Jak řešit rozhraní DPAPI (Data Protection API)

Překlady článku Překlady článku
ID článku: 309408 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Rozhraní DPAPI (Data Protection API) pomáhá chránit data v systému Windows 2000 a novější operační systémy. Rozhraní DPAPI se používá k ochraně soukromých klíčů, uložená pověření (v systému Windows XP a novější) a další důvěrné informace, že operační systém nebo program chce zachovat důvěrné.

Rozhraní DPAPI není zodpovědná za ukládání chrání důvěrné informace. Je pouze zodpovědný za šifrování a dešifrování dat pro programy zavolejte ji jako například Windows pověření správce, mechanismus úložiště soukromý klíč nebo jakékoli programy jiných výrobců, které volají funkce CryptProtectData() a CryptUnprotectData() funkce v systému Windows 2000, Windows XP nebo novější.

Poznámka: Tato funkce se liší od funkce nabízené Windows chráněné úložiště (P úložiště) v systému Windows NT 4.0. P úložiště je zodpovědný za Ochrana a ukládání důvěrné informace. Rozhraní DPAPI nabízí žádné možnosti úložiště.
Tento článek popisuje, jak rozhraní DPAPI chránit data na základní úrovni. Obsahuje také informace vztahující se k odstraňování potíží ztráta přístupu k datům rozhraní DPAPI chráněné v různých scénářů.

Další informace o pracuje rozhraní DPAPI naleznete na následujícím webu:
http://msdn2.microsoft.com/en-us/library/ms995355.aspx
Tento článek obsahuje následující témata:

Další informace

Důležité: Odstraňování ztrátu dat rozhraní DPAPI musí shromážděte následující informace:
  • Jak pracuje rozhraní DPAPI ve vašem prostředí konkrétní zabezpečení včetně verze místní pracovní stanici?
  • Je pracovní stanice je připojen k doméně?
  • Je uživatel je členem domény?
  • Co je verze operačního systému, který je hostitelem domény?
Mnoho problémů s rozhraní DPAPI dojít při použití rozhraní DPAPI v doméně Windows NT 4.0. V části "Známé problémy" dále v tomto článku, Další informace.

Rozhraní DPAPI je používán především funkce zabezpečení operačního systému k ochraně dat jménem uživatele. Libovolný program jiného výrobce můžete navíc použít rozhraní DPAPI bezpečně ochrany dat uživatele.

Co lze uzamknout rozhraní DPAPI

Rozhraní DPAPI pomáhá chránit následující položky:
  • Webová stránka pověření (například hesla)
  • Pověření sdílení souboru
  • Soukromé klíče přidružené (ENCRYPTING File System), S/MIME a jiných certifikátů
  • Data programu, který je chráněn pomocí funkce CryptProtectData()

Příklad: Certifikáty a soukromé klíče

Tato část popisuje rozdíl mezi osobních dat a rozhraní DPAPI pomáhá chránit důvěrné informace. Následující seznam popisuje umístění dat během operace importu certifikátu a popisuje soukromý klíč, který je přidružen tento certifikát uživatele osobní úložiště:
  • Certifikát je kódován jako binary large object a uložena jako binární hodnota v následujícím umístění souboru:
    %Userprofile%\Application Data\Microsoft\SystemCertificates\My\Certificates
  • Všimněte si, že je umístění klíče registru v profilu místního uživatele. Toto umístění zajistí pouze přihlášený uživatel má přístup ke své vlastní certifikáty v typické okolností.
  • Certifikáty nejsou chráněny rozhraní DPAPI jakékoli výchozí Windows mechanismy. Seznam řízení přístupu (ACL) se používá k definování podregistru uživatele, kteří mohou načíst a kdo může číst certifikáty jsou uloženy v podregistru.
  • Soukromý klíč, který je přidružený k certifikátu je šifrována pomocí rozhraní DPAPI a uložen (v šifrované podobě) v kontejneru klíče jako jednotlivý soubor profilu uživatele v následujících složkách:
    • Pro klíčů RSA:
      %Userprofile%\Application Data\Microsoft\Crypto\RSA\ User SID
    • Pro DSA klíčů:
      %Userprofile%\Application Data\Microsoft\Crypto\DSA\ User SID

Princip rozhraní DPAPI

Poznámka: Pro účely jasnost v kontextu tohoto článku mají byla zjednodušené termíny a pojmy, které jsou popsány v této části. Některé úroveň podrobností tento argument vynechán. Například Tento článek pojednává o hodnotu, která je odvozená od heslo uživatele, ale nepopisuje podrobnosti algoritmus použít k odvození hodnotu. Podrobný popis pracuje rozhraní DPAPI zobrazit dokument white paper Windows Ochrana dat. Tento dokument naleznete na následujícím webu společnosti Microsoft:
http://msdn2.microsoft.com/en-us/library/ms995355.aspx
Rozhraní DPAPI je funkce používaný k ochraně dat uživatele programy a různé součásti operačního systému. Operace rozhraní DPAPI není pro uživatele viditelné. Rozhraní DPAPI pomáhá chránit data v kontextu zabezpečení uživatele, který spouští program.

Rozhraní DPAPI pomáhá chránit důvěrné informace pomocí dat hodnoty odvozené z hlavní klíč s názvem Pseudonáhodná 512 bitů číslo. Řadiče domény Windows Server 2003 použít klíč RSA 2048 bitů, ale pouze při spuštění domény v režimu Windows Server 2003 nebo funkční úroveň domény 2. Každý uživatelský účet má jeden nebo více náhodně generován hlavní klíče. Počet hlavních klíčů závisí na stáří profilu uživatele. Hlavní klíče jsou obnovena v pravidelných intervalech. Ve výchozím nastavení je tato hodnota každých 90 dní.

Protože hlavní klíče obsahují data, která je požadována k dešifrování důvěrné informace pro všechny uživatele, musí být chráněn hlavní klíče. Jsou chráněny pomocí hodnoty odvozené z hesla uživatele. Heslo je jedinečná hodnota, které zná pouze uživatel. Protože hlavní klíč je ve skutečnosti zašifrovány pomocí hodnotu, která je odvozená od heslo uživatele, tato hodnota je zaměňují s heslo uživatele v popisech prezentovány v tomto článku.

Rozhraní DPAPI ekologické zhodnocení

Tato část popisuje prostředí konfigurací, které ovlivňují chování rozhraní DPAPI ochrany.

Povinné profily a rozhraní DPAPI

Povinné profily jsou profily jen pro čtení. Žádné aktualizace, které jsou provedeny místní kopii povinného profilu jsou uloženy. Generování klíčů je blokován například v povinného profilu. Rozhraní DPAPI ukládá hlavní klíč místní kopie profilu a pravidelně vytváří nové hlavní klíče a aktualizuje šifrování na chráněný důvěrné informace s nový hlavní klíč.

Protože jsou tyto dvě podmínky nekompatibilní, závisí na rozhraní DPAPI chránit důvěrné informace programy nepracují správně s povinné profily. Programy, které chránit důvěrné informace s rozhraní DPAPI, které nepracují správně s povinné profily zahrnout EFS (soukromé klíče) certifikáty s soukromé klíče (soukromé klíče) a uložená pověření v systému Windows XP a novější (pověření). Konfigurace, které používají tyto typy dat nebo programy nejsou podporovány.

Rozhraní DPAPI a cestovní profily

Rozhraní DPAPI funguje podle očekávání cestovní profily uživatelů a počítačů, které jsou připojeny k doméně adresářové služby Active Directory. Rozhraní DPAPI data uložená v profilu funguje stejně jako jiné nastavení nebo soubor, který je uložen v cestovním profilu. Rozhraní DPAPI pomáhá chránit důvěrné informace odeslány do umístění centrální profil během odhlášení a jsou při přihlášení uživatele stažen z umístění centrální profil.

Pro rozhraní DPAPI pracovat správně, když používá cestovní profily uživatele domény pouze přihlášen k počítači v doméně. Pokud chce uživatel přihlásit do jiného počítače v doméně, uživatel musí odhlásit první počítač před přihlášení uživatele k počítači druhý. Uživatel je přihlášen k více počítačům současně, je pravděpodobné, že rozhraní DPAPI nebude možné dešifrovat existující zašifrovaná data správně.

Rozhraní DPAPI v jednom počítači může dešifrovat hlavní klíč (a data) v jiném počítači. Tato funkce je poskytován konzistentní heslo uživatele, která je uložena a ověřena řadičem domény. Pokud dojde k neočekávanému přerušení typické procesu, můžete použít rozhraní DPAPI proces popsaný v části "Heslo obnovit" v tomto článku.

Je aktuální omezení s cestovní profily mezi systémem Windows XP nebo systémem Windows Server 2003 počítačů a počítačů se systémem Windows 2000. Pokud klíče jsou generovány nebo importovány v počítači se systémem Windows XP nebo systémem Windows Server 2003 a uložené v cestovním profilu, rozhraní DPAPI nelze dešifrovat tyto klíče v počítači se systémem Windows 2000, pokud jste přihlášeni s cestovního profilu uživatele. Počítače se systémem Windows XP nebo systémem Windows Server 2003 však lze dešifrovat klíčů generovaných v počítači se systémem Windows 2000.

Rozhraní DPAPI a změny hesla

Uživatelé v prostředí zvýšeného zabezpečení se očekává změnit svá hesla v pravidelných intervalech. Výsledkem je musí být rozhraní DPAPI moci udržovat stejnou úroveň přístupu daného uživatele chráněné data po změně hesla. Změna uživatelských hesel v prostředí systému Windows jsou použity následující metody:
Změnit heslo
Tato metoda je plynulých přístup uživatele hlavní klíče během změny hesla. Rozhraní DPAPI vyvolán součásti Winlogon během operací změnit heslo v doméně Active Directory:
  • Rozhraní DPAPI obdrží oznámení z Winlogon během operace změny hesla.
  • Rozhraní DPAPI dešifruje všech hlavních klíčů, které byly zašifrovány pomocí starého hesla uživatele.
  • Rozhraní DPAPI re-encrypts všech hlavních klíčů s nové heslo uživatele.
Obnovení hesla (sada)
Tato metoda obnoví správce nuceně uživatelské heslo. Obnovení hesla je složitější než změnu hesla. Protože správce není přihlášen jako uživatel a nemá přístup staré heslo uživatele, že staré heslo nelze použít k dešifrování staré hlavní klíč a re-encrypt s nové heslo.

Ve všech případech obnovení hesla Pokud heslo uživatele změní zpět na poslední heslo před byla resetována, přístup je obnoven do hlavního klíče a v důsledku toho obnovit přístup k důvěrným informacím pomáhá chránit. K tomuto chování dochází, protože hlavní klíče nikdy odstraněny, i když nemůže být dešifrován. Však to může být nespolehlivé řešení, protože uživatel moci vždy pamatovat staré heslo nelze očekávat. Například heslo uživatele může bylo vynulováno protože uživatel toto heslo zapomněli.

Rozhraní DPAPI byl odstraněn problému obnovit heslo způsob závisí na zabezpečení prostředí, kde je uživatel ověřen.

Obnovení hesla: Domain Users v systému Windows 2000 nebo vyšší Domain

Při použití rozhraní DPAPI v prostředí domény Active Directory dvě kopie hlavní klíč vytvořen a aktualizována při každé operace provedena na hlavní klíč. První kopie je chráněn uživatel heslo popsané výše v tomto článku. Druhá kopie zašifrována pomocí veřejného klíče, který je spojen s řadiči domény v doméně. Soukromý klíč, který je spojen s veřejným klíčem je známo, všechny Windows 2000 a novější řadiče domény. Řadiče domény Windows 2000 použít symetrický klíč k šifrování a dešifrování druhou kopii hlavního klíče.

Pokud obnovit heslo uživatele a původní hlavní klíč je vykreslen pro uživatele nedostupný, je přístup uživatele k hlavní klíč automaticky obnoven pomocí záložní hlavní klíč v následujícím procesu:
  • Pracovní stanice odešle zašifrované záložní hlavní klíč systému Windows 2000 nebo novější řadiče domény přes chráněné RPC.
  • Řadič domény používá soukromý klíč k dešifrování uživatele hlavní klíč.
  • Řadič domény vrátí nezašifrované hlavní klíč pracovní stanice.
  • Pracovní stanice re-encrypts hlavního klíče pomocí nové heslo uživatele.
Obnovení hesla: doméně systému Windows NT 4.0

Společnost Microsoft nedoporučuje použití rozhraní DPAPI povolena funkce (například EFS nebo soukromý klíč úložiště) pro uživatele, kteří jsou v doméně Windows NT 4.0. V části "Známé problémy" Další informace tohoto článku.

Po vytvoření nového hesla počítače klienta se systémem Windows 2000 obnoví přístup uživatele chráněné rozhraní DPAPI důvěrné informace automaticky pomocí záložní hlavní klíč stejným způsobem, ani pokud je uživatel v pracovní skupině. Naleznete v části "Heslo obnovit: Windows 2000 Workstation v Workgroup" v tomto článku, Další informace o tomto postupu a pro informační bezpečnostní rizika.

Windows XP v doméně Windows NT 4.0 nevede záložní kopii hlavního klíče. Další informace naleznete v tomto článku v části "Známé problémy"

Obnovení hesla: systémem Windows 2000 Workstation v pracovní skupině

Pokud používáte rozhraní DPAPI samostatný počítač, jsou dvě kopie hlavní klíč vytvořen a aktualizována při každé operace provedena na hlavní klíč. První kopie je chráněn uživatel heslo popsané výše v tomto článku. Druhou kopii zašifrován důvěrné hodnotu známé k účtu místního počítače.

Po vynuceně obnovit heslo uživatele a přihlásí uživatele s nové heslo, systém Windows 2000 automaticky dešifruje kopie zašifrována počítači hlavní klíč a re-encrypts s hodnotou odvozené z nové heslo uživatele. Z pohledu uživatele je přístup uživatele k důvěrným informacím je chráněn rozhraní DPAPI zcela bez přerušení.

Důležité: Toto chování může ovlivnit zabezpečení. Společnost Microsoft nedoporučuje používat rozhraní DPAPI ve výchozí konfiguraci takto. Společnost Microsoft doporučuje použít jednu z následujících metod pro samostatné počítače Windows 2000, které obsahují citlivá data může být fyzicky ohrožena:
  • Upgrade na systém Windows XP
  • Použití režimu SYSKEY 2 nebo 3 na přenosném počítači systémem Windows 2000

  • Další informace o SYSKEY klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
    143475Systémový klíč WINDOWSNT povoluje silné šifrování SAM
Obnovení hesla: Windows XP Workstation v pracovní skupině

Ve výchozím nastavení nevytváří ZMÍNĚNÝCH záložní kopie hlavního klíče. Provede tak zabránit útoku offline mezipaměti hlavního klíče. V systému Windows XP můžete vytvořit disketu pro nastavení nového hesla, takže uživatel může obnovit své heslo, pokud jejich zapomenout. Pokud používáte Windows XP Service Pack 1 (SP1) nebo novější, můžete nakonfigurovat v registru tak, který systém Windows udržuje záložní kopii hlavního klíče.
Další informace o efekty Změna vynutit hesla a možných obnovení klepněte na následující číslo článku databáze Microsoft Knowledge Base:
290260EFS, pověření a soukromé klíče od certifikátů nejsou k dispozici po vytvoření nového hesla
Heslo obnovit disky

Diskety pro obnovení hesla jsou k dispozici, pouze v systému Windows XP nebo novější počítačů, které jsou připojeny k pracovním skupinám. Heslo obnovit disku dovoluje uživateli k opětovnému získání přístupu k jejich účet a důvěrné informace, které rozhraní DPAPI chráněny v profilu.

Další informace o heslo diskety získáte v článku databáze Microsoft Knowledge Base:
321305Jak se přihlásit k systému Windows XP, pokud zapomenete své heslo nebo platnost hesla vyprší

Známé problémy

Nemají přístup k rozhraní DPAPI tajné informace v doméně systému Windows NT 4.0

Důležité: Společnost Microsoft nedoporučuje používat rozhraní DPAPI v prostředí domény Windows NT 4.0.

V doméně Windows NT 4.0 BEZE nevytváří záložní kopii hlavního klíče uživatele. Toto je výchozí chování. Pokud změníte nebo nové heslo, může uživatel odepřen přístup k důvěrné informace obsažené v jejich profil. Přístup je obnovit, pouze pokud uživatel změní heslo k poslední známé funkční heslo.

Nejčastěji způsobuje problémy s rozhraní DPAPI v doméně Windows NT 4.0 zahrnovat obnovení hesla nebo cestovní profily. Problémy s cestovní profily dojít, pokud uživatel byla nedávno změněna jejich hesla. V závislosti na různých faktorech může přerušit typické operací cestovního profilu uživatele profil uživatele přihlášeni k pravděpodobně není byly aktualizovány s nové heslo (hlavní klíč šifrování).

Chcete-li tento problém vyřešit, nainstalujte řadič domény Windows 2000 nebo Windows Server 2003 v doméně uživatele. Rozhraní DPAPI automaticky vyhledá tento řadič domény provést zálohování a obnovení operace pomocí pár veřejného a soukromého klíče řadič domény rozhraní DPAPI.

Pokud používáte Windows SP1 a vyšší, můžete vynutit rozhraní DPAPI provádět místní zálohy hlavního klíče při připojen k doméně Windows NT4. Společnost Microsoft však nedoporučuje tento postup, protože ovlivňuje zabezpečení počítače, kde je změna použita.

Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
331333 Uživatel nemůže získat přístup k zašifrovaným souborům EFS po změně hesla nebo při použití cestovního profilu

Nemají přístup k rozhraní DPAPI tajné informace po přeinstalování Windows v počítači samostatným

Podle návrhu nelze získat přístup k rozhraní DPAPI důvěrné informace po instalaci systému Windows na samostatný počítač. Instance uživatele byl v původní kopii systému Windows nachází zničen po přeinstalovat operační systém bez inovace. Nový uživatel, který je vytvořen se stejným názvem v databázi zabezpečení různých má komitenta zabezpečení různé. Nový uživatel nemá přístup k dešifrování rozhraní DPAPI důvěrné informace původní uživatele. Uživatel nemůže přístup k jejich důvěrné informace pomocí hlavního klíče uživatele.

Původní kopie systému Windows pomáhá chránit jeho kopie hlavního klíče s důvěrných dat, která je známá pouze na danou kopii systému Windows. Pokud nahradíte operačního systému nelze získat přístup důvěrných dat. Uživatel nemůže přístup k jejich důvěrné informace pomocí záložní hlavního klíče.

Nelze přidat nebo přístup rozhraní DPAPI tajné informace s povinné profily

Podle návrhu Windows 2000 a Windows XP neumožňuje zápis do místní kopii povinný profil, protože data uložena po počáteční relace. Rozhraní DPAPI nelze v důsledku toho ukládat nové hlavní klíče, aktualizovat hlavního klíče na změnu hesla nebo přidat chráněná data povinného profilu.

Nemají přístup k rozhraní DPAPI tajné informace po připojení nebo odebírání domény

Pokud jste ztratili přístup k datům rozhraní DPAPI samostatný počítač mít připojen k doméně, můžete obnovit přístup přihlášení jako místní uživatel. Přihlásit se jako místní uživatel počítače domény připojen, klepněte na název místního počítače v poli rozevíracího seznamu v dialogovém okně přihlášení a zadat místní uživatelské jméno a heslo.

Pokud jste odebrán počítače z domény, musíte znovu se připojte k doméně a poté se přihlaste jako stejný uživatel domény k opětovnému získání přístupu k souborům.

Pokyny a doporučené postupy

  • Společnost Microsoft doporučuje použití silných hesel. Použít většinu obtížné složité heslo spolehlivě zapamatujete. Poznámka: Heslo filtry nejsou aktuálně podporovány rozhraní DPAPI.
  • Exportovat a zálohovat důležité certifikáty a soukromé klíče na bezpečném umístění.

Vlastnosti

ID článku: 309408 - Poslední aktualizace: 3. prosince 2007 - Revize: 4.6
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT 4.0
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Klíčová slova: 
kbmt kbinfo KB309408 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:309408

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com