Comment résoudre DPAPI (Data Protection API)

Traductions disponibles Traductions disponibles
Numéro d'article: 309408 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

DPAPI (Data Protection API) permet de protéger les données dans Windows 2000 et versions ultérieures. DPAPI est utilisée pour protéger les clés privées, informations d'identification stockées (dans Windows XP et version ultérieure) et autres informations confidentielles que le système d'exploitation ou d'un programme souhaite définir comme confidentielles.

DPAPI n'est pas responsable pour stocker les informations confidentielles qu'il protège. Il est uniquement responsable le cryptage et décryptage de données pour les programmes que l'appeler, comme gestionnaire d'informations d'identification Windows, le mécanisme de stockage de clé privée ou les programmes tiers qui appellent la fonction CryptProtectData() et la fonction CryptUnprotectData() dans Windows 2000, Windows XP, ou version ultérieure.

note Cette fonctionnalité est différente de la fonctionnalité qui est proposée par le magasin Windows protégé (C-magasin) dans Windows NT 4.0. P-banque est responsable de protection et le stockage des informations confidentielles. DPAPI n'offre aucun capacités de stockage.
Cet article explique comment DPAPI contribuer à protéger les données à un niveau de base. Il inclut également des informations relatives à la perte d'accès aux données DPAPI protégé dans différents scénarios de dépannage.

Pour plus d'informations sur le fonctionne de DPAPI, reportez-vous au site de Web Microsoft suivant :
http://msdn2.microsoft.com/en-us/library/ms995355.aspx
Cet article contient les rubriques suivantes :

Plus d'informations

important Pour résoudre la perte de données DPAPI, vous devez collecter les informations suivantes :
  • Comment DPAPI fonctionne dans votre environnement sécurité particulier dont la version de station de travail locale ?
  • Est que la station de travail est joint à un domaine ?
  • Est que l'utilisateur est un membre du domaine ?
  • Ce qui est la version de système d'exploitation qui héberge le domaine ?
Plusieurs problèmes avec DPAPI se produisent lorsque DPAPI est utilisé dans un domaine Windows NT 4.0. Consultez la section "Problèmes connus" plus loin dans cet article pour plus d'informations.

DPAPI est utilisé principalement par les fonctionnalités de sécurité du système d'exploitation pour protéger les données au nom de l'utilisateur. En outre, n'importe quel programme tiers peut utiliser DPAPI pour protéger en toute sécurité les données utilisateur.

Ce qui peut protéger DPAPI

DPAPI permet de protéger les éléments suivants :
  • Informations d'identification de page Web (par exemple, mots de passe)
  • Informations d'identification du partage de fichiers
  • Clés privées associées (ENCRYPTING File System), S/MIME et autres certificats
  • Données de programme qui sont protégées à l'aide de la fonction CryptProtectData()

Exemple : certificats et clés privées

Cette section décrit la différence entre les données personnelles et des informations confidentielles contre DPAPI. La liste suivante décrit le sélection élective de données au cours une opération d'importation d'un certificat et décrit la clé privée qui est associée à ce certificat au magasin personnel de l'utilisateur :
  • Le certificat est codé comme un grand objet binaire et stockée en tant que valeur binaire à l'emplacement de fichier suivant :
    %Userprofile%\Application Data\Microsoft\SystemCertificates\My\Certificates
  • Notez que l'emplacement de la clé de Registre est dans profil utilisateur local. Cette sélection élective s'assure qu'uniquement l'utilisateur d'ouverture de session a accès à leurs propres certificats dans les cas classiques.
  • Les certificats ne sont pas protégés par DPAPI par les mécanismes de Windows par défaut. D'un contrôle d'accès liste (ACL, Access Control List) sert à définir qui peut charger la ruche de l'utilisateur et qui peut lire les certificats qui sont stockées dans la ruche.
  • La clé privée qui est associée le certificat est chiffrée par DPAPI et enregistrée (dans une forme chiffrée) dans un conteneur de clé qu'un fichier individuel dans le profil utilisateur dans les dossiers suivants :
    • Pour les clés RSA :
      %Userprofile%\Application Data\Microsoft\Crypto\RSA\ User SID
    • Pour les clés de DSA :
      %Userprofile%\Application Data\Microsoft\Crypto\DSA\ User SID

Fonctionnement de DPAPI

note Les termes et concepts qui sont décrites dans cette section ont été simplifiées pour les besoins de la clarté dans le contexte de cet article. Certain niveau de détail a été omis. Par exemple, cet article décrit une valeur qui est dérivée du mot de passe de l'utilisateur, mais il ne décrit pas les détails de l'algorithme qui est utilisé pour obtenir la valeur. Pour obtenir une description détaillée du fonctionne de DPAPI, afficher le livre blanc Windows de la protection des données. Pour afficher ce livre blanc, reportez-vous au site de Web Microsoft suivant :
http://msdn2.microsoft.com/en-us/library/ms995355.aspx
DPAPI est une fonction qui est utilisée par programmes et divers composants du système d'exploitation pour protéger les données d'un utilisateur. L'opération de DPAPI n'est pas visible à l'utilisateur. DPAPI protège les données dans le contexte de sécurité de l'utilisateur qui exécute le programme.

DPAPI permet de protéger les informations confidentielles en utilisant des données valeur dérivées d'un nombre 512 bits pseudo-aléatoire appelé une clé principale. Contrôleurs de domaine Windows Server 2003 utilisent une clé RSA 2048 bits, mais uniquement lorsque le domaine est exécuté en mode de Windows Server 2003 ou de niveau fonctionnel du domaine 2. Chaque compte d'utilisateur a une ou plus généré aléatoirement clés de forme de base. Le nombre de clés de masque dépend de le âge de profil de l'utilisateur. Clés de forme de base sont renouvelés à intervalles réguliers. Par défaut, cette valeur est tous les 90 jours.

Étant donné que maître clés contiennent les données qui sont nécessaire pour déchiffrer des informations confidentielles tout l'utilisateur, les clés de forme de base doit être protégés. Elles sont protégées en utilisant une valeur qui est dérivée du mot de passe de l'utilisateur. Le mot de passe est une valeur unique qui sait seul un utilisateur. Car la clé principale est effectivement chiffrée en utilisant une valeur qui est dérivée du mot de passe de l'utilisateur, cette valeur est utilisée de façon interchangeable avec le mot de passe de l'utilisateur dans les descriptions présentées dans cet article.

Les considérations DPAPI

Cette section décrit les configurations environnementales affectent le comportement de protection DPAPI.

DPAPI et des profils obligatoires

Profils obligatoires sont les profils en lecture seule. Aucune mise à jour est apportées à la copie locale d'un profil obligatoire n'est enregistrées. Par exemple, la génération de clés est bloquée dans un profil obligatoire. DPAPI stocke la clé principale dans la copie locale d'un profil et régulièrement crée nouvelles clés de masque et met à jour le chiffrement sur les informations confidentielles protégées avec la nouvelle clé principale.

Étant donné que ces deux conditions sont incompatibles, programmes qui dépendent de DPAPI pour protéger les informations confidentielles ne fonctionnent pas correctement avec des profils obligatoires. Programmes permettant de protéger les informations confidentielles avec DPAPI qui ne fonctionnent pas correctement avec des profils obligatoires sont EFS (clés privées), certificats avec clés privées (clés privées) et les informations de stockées Identification dans Windows XP et versions ultérieures (informations d'identification). Configurations qui utilisent ces types de données ou les programmes ne sont pas prises en charge.

DPAPI et itinérants profils

DPAPI fonctionne comme prévu avec les profils itinérants pour les utilisateurs et les ordinateurs qui sont jointes à un domaine de service de répertoire Active Directory. Données DPAPI qui sont stockées dans le profil agit exactement comme tout autre paramètre ou fichier qui est stocké dans un profil itinérant. Les informations confidentielles contre la DPAPI sont téléchargés vers l'emplacement du profil central pendant le processus de fermeture de session et sont téléchargés à partir l'emplacement du profil central lorsqu'un utilisateur ouvre une session sur.

De DPAPI fonctionner correctement lorsqu'il utilise des profils itinérants, le domaine utilisateur doit uniquement être connecté à un ordinateur unique dans le domaine. Si l'utilisateur veut ouvrir une session sur un autre ordinateur qui est dans le domaine, l'utilisateur doit fermer leur session le premier ordinateur avant de l'utilisateur se connecte au deuxième ordinateur. Si l'utilisateur est connecté à plusieurs ordinateurs en même temps, il est probable que DPAPI ne pourra pas être déchiffrer correctement existantes des données chiffrées.

DPAPI sur un ordinateur peut décrypter la clé principale (et les données) sur un autre ordinateur. Cette fonctionnalité est fournie par le mot de passe de l'utilisateur cohérent qui est stocké et vérifié par le contrôleur de domaine. Si une interruption inattendue du processus typique se produit, DPAPI pouvez utiliser le processus décrit dans la section « réinitialiser le mot de passe » plus loin dans cet article.

Existe une limitation actuelle avec les profils itinérants entre les ordinateurs Windows XP ou Windows Server 2003 et les ordinateurs Windows 2000. Si clés sont générées ou importés sur un ordinateur Windows XP ou Windows Server 2003 et ensuite stockées dans un profil itinérant, DPAPI ne peut pas déchiffrer ces touches un ordinateur Windows 2000 si vous êtes connecté avec un profil utilisateur itinérant. Toutefois, un ordinateur Windows XP-basé ou Windows Server 2003 peut déchiffrer clés qui sont générés sur un ordinateur Windows 2000.

DPAPI et les modifications de mot de passe

Utilisateurs dans un environnement de sécurité renforcée doivent modifier leur mot de passe à intervalles réguliers. Par conséquent, DPAPI doit pouvoir gérer que le même niveau d'accès à l'utilisateur protégé données après modification de mot de passe. Les méthodes suivantes permettent de modifier mot de passe utilisateur dans un environnement Windows :
Changer de mot de passe
Dans cette méthode, il y a continuité d'accès aux clés de l'utilisateur masque au cours d'un changement de mot de passe. Le DPAPI est appelé par le composant Winlogon au cours des opérations de modification de mot de passe dans un domaine Active Directory :
  • DPAPI reçoit la notification de Winlogon pendant une opération de modification de mot de passe.
  • DPAPI déchiffre toutes les clés masque qui ont été chiffrés par ancien mot de passe l'utilisateur.
  • DPAPI re-encrypts toutes les clés maître avec nouveau mot de passe l'utilisateur.
Réinitialisation de mot de passe (jeu)
Dans cette méthode, un administrateur réinitialise force un mot de passe utilisateur. Une réinitialisation de mot de passe est plus complexe qu'un changement de mot de passe. Étant donné que l'administrateur n'est pas connecté en tant qu'utilisateur et n'a pas accès à ancien mot de passe l'utilisateur, cet ancien mot de passe ne peut pas servir à déchiffrer la clé principale ancien et rechiffrer avec le nouveau mot de passe.

Dans tous les cas de réinitialisations de mot de passe, si le mot de passe de l'utilisateur est modifié au dernier mot de passe avant qu'il a été réinitialisé, l'accès est restaurée dans clé principale et, par conséquent, l'accès est restaurée dans toutes les informations confidentielles qu'il protège. Ce problème se produit car les clés de masque sont supprimées jamais, même lorsqu'ils ne peuvent pas être déchiffrées. Toutefois, ce peut être une solution non fiable parce que l'utilisateur à toujours mémoriser l'ancien mot de passe ne peut pas prévu. Par exemple, le mot de passe de l'utilisateur peut avoir été rétablir parce que l'utilisateur oublié ce mot de passe.

Le mode que DPAPI résout le problème de réinitialisation de mot de passe dépend de l'environnement de sécurité où l'utilisateur est authentifié.

réinitialisation de mot de passe : les utilisateurs de domaine dans un Windows 2000 ou un domaine plus tard

Lorsque DPAPI est utilisé dans un environnement de domaine Active Directory, deux copies de la clé principale sont créés et mis à jour chaque fois qu'une opération est effectuée sur la clé principale. La première copie est protégée par le mot de passe de l'utilisateur comme décrit précédemment dans cet article. La deuxième copie est chiffrée avec une clé publique qui est associée avec les contrôleurs de domaine du domaine. La clé privée qui est associée à cette clé publique est connue pour tous les Windows 2000 et les contrôleurs de domaine une version ultérieure. Contrôleurs de domaine Windows 2000 utilisent une clé symétrique pour crypter et décrypter la copie de seconde de la clé maître.

Si le mot de passe de l'utilisateur est réinitialisé et la clé principale d'origine est rendue inaccessible à l'utilisateur, l'accès de l'utilisateur à la clé principale est récupéré automatiquement à l'aide la clé principale sauvegarde dans le processus suivant :
  • La station de travail envoie la clé principale sauvegarde chiffrée à un Windows 2000 ou version ultérieure contrôleur de domaine sur RPC protégé.
  • Le contrôleur de domaine utilise la clé privée pour déchiffrer la clé l'utilisateur masque.
  • Le contrôleur de domaine renvoie la clé principale non chiffrée à la station de travail.
  • La station de travail re-encrypts la clé principale à l'aide nouveau mot de passe l'utilisateur.
réinitialisation de mot de passe : domaine Windows NT 4.0

Microsoft ne recommande pas l'utilisation des fonctionnalités activées de DPAPI (par exemple, EFS ou clé privée stockage) pour les utilisateurs dans un domaine Windows NT 4.0. Consultez la section "Problèmes connus" de cet article pour plus d'informations.

Après réinitialisation d'un mot de passe, un ordinateur client Windows 2000 restaure l'accès de l'utilisateur les informations confidentielles protégées de DPAPI automatiquement à l'aide la clé principale sauvegarde de la même manière qu'il ne si l'utilisateur est dans un groupe de travail. Consultez la section « mot de passe réinitialiser : Windows 2000 station de travail en groupe d'un travail » dans cet article pour plus d'informations à propos de cette procédure et d'informations sur les risques de sécurité.

Windows XP dans un domaine Windows NT 4.0 ne pas conserver une copie sauvegarde de la clé principale. Pour plus d'informations, consultez la section "Problèmes connus" de cet article

réinitialisation de mot de passe : station de travail Windows 2000 dans un groupe de travail

Si vous utilisez DPAPI sur un ordinateur autonome, deux copies de la clé principale sont créés et mis à jour lorsqu'une opération est effectuée sur la clé principale. La première copie est protégée par le mot de passe de l'utilisateur comme décrit précédemment dans cet article. La deuxième copie est chiffrée avec une valeur confidentielle connue uniquement pour le compte d'ordinateur local.

Une fois que mot de passe d'un utilisateur a été réinitialisé force et l'utilisateur ouvre une session avec le nouveau mot de passe, Windows 2000 déchiffre la copie chiffrée à l'ordinateur de la clé masque automatiquement et re-encrypts avec la valeur dérivée le nouveau mot de passe utilisateur. L'utilisateur point de vue, l'accès l'utilisateur aux informations confidentielles qui sont protégées par DPAPI est complètement sans interruption.

important Ce comportement peut affecter la sécurité. Microsoft ne recommande pas utiliser DPAPI dans une configuration par défaut comme suit. Microsoft vous recommande d'utiliser une des méthodes suivantes pour les ordinateurs d'autonomes Windows 2000 qui contiennent des données sensibles peuvent être physiquement compromises :
  • Mise à niveau vers Windows XP
  • Utilisez SYSKEY mode 2 ou 3 sur l'ordinateur portable Windows 2000

  • Pour plus d'informations SYSKEY, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    143475 Clé système Windows NT autorise chiffrement renforcé du Gestionnaire de comptes de sécurité
réinitialisation de mot de passe : station de travail Windows XP dans un groupe de travail

Par défaut, Window XP ne crée pas de copies de sauvegarde de la clé principale. Il le fait pour empêcher une attaque hors connexion du cache de clé principale. Dans Windows XP, vous pouvez créer un disque de réinitialisation de mot de passe afin que l'utilisateur peut récupérer leur mot de passe si elles oubli. Si vous utilisez Windows XP Service Pack 1 (SP1) ou version ultérieure, vous pouvez configurer le Registre ainsi que Windows consigne une copie de sauvegarde de la clé principale.
Pour plus d'informations sur effets d'une modification du mot de passe pouvant être forcée et récupération possible, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances :
290260 EFS, informations d'identification et clés privées de certificats sont indisponibles après qu'un mot de passe est réinitialisé.
mot de passe réinitialiser des disques

Disques de réinitialisation de mot de passe ne sont disponibles sur Windows XP ou ultérieures en fonction des ordinateurs qui sont jointes à des groupes de travail. Disque permet de récupérer le mot de passe l'utilisateur à accéder à leur compte et toutes les informations confidentielles sont protégées par DPAPI dans le profil à nouveau.

Pour plus d'informations sur le mot de passe disque de réinitialisation de, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft. :
321305 Comment ouvrir une session sur Windows XP si vous oubliez votre mot de passe ou votre mot de passe expire

Problèmes connus

Vous ne pouvez pas accéder DPAPI informations confidentielles dans un domaine Windows NT 4.0

important Microsoft ne recommande pas que vous utiliser DPAPI dans un environnement de domaine Windows NT 4.0.

Dans un domaine Windows NT 4.0, Windows XP ne crée pas une copie de sauvegarde de masque clé l'utilisateur. Ceci est le comportement par défaut. Si vous modifiez ou réinitialisez le mot de passe, l'utilisateur peut refusé accès aux informations confidentielles contenues dans leur profil. Accès sont restaurées uniquement lorsque l'utilisateur remplace le mot de passe en par le mot de passe bien connu dernière.

Les plus fréquentes causes de problèmes avec DPAPI dans un domaine Windows NT 4.0 impliquent les réinitialisations de mot de passe ou les profils itinérants. Problèmes avec les profils itinérants se produire si l'utilisateur a récemment modifié son mot de passe. En fonction de différents facteurs qui peuvent interrompre les opérations standard de profil utilisateur itinérant, le profil de l'utilisateur est connecté à peut ne pas ont été mis à jour avec le nouveau mot de passe (chiffrement de clé principale).

Pour résoudre ce problème, installez un contrôleur de domaine Windows 2000 ou Windows Server 2003 dans le domaine utilisateur. DPAPI recherche automatiquement ce contrôleur de domaine pour exécuter sauvegarde et restaurer des opérations avec la paire de clés du contrôleur de domaine DPAPI publique/privée.

Si vous utilisez Windows Service Pack 1 et plus tard, vous pouvez forcer DPAPI faire locales des sauvegardes de la clé principale pendant que vous êtes connecté à un domaine Windows NT4. Toutefois, Microsoft ne recommande pas cette procédure car il affecte la sécurité de l'ordinateur où la modification est appliquée.

Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
331333 Utilisateur ne peut pas accéder aux EFS chiffrés fichiers après modification du mot de passe ou lorsque vous utilisez un profil itinérant

Vous ne pouvez pas accéder DPAPI informations confidentielles après la réinstallation de Windows sur un ordinateur autonome

Vous ne pouvez pas par conception, accéder à des informations confidentielles DPAPI après l'installation de Windows sur un ordinateur autonome. L'instance de l'utilisateur qui était présent sur la copie d'origine de Windows est détruite une fois que vous réinstallez le système d'exploitation sans mettre à niveau. Tout nouvel utilisateur créé avec le même nom a une entité de sécurité dans une base de données de sécurité. Le nouvel utilisateur n'a pas accès à déchiffrer les informations confidentielles DPAPI de l'utilisateur d'origine. L'utilisateur ne peut pas accéder à leurs informations confidentielles en utilisant la clé maître utilisateur.

La copie d'origine de Windows permet de protéger sa copie de la clé maître avec des données confidentielles sont connues uniquement pour cette version de Windows. Si vous remplacez le système d'exploitation, ces données confidentielles est inaccessible. L'utilisateur ne peut pas accéder à leurs informations confidentielles en utilisant la clé maître sauvegarde.

Vous ne pouvez pas ajouter ou Access DPAPI informations confidentielles avec les profils obligatoires

Par conception, Windows 2000 et Windows XP ne pas vous permettent d'écrire sur la copie locale d'un profil obligatoire car les données sont enregistrées après la session initiale. Par conséquent, DPAPI ne peut pas stocker les nouvelles clés de forme de base, mettre à jour masque ces clés sur la modification de mot de passe ou ajouter des données protégées à un profil obligatoire.

Vous ne pouvez pas accéder DPAPI informations confidentielles après joindre ou Disjoining un domaine

Si vous avez joint un ordinateur autonome à un domaine et que vous avez perdu l'accès aux données DPAPI, vous pouvez restaurer l'accès à la session en tant qu'utilisateur local. Pour vous connecter tant qu'utilisateur local sur un ordinateur joint au domaine, cliquez sur nom l'ordinateur local dans la zone de liste déroulante dans la boîte de dialogue connexion , puis entrez votre nom d'utilisateur local et votre mot de passe.

Si vous avez disjoint un ordinateur à partir d'un domaine, vous devez rejoindre le domaine et puis ouvrez une session en tant qu'utilisateur même domaine pour accéder à vos fichiers à nouveau.

Instructions et méthodes recommandées

  • Microsoft vous recommande d'utiliser des mots de passe forts. Utilisez le mot de passe complexe plus difficile que vous vous rappellerez fiable. note Mot de passe filtres actuellement ne sont pas pris en charge par DPAPI.
  • Exporter et sauvegarder des certificats importants et clés privées vers un emplacement sécurisé et sécurisé.

Propriétés

Numéro d'article: 309408 - Dernière mise à jour: lundi 3 décembre 2007 - Version: 4.6
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT 4.0
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Mots-clés : 
kbmt kbinfo KB309408 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 309408
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com