的系統檔案以協調修復登錄 Hive。

下表列出可用的復原選項。

摺疊此表格展開此表格
修復後所需的系統組態應套用的修復磁片修復後的系統
Windows NT 4.0,安裝 Hotfix 之前使用「Hotfix 之前」修復磁片登錄符合安裝 Hotfix 之前的系統;三個系統安全性元件檔案必須從 Windows NT 4.0 光碟片進行修復,以符合 Hotfix 之前的登錄格式。
已安裝 Hotfix 的 Windows NT 4.0,但未啟用增強式加密 使用「Hotfix - 加密前」修復磁片登錄符合啟用增強式加密之前的系統。系統金鑰沒有生效;增強式加密未啟用。系統安全性檔案不需要從 Windows NT 4.0 光碟片進行修復。
已安裝 Hotfix 的 Windows NT 4.0,並且已啟用增強式加密使用「Hotfix - 加密後」修復磁片登錄符合啟用增強式加密後的系統;生效的系統金鑰即為製作修復磁片時所使用的系統金鑰。


安裝系統金鑰 Hotfix 之後,如果系統管理員需要修復系統,則必須同時修復登錄的 SYSTEM 與 SAM 部分。登錄的 SYSTEM 部分中的系統金鑰選項必須符合 SAM 部分所使用的增強式加密金鑰。如果只修復其中一個登錄 Hive,系統可能會嘗試使用不符合帳戶密碼資訊所用之增強式加密金鑰的不同系統金鑰選項 (密碼衍生或由電腦產生的金鑰)。

安裝系統金鑰 Hotfix 會更新 System.log 檔案中系統安全性元件 (Winlogon.exe、Samsrv.dll、Samlib.dll) 的總和檢查碼。System.log 檔案是儲存在緊急修復磁片上。在復原期間,System.log 檔案可用來判斷檔案是否需要從 Windows NT Server 4.0 光碟進行更新,以符合 Hotfix 之前的登錄設定。如果所需的系統復原設定是具備系統金鑰 Hotfix 的 Windows NT Server 4.0,就不會要求您修復這些系統安全性檔案。

在安裝系統金鑰 Hotfix 之後,而您尚未啟用增強式加密,如果您試圖使用安裝系統金鑰 Hotfix 之前所建立的修復磁片 (亦即使用「Hotfix 之前」修復磁片) 來修復系統檔案,則還必須修復 SYSTEM 與 SAM 登錄。如果您沒有修復登錄,系統檔案與登錄格式將不相符。當您試圖登入時,就會收到錯誤 (錯誤號碼 C00000DF)。當登錄與系統檔案不相符時,復原程序即為修復相符的系統與登錄檔案。請從相同的「Hotfix 之前」修復磁片來修復登錄 Hive,或者使用「Hotfix - 加密前」修復磁片 (具有與系統金鑰 Hotfix 系統檔案相符的登錄格式) 來修復登錄 Hive。

最後,如果系統安全性檔案 (Winlogon、Samsrv.dll、Samlib.dll) 已損毀,您就必須使用「Hotfix 之前」修復磁片來復原系統,並使用 Windows NT Server 4.0 光碟修復損毀的檔案。此外,您還必須修復 SYSTEM 與 SAM 登錄 Hive,以符合「Hotfix 之前」修復磁片的系統檔案。

美國目前的出口規章允許使用 128 位元的加密金鑰來保護驗證資料,例如密碼。Syskey 所使用的加密金鑰是專門用來保護儲存在登錄的 SAM 與 Security 部分中的密碼。對於一般用途的資料保護,目前沒有可用的應用程式 API 可用於 128 位元的 Syskey 加密。
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
回此頁最上方
關鍵字:?
kbenv kbinfo kbnetwork KB143475
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。