Bagaimana memecahkan masalah Data perlindungan API (DPAPI)

API Perlindungan Data (DPAPI) membantu untuk melindungi data dalam Windows 2000 dan kemudian sistem operasi. DPAPI digunakan untuk membantu melindungi kunci privat, kredensial disimpan (pada Windows XP dan kemudian), dan lain informasi rahasia bahwa sistem operasi atau program yang ingin menjaga rahasia.

DPAPI tidak bertanggung jawab untuk menyimpan informasi rahasia yang melindungi. Hanya bertanggung jawab untuk enkripsi dan dekripsi data untuk program yang menyebutnya, seperti kredensial Windows manajer, mekanisme penyimpanan kunci pribadi, atau pihak ketiga program panggilan itu CryptProtectData() fungsi dan CryptUnprotectData() fungsi pada Windows 2000, Windows XP, atau kemudian.

Catatan Fungsi ini berbeda dari fungsionalitas yang ditawarkan oleh toko Windows dilindungi (P-toko) pada Windows NT 4.0. P-toko bertanggung jawab untuk melindungi dan menyimpan informasi rahasia. DPAPI menawarkan kemampuan penyimpanan tidak.
Artikel ini menjelaskan bagaimana DPAPI membantu melindungi data pada tingkat dasar. Ini juga mencakup informasi yang berkaitan dengan pemecahan masalah kehilangan akses ke data DPAPI dilindungi dalam skenario yang berbeda.

Untuk informasi lebih lanjut tentang bagaimana DPAPI bekerja, kunjungi Web site Microsoft berikut: Artikel ini mencakup topik-topik berikut:

• Apa yang dapat melindungi DPAPI
  • Contoh: Sertifikat dan kunci pribadi
• Bagaimana DPAPI bekerja
• DPAPI pertimbangan lingkungan
  • DPAPI dan wajib profil
  • DPAPI dan Profil Roaming
  • DPAPI dan perubahan sandi
• Masalah yang dikenal
  • Anda tidak dapat mengakses DPAPI informasi rahasia dengan Roaming profil dalam Windows NT 4.0 Domain
  • Anda tidak dapat mengakses DPAPI informasi rahasia setelah menginstal ulang Windows
  • Anda tidak dapat menambah atau mengakses DPAPI informasi rahasia dengan wajib profil
  • Anda tidak dapat mengakses DPAPI informasi rahasia setelah bergabung atau Disjoining Domain
• Pedoman dan praktik terbaik

Penting Untuk mengatasi kehilangan DPAPI data, Anda harus mengumpulkan informasi berikut:

• Bagaimana DPAPI bekerja di lingkungan tertentu keamanan Anda termasuk versi workstation lokal?
• Adalah workstation bergabung dengan domain?
• Apakah pengguna adalah anggota domain?
• Apakah versi sistem operasi yang menjadi host domain?

Banyak masalah dengan DPAPI terjadi ketika DPAPI digunakan dalam domain Windows NT 4.0. Lihat bagian "Masalah dikenal" nanti dalam artikel ini untuk informasi lebih lanjut.

DPAPI digunakan terutama oleh fitur keamanan dari sistem operasi untuk membantu melindungi data pada nama pengguna. Selain itu, program pihak ketiga dapat menggunakan DPAPI untuk melindungi aman data pengguna.

Apa yang dapat melindungi DPAPI

DPAPI membantu melindungi item berikut:

• Halaman web kredensial (misalnya, password)
• File saham kredensial
• Kunci privat yang terkait dengan enkripsi sistem berkas (EFS), S/MIME, dan sertifikat lain
• Program data yang dilindungi menggunakan CryptProtectData() fungsi

Contoh: Sertifikat dan kunci pribadi

Bagian ini menjelaskan perbedaan antara data pribadi dan informasi rahasia yang DPAPI membantu melindungi. Daftar berikut menjelaskan penempatan data selama operasi impor sertifikat dan menjelaskan kunci privat yang terkait dengan sertifikat bahwa untuk pengguna pribadi toko:

• Sertifikat dikodekan sebagai objek besar biner dan disimpan sebagai nilai biner di lokasi berkas berikut:
  %Userprofile%\Application Data\Microsoft\SystemCertificates\My\Certificates
• Perhatikan bahwa lokasi kunci registri dalam profil pengguna lokal. Penempatan ini memastikan bahwa hanya logon pengguna memiliki akses ke sertifikat mereka sendiri dalam keadaan yang khas.
• Sertifikat yang tidak dilindungi oleh DPAPI oleh setiap default Windows mekanisme. Daftar kontrol akses (ACL) digunakan untuk mendefinisikan yang mungkin beban pengguna sarang dan yang mungkin membaca sertifikat yang disimpan di dalam sarang.
• Kunci privat yang terkait dengan sertifikat dienkripsi oleh DPAPI dan disimpan (dalam bentuk yang dienkripsi) dalam sebuah wadah kunci sebagai file individu dalam profil pengguna di map berikut:
  • Untuk kunci RSA:
    %Userprofile%\Application Data\Microsoft\Crypto\RSA\SID pengguna
  • Untuk DSA kunci:
    %Userprofile%\Application Data\Microsoft\Crypto\DSA\SID pengguna

Bagaimana DPAPI bekerja

Catatan Istilah dan konsep-konsep yang dijelaskan dalam bagian ini telah disederhanakan untuk tujuan kejelasan dalam konteks artikel ini. Beberapa tingkat detail telah dihilangkan. Sebagai contoh, artikel ini membahas nilai yang berasal dari password pengguna, tapi itu tidak menggambarkan rincian algoritma yang digunakan untuk memperoleh nilai. Untuk penjelasan rinci tentang bagaimana DPAPI bekerja, melihat kertas putih Perlindungan Data Windows. Untuk melihat kertas putih ini, kunjungi Web site Microsoft berikut: DPAPI adalah fungsi yang digunakan oleh program dan berbagai komponen sistem operasi untuk membantu melindungi data untuk pengguna. Operasi DPAPI tidak dapat dilihat oleh pengguna. DPAPI membantu melindungi data dalam konteks keamanan dari user yang menjalankan program.

DPAPI membantu melindungi informasi rahasia dengan menggunakan data nilai yang berasal dari sejumlah 512-bit pseudo-random bernama master key. Pengontrol domain Windows Server 2003 menggunakan kunci RSA 2048-bit, tetapi hanya ketika domain berjalan di tingkat fungsional domain 2 atau Windows Server 2003 mode. Setiap account pengguna memiliki satu atau lebih acak yang dihasilkan master kunci. Jumlah master kunci tergantung pada usia profil pengguna. Master kunci diperbarui secara berkala. Secara default, nilai ini adalah setiap 90 hari.

Karena master kunci berisi data yang diperlukan untuk mendekripsi semua pengguna informasi rahasia, master kunci harus dilindungi. Mereka dilindungi menggunakan nilai yang berasal dari password pengguna. Password adalah nilai unik yang hanya pengguna tahu. Karena master key benar-benar dienkripsi menggunakan nilai yang berasal dari password pengguna, nilai ini digunakan secara bergantian dengan password pengguna dalam deskripsi yang disajikan dalam artikel ini.

DPAPI pertimbangan lingkungan

Bagian ini menjelaskan tentang konfigurasi lingkungan yang mempengaruhi perilaku DPAPI perlindungan.

DPAPI dan wajib profil

Profil wajib yang hanya-baca profil. Tidak ada update yang dibuat untuk salinan lokal wajib profil akan disimpan. Sebagai contoh, generasi kunci diblokir di profil wajib. DPAPI toko master kunci dalam salinan lokal profil dan secara teratur membuat baru master kunci dan update enkripsi pada informasi rahasia yang dilindungi dengan kunci master baru.

Karena dua kondisi tidak kompatibel, program yang bergantung pada DPAPI untuk membantu melindungi informasi rahasia tidak bekerja dengan benar dengan profil wajib. Program-program yang membantu melindungi informasi rahasia dengan DPAPI yang tidak bekerja dengan benar dengan wajib profil termasuk EFS (kunci privat), sertifikat dengan kunci pribadi (kunci privat), dan disimpan kredensial pada Windows XP dan kemudian (kredensial). Konfigurasi yang menggunakan tipe data atau program ini tidak didukung.

DPAPI dan Profil Roaming

DPAPI bekerja seperti yang diharapkan dengan profil roaming untuk pengguna dan komputer yang bergabung dengan domain layanan direktori Active Directory. DPAPI data yang disimpan dalam profil bertindak persis seperti pengaturan atau berkas yang disimpan dalam profil roaming. Informasi rahasia yang DPAPI membantu melindungi upload ke lokasi pusat profil selama proses logoff dan download dari lokasi pusat profil ketika pengguna log on.

Untuk DPAPI untuk bekerja dengan benar ketika menggunakan profil roaming, domain pengguna harus hanya login satu komputer di domain. Jika pengguna ingin logon ke komputer yang berbeda dalam domain, pengguna harus logoff komputer pertama sebelum pengguna log on ke komputer kedua. Jika pengguna log on ke beberapa komputer pada waktu yang sama, mungkin bahwa DPAPI tidak akan mampu mendekripsi data dienkripsi yang ada dengan benar.

DPAPI pada satu komputer dapat mendekripsi master key (dan data) pada komputer lain. Fungsi ini disediakan oleh pengguna konsisten sandi yang disimpan dan diverifikasi oleh kontroler domain. Jika terjadi gangguan yang tak terduga dari proses khas, DPAPI dapat menggunakan proses yang dijelaskan di bagian "Password Reset" nanti dalam artikel ini.

Ada batasan saat ini dengan roaming profil antara komputer berbasis Windows XP atau Windows Server 2003 berbasis dan komputer berbasis Windows 2000. Jika kunci yang dihasilkan atau diimpor pada komputer berbasis Windows XP atau Windows Server 2003 berbasis dan kemudian disimpan dalam profil roaming, DPAPI tidak dapat mendekripsi tombol-tombol ini pada komputer berbasis Windows 2000 jika Anda logon dengan profil pengguna roaming. Namun, komputer berbasis Windows XP atau Windows Server 2003 berbasis dapat mendekripsi kunci yang dihasilkan pada komputer berbasis Windows 2000.

DPAPI dan perubahan sandi

Pengguna di lingkungan keamanan yang ditingkatkan diharapkan untuk mengubah sandi secara berkala. Sebagai hasilnya, DPAPI harus mampu mempertahankan tingkat yang sama akses ke pengguna dilindungi data setelah perubahan sandi. Berikut metode yang digunakan untuk mengubah sandi pengguna di lingkungan Windows:

Ubah sandi

Dalam metode ini, ada kontinuitas akses untuk pengguna master kunci selama perubahan sandi. DPAPI dipanggil oleh komponen Winlogon selama perubahan sandi operasi dalam domain direktori aktif:

• DPAPI menerima pemberitahuan dari Winlogon selama operasi perubahan sandi.
• DPAPI mendekripsi semua master kunci yang dienkripsi dengan sandi lama pengguna.
• DPAPI re-encrypts semua master kunci dengan password baru pengguna.

Reset password (Set)

Dalam metode ini, administrator paksa ulang sandi pengguna. Password reset lebih kompleks daripada perubahan sandi. Karena administrator tidak logon sebagai pengguna dan tidak memiliki akses untuk password lama pengguna, sandi lama yang tidak digunakan untuk mendekripsi old master key dan re-encrypt dengan sandi baru.

Dalam semua kasus me-reset sandi, jika pengguna password berubah kembali terakhir sandi sebelum itu adalah ulang, akses dikembalikan ke master kunci dan, sebagai akibatnya, akses dikembalikan ke semua informasi rahasia ini membantu melindungi. Perilaku ini terjadi karena master kunci tidak pernah dihapus, bahkan ketika mereka tidak dapat didekripsi. Namun, ini mungkin solusi yang dapat diandalkan karena Anda tidak dapat mengharapkan pengguna agar dapat selalu ingat sandi lama. Sebagai contoh, pengguna dapat memiliki telah reset password karena pengguna lupa password ini.

Cara DPAPI memecahkan masalah reset sandi tergantung pada lingkungan keamanan di mana pengguna keasliannya.

Password Reset: Domain pengguna di Windows 2000 atau Domain kemudian

Ketika DPAPI digunakan dalam lingkungan domain Active Directory, dua salinan dari master key yang diciptakan dan diperbarui setiap kali sebuah operasi dilakukan pada master kunci. Pertama, Salin dilindungi oleh sandi pengguna seperti dijelaskan sebelumnya dalam artikel ini. Kopi kedua dienkripsi dengan kunci publik yang berhubungan dengan pengontrol domain di domain. Kunci privat yang terkait dengan kunci publik ini dikenal untuk semua Windows 2000 dan kemudian pengontrol domain. Pengontrol domain Windows 2000 menggunakan kunci simetrik untuk mengenkripsi dan mendekripsi salinan kedua master key.

Jika user password reset dan asli master key dituliskan tidak dapat diakses untuk pengguna, pengguna akses ke master key secara otomatis dipulihkan menggunakan kunci master cadangan dalam proses berikut:

• Workstation mengirim dienkripsi kunci master cadangan untuk Windows 2000 atau kontroler domain kemudian atas RPC dilindungi.
• Kontroler domain menggunakan kunci privat untuk mendekripsi pengguna master key.
• Kontroler domain kembali master kunci enkripsi untuk workstation.
• Workstation re-encrypts master key menggunakan password baru pengguna.

Password Reset: Domain Windows NT 4.0

Microsoft tidak menganjurkan penggunaan fitur diaktifkan DPAPI (misalnya, EFS atau kunci pribadi penyimpanan) untuk pengguna yang berada di domain Windows NT 4.0. Lihat bagian "Masalah dikenal" dari artikel ini untuk informasi lebih lanjut.

Setelah reset password, komputer klien berbasis Windows 2000 mengembalikan pengguna akses ke informasi rahasia yang dilindungi DPAPI secara otomatis dengan menggunakan tombol master cadangan dengan cara yang sama halnya jika pengguna dalam kelompok kerja. Lihat bagian "Password Reset: Windows 2000 Workstation di Workgroup" dalam artikel ini untuk informasi lebih lanjut tentang prosedur ini dan untuk informasi tentang risiko keamanan.

Windows XP di domain Windows NT 4.0 tidak menyimpan salinan cadangan dari master key. Untuk informasi lebih lanjut, lihat bagian "Masalah dikenal" di artikel ini

Password Reset: Windows 2000 Workstation dalam kelompok kerja

Jika Anda menggunakan DPAPI pada komputer yang berdiri sendiri, dua salinan dari master key yang diciptakan dan diperbarui setiap kali sebuah operasi dilakukan pada master kunci. Pertama, Salin dilindungi oleh sandi pengguna seperti dijelaskan sebelumnya dalam artikel ini. Kopi kedua dienkripsi dengan nilai rahasia yang diketahui hanya untuk rekening komputer lokal.

Setelah sandi pengguna telah reset paksa dan pengguna logon dengan sandi baru, Windows 2000 secara otomatis mendekripsi komputer dienkripsi salinan master key dan re-encrypts dengan nilai yang Diperoleh dari sandi pengguna baru. Dari pengguna sudut pandang, pengguna akses ke informasi rahasia yang dilindungi oleh DPAPI sama sekali tidak terganggu.

Penting Perilaku ini dapat mempengaruhi keamanan. Microsoft tidak menganjurkan bahwa Anda menggunakan DPAPI dalam konfigurasi default seperti ini. Microsoft menganjurkan agar Anda menggunakan salah satu metode berikut untuk berdiri sendiri Windows 2000 komputer yang berisi data yang sensitif yang dapat mempengaruhi secara fisik:

• Upgrade ke Windows XP
• Menggunakan mode SYSKEY 2 atau 3 pada laptop berbasis Windows 2000
• 
  Untuk informasi tambahan tentang SYSKEY, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
  143475

  (http://support.microsoft.com/kb/143475/EN-US/ )

  Kunci sistem Windows NT izin enkripsi kuat SAM

Password Reset: Windows XP Workstation dalam kelompok kerja

Secara default, jendela XP tidak membuat salinan cadangan dari master key. Ia melakukannya untuk membantu mencegah serangan offline cache master key. Di Windows XP, Anda dapat membuat disk pengaturan kembali sandi sehingga pengguna dapat memulihkan password mereka jika mereka melupakannya. Jika Anda menggunakan Windows XP Paket Layanan 1 (SP1) atau kemudian, Anda dapat mengkonfigurasi registri Windows yang tetap salinan cadangan dari master key.
Untuk informasi tambahan tentang efek perubahan sandi paksa dan kemungkinan pemulihan, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:Disk Reset sandi

Disk reset sandi hanya tersedia pada Windows XP atau komputer berbasis kemudian yang bergabung dengan kelompok kerja. Sandi memulihkan disk memungkinkan pengguna untuk mendapatkan kembali akses ke account mereka dan semua informasi rahasia yang dilindungi oleh DPAPI dalam profil.

Untuk informasi tambahan tentang password reset disk, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:

Masalah yang dikenal

Anda tidak dapat mengakses DPAPI informasi rahasia di Domain Windows NT 4.0

Penting Microsoft tidak menganjurkan bahwa Anda menggunakan DPAPI di lingkungan domain Windows NT 4.0.

Dalam domain Windows NT 4.0, Windows XP tidak membuat salinan cadangan dari pengguna master key. Ini adalah aktivitas default. Jika Anda mengubah atau membuat ulang sandi, pengguna dapat menolak akses ke informasi rahasia yang terkandung dalam profil mereka. Akses hanya dipulihkan ketika pengguna perubahan password kembali ke terakhir diketahui baik password.

Penyebab paling sering masalah dengan DPAPI di domain Windows NT 4.0 melibatkan me-reset sandi atau profil roaming. Masalah dengan roaming profil terjadi jika pengguna baru-baru ini telah mengubah password mereka. Tergantung pada berbagai faktor yang mungkin mengganggu khas operasi profil pengguna roaming, profil pengguna login ke mungkin tidak telah diperbarui dengan sandi baru (master kunci enkripsi).

Untuk mengatasi masalah ini, instal pengontrol domain Windows 2000 atau Windows Server 2003 di domain pengguna. DPAPI secara otomatis menemukan kontroler domain ini untuk melakukan cadangan dan memulihkan operasi menggunakan kontroler domain DPAPI publik/swasta pasangan utama.

Jika Anda menggunakan Windows SP1 dan kemudian, Anda dapat memaksa DPAPI untuk membuat lokal backup master key sementara Anda bergabung dengan domain Windows NT. Namun, Microsoft tidak menganjurkan prosedur ini karena hal itu mempengaruhi keamanan komputer di mana perubahan diterapkan.

Untuk informasi tambahan, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

Anda tidak dapat mengakses DPAPI informasi rahasia setelah menginstal ulang Windows pada komputer yang berdiri sendiri

Dengan desain, Anda tidak dapat mengakses informasi rahasia DPAPI setelah Anda menginstal Windows di komputer yang berdiri sendiri. Contoh dari pengguna yang hadir pada salinan asli dari Windows dihancurkan setelah Anda menginstal ulang sistem operasi tanpa upgrade. Pengguna baru yang dibuat dengan nama yang sama memiliki kepala keamanan berbeda dalam database security yang berbeda. Pengguna baru tidak memiliki akses untuk mendekripsi DPAPI informasi rahasia pengguna asli. Pengguna tidak dapat mengakses informasi rahasia mereka dengan menggunakan tombol master pengguna.

Salinan asli dari Windows membantu melindungi yang salinan master key dengan data rahasia yang diketahui hanya salinan Windows. Jika Anda mengganti sistem operasi, data rahasia ini tidak dapat diakses. Pengguna tidak dapat mengakses informasi rahasia mereka dengan menggunakan tombol master cadangan.

Anda tidak dapat menambah atau mengakses DPAPI informasi rahasia dengan wajib profil

Dengan desain, Windows 2000 dan Windows XP tidak memungkinkan Anda untuk menulis pada salinan lokal profil wajib karena data disimpan setelah sesi awal. Sebagai hasilnya, DPAPI tidak dapat menyimpan kunci master baru, memperbarui master kunci perubahan sandi, atau menambahkan dilindungi data profil wajib.

Anda tidak dapat mengakses DPAPI informasi rahasia setelah bergabung atau Disjoining Domain

Jika Anda telah bergabung dengan komputer yang berdiri sendiri untuk domain dan Anda telah kehilangan akses ke DPAPI data, Anda dapat mengembalikan akses oleh logon sebagai pengguna lokal. Logon sebagai pengguna lokal pada komputer bergabung dengan domain, klik nama komputer lokal dalam kotak dropdown di Logon dialog kotak, dan kemudian masukkan nama pengguna lokal dan sandi.

Jika Anda telah terputus komputer dari domain, Anda harus bergabung domain dan kemudian logon sebagai pengguna domain yang sama untuk mendapatkan kembali akses ke file Anda.

Pedoman dan praktik terbaik

• Microsoft menganjurkan bahwa Anda menggunakan sandi yang kuat. Menggunakan sandi kompleks yang paling sulit Anda dapat diandalkan ingat. Catatan Filter sandi saat ini tidak didukung oleh DPAPI.
• Ekspor dan cadangan penting sertifikat dan kunci privat ke lokasi yang aman dan aman.