Cómo solucionar el API de protección de datos

Seleccione idioma Seleccione idioma
Id. de artículo: 309408 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

El API de protección de datos ayuda a proteger datos de Windows 2000 y sistemas operativos posteriores. DPAPI se utiliza para ayudar a proteger clave privada, credenciales almacenadas en Windows XP y posteriormente y otra información confidencial en la que desea o el sistema operativo mantener confidencial un programa un programa.

DPAPI no es responsable para almacenar la información confidencial que protege. Sólo es responsable para cifrar y descifrar datos para programas de llamada de ello como administrador Credencial de Windows, el mecanismo de almacenamiento de clave privada o cualquier programa de tercero que llame a la función CryptProtectData() y a que CryptUnprotectData() funciona en Windows 2000 Windows XP o posteriormente.

Nota Esta funcionalidad es diferente de la funcionalidad que se ofrece por el almacén protegido (P-store) de Windows en Windows NT 4.0. P-store es responsable de proteger y almacenar información confidencial. DPAPI no ofrece ninguna posibilidad de almacenamiento.
En este artículo se describe cómo ayuda DPAPI a proteger datos a un nivel básico. También incluye información que se relaciona con solucionar pérdida de acceso a datos DPAPI protegido en escenarios diferentes.

Para más información sobre cómo trabaja DPAPI, visite el sitio Web de Microsoft siguiente:
http://msdn2.microsoft.com/en-us/library/ms995355.aspx
Este Este artículo incluye los temas siguientes:

Más información

Importante Para solucionar la pérdida de datos DPAPI, debe recopilar la información siguiente:
  • ¿Cómo funciona DPAPI en su entorno de seguridad determinada que incluye la versión de estación local de trabajo?
  • ¿Es que la estación de trabajo está unida a un dominio?
  • ¿Es que el usuario es un miembro del dominio?
  • ¿Qué es la versión de sistema operativo que aloja el dominio?
Muchos problemas con DPAPI se producen al usarse DPAPI en un dominio de Windows NT 4.0. Consulte la sección "Problemas conocidos" adelante en este artículo para más información.

DPAPI es utilizado principalmente por las características de seguridad del sistema operativo para ayudar a proteger datos en el nombre del usuario. Cualquier programa de tercero además puede utilizar DPAPI para ayudar a proteger datos de usuario de forma segura.

Qué puede proteger DPAPI

DPAPI ayuda a proteger los elementos siguientes:
  • Credenciales de página Web (por ejemplo contraseñas)
  • Archive credenciales compartidas
  • Clave privada asociadas con Sistema de archivos cifrados, S/MIME y otros certificados
  • Datos de programa protegidos utilizando la función CryptProtectData()

Ejemplo certificados y clave privada

En esta sección se describe la diferencia entre datos personales e información confidencial que DPAPI ayuda a proteger. Describe la ubicación de datos durante una operación de importación de un certificado en la lista siguiente y describe la clave privada asociada a aquel certificado al almacén personal del usuario:
  • El certificado se codifica como un objeto binario grande y se almacena como un valor binario en la ubicación siguiente de archivos:
    %Userprofile%\Application Data\Microsoft\SystemCertificates\My\Certificates
  • Observe que hay una ubicación de la clave de Registro en el perfil del usuario local. Esta ubicación se asegura de que sólo el usuario con inicio de sesión tiene acceso a sus propios certificados en circunstancias típicas.
  • Los certificados no están protegidos por DPAPI por ningún mecanismo predeterminado de Windows. Una lista de control de acceso se utiliza para definir quien puede cargar la sección del usuario y quién puede leer los certificados almacenados en la sección.
  • Es cifrado por DPAPI por la clave privada asociada al certificado y se guarda (en un formato cifrado) como un archivo individual en el perfil del usuario en las carpetas siguientes en un contenedor de claves:
    • Para claves RSA:
      %Userprofile%\Application User SID Data\Microsoft\Crypto\RSA\
    • Para claves DSA:
      %Userprofile%\Application User SID Data\Microsoft\Crypto\DSA\

Cómo funciona DPAPI

Nota Los términos y los conceptos descritos en esta sección se han simplificado para los propósitos de claridad en el contexto de este artículo. Se ha omitido algún nivel de detalle. Por ejemplo, describe un valor derivado de la contraseña del usuario en este artículo pero no describe los detalles del algoritmo que se utiliza para obtener el valor. Para una descripción detallada de cómo funciona DPAPI, vea el documento Windows Data Protection. Para ver este documento, visite el sitio Web de Microsoft siguiente:
http://msdn2.microsoft.com/en-us/library/ms995355.aspx
DPAPI es una función que se utiliza programas y componentes distintos de sistema operativo para ayudar a proteger datos de un usuario. El funcionamiento de DPAPI no es visible para el usuario. DPAPI ayuda a proteger datos en el contexto de seguridad del que ejecuta el programa el usuario.

DPAPI ayuda a proteger información confidencial usando datos de valor derivados de un número 512 bits seudoaleatorios que se denomina una clave maestra. Controladores de dominio Windows Server 2003 utilizan una clave RSA de 2048 bits otro único cuando el dominio se ejecuta en nivel funcional de dominio 2 o modo Windows Server 2003. Cada cuenta de usuario tiene uno o más generó clave principal aleatoriamente. El número de claves maestras depende de la edad del perfil del usuario. Las claves maestras se renuevan a intervalos regulares. De forma predeterminada, este valor se encuentra cada 90 días.

Porque las claves maestras contienen los datos que requieren descifrar la información confidencial de todo el usuario, se deben proteger las claves maestras. Ellos están protegidos utilizando un valor derivado de la contraseña del usuario. La contraseña es un valor único que conoce sólo un usuario. Ya que la clave maestra se cifra realmente utilizando un valor derivado de la contraseña del usuario, este valor se utiliza indistintamente con la contraseña del usuario en las descripciones presentadas en este artículo.

Consideraciones Ambiental de DPAPI

En esta sección se describen las configuraciones de entorno que afectan al comportamiento de protección DPAPI.

DPAPI y perfiles obligatorios

Los perfiles obligatorios son perfiles de sólo lectura. No se guarda ninguna actualización realizada en la copia local de un perfil obligatorio. Por ejemplo, la generación de claves se bloquea en un perfil obligatorio. Regularmente, DPAPI almacena la clave maestra en la copia local de un perfil, crea claves maestras nuevas y actualiza el cifrado en la información confidencial protegida con la clave maestra nueva.

Ya que estas dos condiciones son incompatibles, los programas que dependen de DPAPI para ayudar a proteger información confidencial no funcionan correctamente con perfiles obligatorios. Los programas que ayudan a proteger información confidencial con DPAPI que no funcionan correctamente con perfiles obligatorios incluyen EFS (clave privada) Certificados con claves privadas (clave privada) y Almacenar Credenciales (credenciales) en Windows XP y posteriormente. No se admiten las configuraciones que utilizan estos tipos de datos o estos programas.

DPAPI y perfiles móviles

DPAPI funciona como se espera con perfiles móviles para usuarios y equipos que se unen a un dominio de servicio de directorios de Active Directory. Los datos DPAPI almacenados en el perfil actúan como cualquier otra configuración o archivo exactamente que está almacenado en un perfil móvil. Se carga la información confidencial que el DPAPI ayuda a proteger durante el proceso de cierre de sesión a la ubicación de perfil centralizado y se descarga desde la ubicación de perfil centralizado cuando un usuario inicia una sesión.

Para que DPAPI funcione correctamente cuándo utiliza perfiles móviles, el usuario de dominio sólo debe iniciar la sesión en un equipo único del dominio. Si el usuario desea iniciar sesión, un equipo diferente que se encuentra en el dominio, el usuario, debe cerrar la sesión en el primer equipo antes de que el usuario inicia sesiones en el segundo equipo. Si el usuario inicia sesión en varios equipos al mismo tiempo, es probable que DPAPI no sea capaz de descifrar correctamente datos cifrados existentes.

DPAPI en un equipo puede descifrar la clave maestra (y los datos) en otro equipo. Esta funcionalidad es proporcionada por la contraseña coherente del usuario que es almacenado y que es comprobado por el controlador de dominio. Si se produce una interrupción inesperada del proceso típico, DPAPI puede utilizar el proceso descrito en la sección "Restablecer de Contraseña" adelante de este artículo.

Hay una limitación actual con perfiles móviles entre equipos basados en Windows XP o basados en Windows Server 2003 y equipos basados en Windows 2000. Si las claves se generan, si se importan en un equipo con Windows XP o basado en Windows Server 2003 y si se almacenan en un perfil móvil, DPAPI no puede descifrar estas claves en un equipo con Windows 2000 si inicia sesión con un perfil de usuario móvil. No obstante, un equipo basado en Windows XP o basado en Windows Server 2003 puede descifrar claves generadas en un equipo con Windows 2000.

Cambios de DPAPI y contraseña

Se espera que los usuarios en un entorno de seguridad mejorada cambien sus contraseñas a intervalos regulares. DPAPI debe ser capaz de mantener que el mismo nivel de acceso al usuario protegió datos después de cambios de contraseña como resultado. Los métodos siguientes se utilizan para cambiar contraseñas de usuario en un entorno Windows:
Cambio de contraseña
En este método, la continuidad de acceso a las claves maestras del usuario es durante un cambio de contraseña. Al DPAPI es llamado por el componente Winlogon durante operaciones de cambio de contraseña en un dominio de Active Directory:
  • DPAPI recibe notificación de Winlogon durante una operación de cambio de contraseña.
  • DPAPI descifra todas las claves maestras que estuvieron cifradas con las contraseñas antiguas del usuario.
  • DPAPI vuelve a cifrar todas las claves maestras con la contraseña nueva del usuario.
Restablecimiento de contraseñas (conjunto)
En este método, un administrador restablece una contraseña de usuario a fuerza. Un restablecimiento de contraseñas es más complejo que un cambio de contraseña. Porque el administrador no inicia una sesión como el usuario y no tiene acceso a la contraseña antigua del usuario, aquella contraseña antigua no se puede usar para descifrar la clave maestra antigua y volverlo a cifrar con la nueva contraseña.

Si se cambia la contraseña de nuevo de último la contraseña del usuario antes de que se restableciera, se restaure el acceso en clave maestra y se restaure el acceso como resultado a toda la información confidencial, ayuda a proteger en todos los casos de restablecimientos de contraseñas. Este comportamiento se debe a no eliminar claves maestras cuando no se pueden descifrar incluso. Sin embargo, esto puede ser una solución no confiable porque no puede esperar que el usuario sea capaz de recordar siempre la contraseña antigua. Por ejemplo, se puede haber restablecido la contraseña del usuario a causa de que el usuario olvidó esta contraseña.

La forma como resuelve DPAPI el problema de restablecimiento de contraseña depende del entorno de seguridad del que se autentica el usuario.

Restablecerse contraseña: Usuarios del dominio en Windows 2000 o un dominio posterior

Cuando DPAPI se utiliza en un entorno de dominio de Active Directory, dos copias de la clave maestra se crean y se actualizan siempre que una operación se realiza en la clave maestra. La primera copia está protegida por la contraseña de usuario como se describe en una sección anterior de este artículo. La segunda copia se cifra con una clave pública asociada a los controladores del dominio. La clave privada asociada a esta clave pública es conocida por todo el Windows 2000 y controladores de dominio posteriores. Controladores de dominio de Windows 2000 utilizan una clave simétrica para cifrar y descifrar la segunda copia de la clave maestra.

Si la contraseña de usuario se restablece y si se procesa la clave maestra original inaccesible para el usuario, el acceso a la clave maestra del usuario se restaura automáticamente utilizando la clave maestra de copia de seguridad en el proceso siguiente:
  • La estación de trabajo envía la clave maestra cifrada de copia de seguridad a Windows 2000 o a un controlador de dominio posterior a través de RPC protegido.
  • El controlador utiliza la clave privada para descifrar la clave maestra del usuario.
  • El controlador de dominio devuelve la clave maestra no cifrada a la estación de trabajo.
  • La estación de trabajo vuelve a cifrar la clave maestra que utiliza la nueva contraseña del usuario.
Para que restablezca la contraseña: Dominio de Windows NT 4.0

Microsoft no recomienda el uso de características DPAPI-enabled ( EFS o clave privada por ejemplo almacenamiento ) para usuarios que se encuentran en un dominio de Windows NT 4.0. Consulte la sección "Problemas conocidos" de este artículo para más información.

Después de que se restableció una contraseña, un equipo de cliente basado en Windows 2000 restaura automáticamente el acceso a la información confidencial DPAPI-protected del usuario utilizando la clave maestra de copia de seguridad de la misma manera de que hace de la manera si el usuario se encuentra en un grupo de trabajo. Consulta la sección "Grupo de trabajo un en de Windows 2000 Workstation de:Restablecer de Contraseña" en este artículo si desea más información y acerca de este procedimiento informativo acerca de riesgos de seguridad.

Windows XP en un dominio de Windows NT 4.0 no conserva una copia de seguridad de la clave maestra. Para más información, vea la sección "Problemas conocidos" de este artículo

Para que restablezca la contraseña: Windows 2000 Workstation en un grupo de trabajo

Si está utilizando DPAPI en un equipo independiente, se crea dos copias de la clave maestra y se actualizan siempre que una operación se realiza en la clave maestra. La primera copia está protegida por la contraseña de usuario como se describe en una sección anterior de este artículo. La segunda copia está cifrada con un valor confidencial conocido sólo para la cuenta de equipo local.

Después de se ha restablecido la contraseña de un usuario a fuerza y después de que inicie una sesión con la nueva contraseña, automáticamente, Windows 2000 descifra la copia computer-encrypted de la clave maestra y lo vuelve a cifrar con el valor derivado de la nueva contraseña de usuario. Desde el punto de vista del usuario, el acceso a la información confidencial que se protege DPAPI del usuario es completamente ininterrumpido.

Importante Este comportamiento puede afectar a seguridad. Microsoft no recomienda que utilice DPAPI en una configuración predeterminada similar a esto. Microsoft recomienda que utilice uno de los métodos siguientes a equipos independientes con Windows 2000 que contienen datos confidenciales que se puede ver comprometidos físicamente:
  • Actualizar a Windows XP
  • Utilice modo SYSKEY, 2 o 3, en el equipo portátil basado en Windows 2000

  • Para información adicional acerca de SYSKEY, haga clic en el número de artículo siguiente para ver el artículo en el Microsoft Knowledge Base:
    143475 Clave de Windows NT del sistema permite cifrado seguro del SAM
Para que restablezca la contraseña: Estación de trabajo Windows XP en un grupo de trabajo

De manera predeterminada, XP de Ventana no crea copia de seguridad de la clave maestra. Lo hace para ayudar a impedir un ataque del caché de clave principal sin conexión. En Windows XP, puede crear un disco para que el usuario pueda recuperar su contraseña si lo olvidan para restablecer contraseña. Por tanto, si está utilizando Service Pack 1 de Windows XP (SP1) o si puede configurar el Registro más tarde, aquel Windows mantiene una copia de seguridad de la clave maestra.
Para información adicional acerca de efectos de un cambio de contraseña forcible y una recuperación posible, haga clic en el número de artículo siguiente para ver el artículo en el Microsoft Knowledge Base:
290260 EFS, credenciales y clave privada de certificados no están disponibles después de que se restablece una contraseña
Discaron para restablecer contraseña

Los discos de restablecimiento de contraseñas sólo están disponibles en Windows XP o equipos later-based que están unidos a grupo de trabajos. La contraseña recupera el usuario a permisos de disco para recuperar acceso a su cuenta y a toda la información confidencial que se protege DPAPI en el perfil.

Para información adicional acerca de la contraseña, disque para restablecer, haga clic en el número de artículo siguiente para ver el artículo en el Microsoft Knowledge Base:
321305 Cómo iniciar sesión en Windows XP si olvida la contraseña o si ésta caduca

Problemas conocidos

No puede tener acceso a información confidencial DPAPI en un dominio de Windows NT 4.0

Importante Microsoft no recomienda que utilice DPAPI en un entorno de dominio de Windows NT 4.0.

En un dominio de Windows NT 4.0, Windows XP no crea una copia de seguridad de la clave maestra del usuario. Esto es el comportamiento predeterminado. Si cambia o si restablece la contraseña, se puede denegar acceso al usuario a la información confidencial incluida en su perfil. El acceso sólo se restaura cuando el usuario cambia la contraseña de nuevo a la última contraseña buena conocida.

Las causas más frecuentes de problemas con DPAPI en un dominio de Windows NT 4.0 implican restablecimientos de contraseñas o perfil móvil. Los problemas con perfiles móviles ocurren si el usuario ha cambiado su contraseña recientemente. En función de diversos factores que pueden interrumpir operaciones móviles típicas de perfil de usuario, el perfil en el que se registra el usuario no se puede haber actualizado con la nueva contraseña (cifrado de clave principal).

Para resolver este problema, instale un controlador de dominio de Windows 2000 o Windows Server 2003 en el dominio de usuarios. DPAPI busca automáticamente si este controlador de dominio realiza copia de seguridad y si restaura operaciones que utilizan el par public/private de clave DPAPI del controlador de dominio.

Si está utilizando SP1 de Windows y puede forzar a DPAPI posteriormente que cree copia de seguridad locales de la clave maestra mientras está unido a un dominio Windows NT4. Sin embargo, Microsoft no recomienda este procedimiento porque afecta a la seguridad del equipo donde se aplica el cambio.

Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
331333 Usuario no puede obtener acceso a archivos cifrados EFS después de cambio de contraseña o cuando utilizar unos perfiles móviles cuando utilizar

No puede tener acceso a información confidencial DPAPI después de reinstalar Windows en un equipo independiente

De diseño, no puede tener acceso a información confidencial DPAPI después de instalar Windows en un equipo independiente. La instancia del usuario que estuvo presente en la copia original de Windows se destruye después de que vuelva a instalar el sistema operativo sin actualizar. Cualquier usuario nuevo creado con el mismo nombre tiene un principal de seguridad diferente en una base de datos de seguridad diferente. El usuario nuevo no tiene acceso para descifrar la información confidencial DPAPI del usuario original. El usuario no puede acceder a su información confidencial utilizando la clave maestra de usuario.

La copia original de Windows ayuda a proteger su copia de la clave maestra con datos confidenciales conocidos sólo para aquella copia de Windows. Si sustituye el sistema operativo, no se puede tener acceso a estos datos confidenciales. El usuario no puede acceder a su información confidencial utilizando la clave maestra de copia de seguridad.

No puede agregar o información confidencial DPAPI de Acceso con perfiles obligatorios

De diseño, Windows 2000 y Windows XP no le permiten escribir a la copia local de un perfil obligatorio porque los datos se guardan después de la sesión inicial. Con en consecuencia, DPAPI no puede almacenar claves maestras nuevas, no puede actualizar claves maestras en cambio de contraseña o no puede agregar datos protegidos a un perfil obligatorio.

No puede tener acceso a información confidencial DPAPI después de unirse o separar un dominio

Si haber unido un equipo independiente en un dominio y si haber perdido acceso en datos DPAPI, puede restaurar acceso iniciando sesión como el usuario local. Para iniciar sesión como un usuario local de un equipo unido a un dominio, haga clic en el nombre del equipo local en el cuadro desplegable del cuadro de diálogo Inicio de sesión y a continuación, escriba su nombre de usuario local y su contraseña.

Si ha separado un equipo de un dominio, se debe volver a unir al dominio e iniciar sesión como el mismo usuario de dominio para recuperar acceso a sus archivos.

Instrucciones y prácticas recomendadas

  • Microsoft recomienda que utilice contraseñas seguras. Utilice la contraseña compleja más difícil que puede recordar de forma confiable. Nota Los filtros Contraseña no son admitidos actualmente por DPAPI.
  • Exporte y realice copia de seguridad importantes de certificado y copia de seguridad privada de claves en un lugar seguro y seguro.

Propiedades

Id. de artículo: 309408 - Última revisión: lunes, 03 de diciembre de 2007 - Versión: 4.6
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT 4.0
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Palabras clave: 
kbinfo KB309408 KbMtes kbmt
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente. Si ve errores y desea ayudar con este esfuerzo, rellene la encuesta en la parte inferior de este artículo.
Haga clic aquí para ver el artículo original (en inglés): 309408

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com