Jak øešit rozhraní DPAPI (Data Protection API)

Rozhraní DPAPI (Data Protection API) pomáhá chránit data v systému Windows 2000 a novìjší operaèní systémy. Rozhraní DPAPI se používá k ochranì soukromých klíèù, uložená povìøení (v systému Windows XP a novìjší) a další dùvìrné informace, že operaèní systém nebo program chce zachovat dùvìrné.

Rozhraní DPAPI není zodpovìdná za ukládání chrání dùvìrné informace. Je pouze zodpovìdný za šifrování a dešifrování dat pro programy zavolejte ji jako napøíklad Windows povìøení správce, mechanismus úložištì soukromý klíè nebo jakékoli programy jiných výrobcù, které volají funkce CryptProtectData() a CryptUnprotectData() funkce v systému Windows 2000, Windows XP nebo novìjší.

Poznámka: Tato funkce se liší od funkce nabízené Windows chránìné úložištì (P úložištì) v systému Windows NT 4.0. P úložištì je zodpovìdný za Ochrana a ukládání dùvìrné informace. Rozhraní DPAPI nabízí žádné možnosti úložištì.
Tento èlánek popisuje, jak rozhraní DPAPI chránit data na základní úrovni. Obsahuje také informace vztahující se k odstraòování potíží ztráta pøístupu k datùm rozhraní DPAPI chránìné v rùzných scénáøù.

Další informace o pracuje rozhraní DPAPI naleznete na následujícím webu: Tento èlánek obsahuje následující témata:

• What DPAPI Can Protect
  • Example: Certificates and Private Keys
• How DPAPI Works
• DPAPI Environmental Considerations
  • DPAPI and Mandatory Profiles
  • DPAPI and Roaming Profiles
  • DPAPI and Password Changes
• Known Issues
  • You Cannot Access DPAPI Confidential Information with Roaming Profiles in a Windows NT 4.0 Domain
  • You Cannot Access DPAPI Confidential Information After Reinstalling Windows
  • You Cannot Add or Access DPAPI Confidential Information with Mandatory Profiles
  • You Cannot Access DPAPI Confidential Information After Joining or Disjoining a Domain
• Guidelines and Best Practices

Dùležité: Odstraòování ztrátu dat rozhraní DPAPI musí shromáždìte následující informace:

• Jak pracuje rozhraní DPAPI ve vašem prostøedí konkrétní zabezpeèení vèetnì verze místní pracovní stanici?
• Je pracovní stanice je pøipojen k doménì?
• Je uživatel je èlenem domény?
• Co je verze operaèního systému, který je hostitelem domény?

Mnoho problémù s rozhraní DPAPI dojít pøi použití rozhraní DPAPI v doménì Windows NT 4.0. V èásti "Známé problémy" dále v tomto èlánku, Další informace.

Rozhraní DPAPI je používán pøedevším funkce zabezpeèení operaèního systému k ochranì dat jménem uživatele. Libovolný program jiného výrobce mùžete navíc použít rozhraní DPAPI bezpeènì ochrany dat uživatele.

Co lze uzamknout rozhraní DPAPI

Rozhraní DPAPI pomáhá chránit následující položky:

• Webová stránka povìøení (napøíklad hesla)
• Povìøení sdílení souboru
• Soukromé klíèe pøidružené (ENCRYPTING File System), S/MIME a jiných certifikátù
• Data programu, který je chránìn pomocí funkce CryptProtectData()

Pøíklad: Certifikáty a soukromé klíèe

Tato èást popisuje rozdíl mezi osobních dat a rozhraní DPAPI pomáhá chránit dùvìrné informace. Následující seznam popisuje umístìní dat bìhem operace importu certifikátu a popisuje soukromý klíè, který je pøidružen tento certifikát uživatele osobní úložištì:

• Certifikát je kódován jako binary large object a uložena jako binární hodnota v následujícím umístìní souboru:
  %Userprofile%\Application Data\Microsoft\SystemCertificates\My\Certificates
• Všimnìte si, že je umístìní klíèe registru v profilu místního uživatele. Toto umístìní zajistí pouze pøihlášený uživatel má pøístup ke své vlastní certifikáty v typické okolností.
• Certifikáty nejsou chránìny rozhraní DPAPI jakékoli výchozí Windows mechanismy. Seznam øízení pøístupu (ACL) se používá k definování podregistru uživatele, kteøí mohou naèíst a kdo mùže èíst certifikáty jsou uloženy v podregistru.
• Soukromý klíè, který je pøidružený k certifikátu je šifrována pomocí rozhraní DPAPI a uložen (v šifrované podobì) v kontejneru klíèe jako jednotlivý soubor profilu uživatele v následujících složkách:
  • Pro klíèù RSA:
    %Userprofile%\Application Data\Microsoft\Crypto\RSA\ User SID
  • Pro DSA klíèù:
    %Userprofile%\Application Data\Microsoft\Crypto\DSA\ User SID

Princip rozhraní DPAPI

Poznámka: Pro úèely jasnost v kontextu tohoto èlánku mají byla zjednodušené termíny a pojmy, které jsou popsány v této èásti. Nìkteré úroveò podrobností tento argument vynechán. Napøíklad Tento èlánek pojednává o hodnotu, která je odvozená od heslo uživatele, ale nepopisuje podrobnosti algoritmus použít k odvození hodnotu. Podrobný popis pracuje rozhraní DPAPI zobrazit dokument white paper Windows Ochrana dat. Tento dokument naleznete na následujícím webu spoleènosti Microsoft: Rozhraní DPAPI je funkce používaný k ochranì dat uživatele programy a rùzné souèásti operaèního systému. Operace rozhraní DPAPI není pro uživatele viditelné. Rozhraní DPAPI pomáhá chránit data v kontextu zabezpeèení uživatele, který spouští program.

Rozhraní DPAPI pomáhá chránit dùvìrné informace pomocí dat hodnoty odvozené z hlavní klíè s názvem Pseudonáhodná 512 bitù èíslo. Øadièe domény Windows Server 2003 použít klíè RSA 2048 bitù, ale pouze pøi spuštìní domény v režimu Windows Server 2003 nebo funkèní úroveò domény 2. Každý uživatelský úèet má jeden nebo více náhodnì generován hlavní klíèe. Poèet hlavních klíèù závisí na stáøí profilu uživatele. Hlavní klíèe jsou obnovena v pravidelných intervalech. Ve výchozím nastavení je tato hodnota každých 90 dní.

Protože hlavní klíèe obsahují data, která je požadována k dešifrování dùvìrné informace pro všechny uživatele, musí být chránìn hlavní klíèe. Jsou chránìny pomocí hodnoty odvozené z hesla uživatele. Heslo je jedineèná hodnota, které zná pouze uživatel. Protože hlavní klíè je ve skuteènosti zašifrovány pomocí hodnotu, která je odvozená od heslo uživatele, tato hodnota je zamìòují s heslo uživatele v popisech prezentovány v tomto èlánku.

Rozhraní DPAPI ekologické zhodnocení

Tato èást popisuje prostøedí konfigurací, které ovlivòují chování rozhraní DPAPI ochrany.

Povinné profily a rozhraní DPAPI

Povinné profily jsou profily jen pro ètení. Žádné aktualizace, které jsou provedeny místní kopii povinného profilu jsou uloženy. Generování klíèù je blokován napøíklad v povinného profilu. Rozhraní DPAPI ukládá hlavní klíè místní kopie profilu a pravidelnì vytváøí nové hlavní klíèe a aktualizuje šifrování na chránìný dùvìrné informace s nový hlavní klíè.

Protože jsou tyto dvì podmínky nekompatibilní, závisí na rozhraní DPAPI chránit dùvìrné informace programy nepracují správnì s povinné profily. Programy, které chránit dùvìrné informace s rozhraní DPAPI, které nepracují správnì s povinné profily zahrnout EFS (soukromé klíèe) certifikáty s soukromé klíèe (soukromé klíèe) a uložená povìøení v systému Windows XP a novìjší (povìøení). Konfigurace, které používají tyto typy dat nebo programy nejsou podporovány.

Rozhraní DPAPI a cestovní profily

Rozhraní DPAPI funguje podle oèekávání cestovní profily uživatelù a poèítaèù, které jsou pøipojeny k doménì adresáøové služby Active Directory. Rozhraní DPAPI data uložená v profilu funguje stejnì jako jiné nastavení nebo soubor, který je uložen v cestovním profilu. Rozhraní DPAPI pomáhá chránit dùvìrné informace odeslány do umístìní centrální profil bìhem odhlášení a jsou pøi pøihlášení uživatele stažen z umístìní centrální profil.

Pro rozhraní DPAPI pracovat správnì, když používá cestovní profily uživatele domény pouze pøihlášen k poèítaèi v doménì. Pokud chce uživatel pøihlásit do jiného poèítaèe v doménì, uživatel musí odhlásit první poèítaè pøed pøihlášení uživatele k poèítaèi druhý. Uživatel je pøihlášen k více poèítaèùm souèasnì, je pravdìpodobné, že rozhraní DPAPI nebude možné dešifrovat existující zašifrovaná data správnì.

Rozhraní DPAPI v jednom poèítaèi mùže dešifrovat hlavní klíè (a data) v jiném poèítaèi. Tato funkce je poskytován konzistentní heslo uživatele, která je uložena a ovìøena øadièem domény. Pokud dojde k neoèekávanému pøerušení typické procesu, mùžete použít rozhraní DPAPI proces popsaný v èásti "Heslo obnovit" v tomto èlánku.

Je aktuální omezení s cestovní profily mezi systémem Windows XP nebo systémem Windows Server 2003 poèítaèù a poèítaèù se systémem Windows 2000. Pokud klíèe jsou generovány nebo importovány v poèítaèi se systémem Windows XP nebo systémem Windows Server 2003 a uložené v cestovním profilu, rozhraní DPAPI nelze dešifrovat tyto klíèe v poèítaèi se systémem Windows 2000, pokud jste pøihlášeni s cestovního profilu uživatele. Poèítaèe se systémem Windows XP nebo systémem Windows Server 2003 však lze dešifrovat klíèù generovaných v poèítaèi se systémem Windows 2000.

Rozhraní DPAPI a zmìny hesla

Uživatelé v prostøedí zvýšeného zabezpeèení se oèekává zmìnit svá hesla v pravidelných intervalech. Výsledkem je musí být rozhraní DPAPI moci udržovat stejnou úroveò pøístupu daného uživatele chránìné data po zmìnì hesla. Zmìna uživatelských hesel v prostøedí systému Windows jsou použity následující metody:

Zmìnit heslo

Tato metoda je plynulých pøístup uživatele hlavní klíèe bìhem zmìny hesla. Rozhraní DPAPI vyvolán souèásti Winlogon bìhem operací zmìnit heslo v doménì Active Directory:

• Rozhraní DPAPI obdrží oznámení z Winlogon bìhem operace zmìny hesla.
• Rozhraní DPAPI dešifruje všech hlavních klíèù, které byly zašifrovány pomocí starého hesla uživatele.
• Rozhraní DPAPI re-encrypts všech hlavních klíèù s nové heslo uživatele.

Obnovení hesla (sada)

Tato metoda obnoví správce nucenì uživatelské heslo. Obnovení hesla je složitìjší než zmìnu hesla. Protože správce není pøihlášen jako uživatel a nemá pøístup staré heslo uživatele, že staré heslo nelze použít k dešifrování staré hlavní klíè a re-encrypt s nové heslo.

Ve všech pøípadech obnovení hesla Pokud heslo uživatele zmìní zpìt na poslední heslo pøed byla resetována, pøístup je obnoven do hlavního klíèe a v dùsledku toho obnovit pøístup k dùvìrným informacím pomáhá chránit. K tomuto chování dochází, protože hlavní klíèe nikdy odstranìny, i když nemùže být dešifrován. Však to mùže být nespolehlivé øešení, protože uživatel moci vždy pamatovat staré heslo nelze oèekávat. Napøíklad heslo uživatele mùže bylo vynulováno protože uživatel toto heslo zapomnìli.

Rozhraní DPAPI byl odstranìn problému obnovit heslo zpùsob závisí na zabezpeèení prostøedí, kde je uživatel ovìøen.

Obnovení hesla: Domain Users v systému Windows 2000 nebo vyšší Domain

Pøi použití rozhraní DPAPI v prostøedí domény Active Directory dvì kopie hlavní klíè vytvoøen a aktualizována pøi každé operace provedena na hlavní klíè. První kopie je chránìn uživatel heslo popsané výše v tomto èlánku. Druhá kopie zašifrována pomocí veøejného klíèe, který je spojen s øadièi domény v doménì. Soukromý klíè, který je spojen s veøejným klíèem je známo, všechny Windows 2000 a novìjší øadièe domény. Øadièe domény Windows 2000 použít symetrický klíè k šifrování a dešifrování druhou kopii hlavního klíèe.

Pokud obnovit heslo uživatele a pùvodní hlavní klíè je vykreslen pro uživatele nedostupný, je pøístup uživatele k hlavní klíè automaticky obnoven pomocí záložní hlavní klíè v následujícím procesu:

• Pracovní stanice odešle zašifrované záložní hlavní klíè systému Windows 2000 nebo novìjší øadièe domény pøes chránìné RPC.
• Øadiè domény používá soukromý klíè k dešifrování uživatele hlavní klíè.
• Øadiè domény vrátí nezašifrované hlavní klíè pracovní stanice.
• Pracovní stanice re-encrypts hlavního klíèe pomocí nové heslo uživatele.

Obnovení hesla: doménì systému Windows NT 4.0

Spoleènost Microsoft nedoporuèuje použití rozhraní DPAPI povolena funkce (napøíklad EFS nebo soukromý klíè úložištì) pro uživatele, kteøí jsou v doménì Windows NT 4.0. V èásti "Známé problémy" Další informace tohoto èlánku.

Po vytvoøení nového hesla poèítaèe klienta se systémem Windows 2000 obnoví pøístup uživatele chránìné rozhraní DPAPI dùvìrné informace automaticky pomocí záložní hlavní klíè stejným zpùsobem, ani pokud je uživatel v pracovní skupinì. Naleznete v èásti "Heslo obnovit: Windows 2000 Workstation v Workgroup" v tomto èlánku, Další informace o tomto postupu a pro informaèní bezpeènostní rizika.

Windows XP v doménì Windows NT 4.0 nevede záložní kopii hlavního klíèe. Další informace naleznete v tomto èlánku v èásti "Známé problémy"

Obnovení hesla: systémem Windows 2000 Workstation v pracovní skupinì

Pokud používáte rozhraní DPAPI samostatný poèítaè, jsou dvì kopie hlavní klíè vytvoøen a aktualizována pøi každé operace provedena na hlavní klíè. První kopie je chránìn uživatel heslo popsané výše v tomto èlánku. Druhou kopii zašifrován dùvìrné hodnotu známé k úètu místního poèítaèe.

Po vynucenì obnovit heslo uživatele a pøihlásí uživatele s nové heslo, systém Windows 2000 automaticky dešifruje kopie zašifrována poèítaèi hlavní klíè a re-encrypts s hodnotou odvozené z nové heslo uživatele. Z pohledu uživatele je pøístup uživatele k dùvìrným informacím je chránìn rozhraní DPAPI zcela bez pøerušení.

Dùležité: Toto chování mùže ovlivnit zabezpeèení. Spoleènost Microsoft nedoporuèuje používat rozhraní DPAPI ve výchozí konfiguraci takto. Spoleènost Microsoft doporuèuje použít jednu z následujících metod pro samostatné poèítaèe Windows 2000, které obsahují citlivá data mùže být fyzicky ohrožena:

• Upgrade na systém Windows XP
• Použití režimu SYSKEY 2 nebo 3 na pøenosném poèítaèi systémem Windows 2000
• 
  Další informace o SYSKEY klepnutím na následující èíslo èlánku databáze Microsoft Knowledge Base:
  143475

  (http://support.microsoft.com/kb/143475/EN-US/ )

  Systémový klíè WINDOWSNT povoluje silné šifrování SAM

Obnovení hesla: Windows XP Workstation v pracovní skupinì

Ve výchozím nastavení nevytváøí ZMÍNÌNÝCH záložní kopie hlavního klíèe. Provede tak zabránit útoku offline mezipamìti hlavního klíèe. V systému Windows XP mùžete vytvoøit disketu pro nastavení nového hesla, takže uživatel mùže obnovit své heslo, pokud jejich zapomenout. Pokud používáte Windows XP Service Pack 1 (SP1) nebo novìjší, mùžete nakonfigurovat v registru tak, který systém Windows udržuje záložní kopii hlavního klíèe.
Další informace o efekty Zmìna vynutit hesla a možných obnovení klepnìte na následující èíslo èlánku databáze Microsoft Knowledge Base: Heslo obnovit disky

Diskety pro obnovení hesla jsou k dispozici, pouze v systému Windows XP nebo novìjší poèítaèù, které jsou pøipojeny k pracovním skupinám. Heslo obnovit disku dovoluje uživateli k opìtovnému získání pøístupu k jejich úèet a dùvìrné informace, které rozhraní DPAPI chránìny v profilu.

Další informace o heslo diskety získáte v èlánku databáze Microsoft Knowledge Base:

Známé problémy

Nemají pøístup k rozhraní DPAPI tajné informace v doménì systému Windows NT 4.0

Dùležité: Spoleènost Microsoft nedoporuèuje používat rozhraní DPAPI v prostøedí domény Windows NT 4.0.

V doménì Windows NT 4.0 BEZE nevytváøí záložní kopii hlavního klíèe uživatele. Toto je výchozí chování. Pokud zmìníte nebo nové heslo, mùže uživatel odepøen pøístup k dùvìrné informace obsažené v jejich profil. Pøístup je obnovit, pouze pokud uživatel zmìní heslo k poslední známé funkèní heslo.

Nejèastìji zpùsobuje problémy s rozhraní DPAPI v doménì Windows NT 4.0 zahrnovat obnovení hesla nebo cestovní profily. Problémy s cestovní profily dojít, pokud uživatel byla nedávno zmìnìna jejich hesla. V závislosti na rùzných faktorech mùže pøerušit typické operací cestovního profilu uživatele profil uživatele pøihlášeni k pravdìpodobnì není byly aktualizovány s nové heslo (hlavní klíè šifrování).

Chcete-li tento problém vyøešit, nainstalujte øadiè domény Windows 2000 nebo Windows Server 2003 v doménì uživatele. Rozhraní DPAPI automaticky vyhledá tento øadiè domény provést zálohování a obnovení operace pomocí pár veøejného a soukromého klíèe øadiè domény rozhraní DPAPI.

Pokud používáte Windows SP1 a vyšší, mùžete vynutit rozhraní DPAPI provádìt místní zálohy hlavního klíèe pøi pøipojen k doménì Windows NT4. Spoleènost Microsoft však nedoporuèuje tento postup, protože ovlivòuje zabezpeèení poèítaèe, kde je zmìna použita.

Další informace získáte v následujícím èlánku znalostní báze Microsoft Knowledge Base:

Nemají pøístup k rozhraní DPAPI tajné informace po pøeinstalování Windows v poèítaèi samostatným

Podle návrhu nelze získat pøístup k rozhraní DPAPI dùvìrné informace po instalaci systému Windows na samostatný poèítaè. Instance uživatele byl v pùvodní kopii systému Windows nachází znièen po pøeinstalovat operaèní systém bez inovace. Nový uživatel, který je vytvoøen se stejným názvem v databázi zabezpeèení rùzných má komitenta zabezpeèení rùzné. Nový uživatel nemá pøístup k dešifrování rozhraní DPAPI dùvìrné informace pùvodní uživatele. Uživatel nemùže pøístup k jejich dùvìrné informace pomocí hlavního klíèe uživatele.

Pùvodní kopie systému Windows pomáhá chránit jeho kopie hlavního klíèe s dùvìrných dat, která je známá pouze na danou kopii systému Windows. Pokud nahradíte operaèního systému nelze získat pøístup dùvìrných dat. Uživatel nemùže pøístup k jejich dùvìrné informace pomocí záložní hlavního klíèe.

Nelze pøidat nebo pøístup rozhraní DPAPI tajné informace s povinné profily

Podle návrhu Windows 2000 a Windows XP neumožòuje zápis do místní kopii povinný profil, protože data uložena po poèáteèní relace. Rozhraní DPAPI nelze v dùsledku toho ukládat nové hlavní klíèe, aktualizovat hlavního klíèe na zmìnu hesla nebo pøidat chránìná data povinného profilu.

Nemají pøístup k rozhraní DPAPI tajné informace po pøipojení nebo odebírání domény

Pokud jste ztratili pøístup k datùm rozhraní DPAPI samostatný poèítaè mít pøipojen k doménì, mùžete obnovit pøístup pøihlášení jako místní uživatel. Pøihlásit se jako místní uživatel poèítaèe domény pøipojen, klepnìte na název místního poèítaèe v poli rozevíracího seznamu v dialogovém oknì pøihlášení a zadat místní uživatelské jméno a heslo.

Pokud jste odebrán poèítaèe z domény, musíte znovu se pøipojte k doménì a poté se pøihlaste jako stejný uživatel domény k opìtovnému získání pøístupu k souborùm.

Pokyny a doporuèené postupy

• Spoleènost Microsoft doporuèuje použití silných hesel. Použít vìtšinu obtížné složité heslo spolehlivì zapamatujete. Poznámka: Heslo filtry nejsou aktuálnì podporovány rozhraní DPAPI.
• Exportovat a zálohovat dùležité certifikáty a soukromé klíèe na bezpeèném umístìní.