Risoluzione dei problemi DPAPI (Data Protection API)

Traduzione articoli Traduzione articoli
Identificativo articolo: 309408 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

DPAPI (Data Protection API) consente di proteggere i dati in Windows 2000 e nei sistemi operativi successivi. DPAPI Ŕ utilizzato per proteggere le chiavi private, delle credenziali stored (in Windows XP e versioni successive) e altre informazioni riservate che il sistema operativo o un programma si desidera mantenere riservati.

DPAPI non Ŕ responsabile dell'archiviazione delle informazioni riservate che protegge. ╚ responsabile solo crittografia e decrittografia dei dati per programmi che chiama, ad esempio Gestione credenziali di Windows, il meccanismo di archiviazione chiave privata o eventuali programmi di terze parti chiamare la funzione CryptProtectData() e la funzione di CryptUnprotectData() in Windows 2000, Windows XP, o versione successiva.

Nota Questa funzionalitÓ Ŕ diversa dalla funzionalitÓ disponibile in un archivio di Windows protetto (archivio-P) in Windows NT 4.0. P-archivio Ŕ responsabile della protezione e di memorizzare informazioni riservate. DPAPI non offre nessuna funzionalitÓ di archiviazione.
Questo articolo viene descritto come DPAPI proteggere i dati a un livello di base. Contiene inoltre informazioni correlate per la risoluzione dei problemi perdita di accesso ai dati protetto di DPAPI in scenari diversi.

Per ulteriori informazioni sul funzionamento di DPAPI, visitare il sito di Web di Microsoft:
http://msdn2.microsoft.com/en-us/library/ms995355.aspx
In questo articolo sono inclusi i seguenti argomenti:

Informazioni

importante Per consente di risolvere la perdita di dati DPAPI, Ŕ necessario raccogliere le seguenti informazioni:
  • Come funziona DPAPI nell'ambiente di protezione specifico inclusa la versione locale della workstation?
  • ╚ che la workstation fa parte di un dominio?
  • ╚ che l'utente Ŕ un membro del dominio?
  • Che cos'Ŕ la versione del sistema operativo che ospita il dominio?
Si verificano numerosi problemi con DPAPI quando si utilizza DPAPI in un dominio di Windows NT 4.0. Vedere la sezione "Problemi noti" pi¨ avanti in questo articolo per ulteriori informazioni.

DPAPI viene utilizzato principalmente dalle funzionalitÓ di protezione del sistema operativo per proteggere i dati per conto dell'utente. Inoltre qualsiasi programma di terze parti possibile utilizzare DPAPI per proteggere i dati utente in modo protetto.

Che cos'╚ protezione DPAPI

DPAPI consente di proteggere gli elementi seguenti:
  • Credenziali della pagina Web (ad esempio, le password)
  • Credenziali di condivisione di file
  • Chiavi private associate a crittografia File System (EFS), S/MIME e altri certificati
  • Dati di programma sono protetto mediante la funzione CryptProtectData()

Esempio: Certificati e chiavi private

In questa sezione viene descritta la differenza tra i dati personali e informazioni riservate che DPAPI consente di proteggere. Nell'elenco riportato di seguito viene descritta la selezione host dei dati durante un'operazione di importazione di un certificato e vengono descritti la chiave privata associata a tale certificato all'archivio personale dell'utente:
  • Il certificato Ŕ codificato come un oggetto binario di grandi dimensioni e viene memorizzato come valore binario nella seguente posizione file:
    %Userprofile%\Application Data\Microsoft\SystemCertificates\My\Certificates
  • Si noti che il percorso della chiave del Registro di sistema Ŕ nel profilo dell'utente locale. Questo selezione host garantisce che solo l'utente di accesso disponga di accesso ai propri certificati in circostanze normali.
  • I certificati non sono protette da eventuali meccanismi di Windows predefinito da DPAPI. Un elenco di controllo di accesso (ACL) viene utilizzato per definire che pu˛ caricare hive dell'utente e che pu˛ leggere i certificati che sono memorizzati nell'hive.
  • La chiave privata associata al certificato Ŕ crittografata con DPAPI e salvata (in forma crittografata) in un contenitore di chiavi in un file singolo profilo dell'utente nelle seguenti cartelle:
    • Per le chiavi RSA:
      %Userprofile%\Application Data\Microsoft\Crypto\RSA\ User SID
    • Per le chiavi DSA:
      %Userprofile%\Application Data\Microsoft\Crypto\DSA\ User SID

Funzionamento di DPAPI

Nota I termini e concetti descritti in questa sezione sono stati semplificati ai fini della chiarezza nel contesto di questo articolo. ╚ stato omesso un livello di dettaglio. Ad esempio, in questo articolo viene descritto un valore che Ŕ derivato dalla password dell'utente, ma non descrive la dei dettagli dell'algoritmo che viene utilizzato per derivare il valore. Consente di visualizzare il white paper Windows Data Protection per una descrizione dettagliata del funzionamento di DPAPI. Per visualizzare questo white paper, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://msdn2.microsoft.com/en-us/library/ms995355.aspx
DPAPI Ŕ una funzione utilizzata da diversi componenti del sistema operativo e programmi per proteggere i dati per un utente. Il funzionamento di DPAPI non Ŕ visibile all'utente. DPAPI contribuisce a proteggere dati nel contesto di protezione dell'utente per l'esecuzione del programma.

DPAPI consente di proteggere informazioni riservate utilizzando dati di valore derivati da un numero di 512 bit pseudo-casuali denominato una chiave master. Controller di dominio di Windows Server 2003 utilizzano una chiave RSA di 2048 bit, ma solo quando il dominio Ŕ in esecuzione in livello funzionale del dominio 2 o in modalitÓ Windows Server 2003. Ciascun account utente dispone di uno o pi¨ generato casualmente chiavi master. Il numero di chiavi master varia a seconda dell'etÓ del profilo dell'utente. Le chiavi master vengono rinnovate a intervalli regolari. Per impostazione predefinita, questo valore Ŕ ogni 90 giorni.

PoichÚ le chiavi master contengono i dati che sono necessaria per decrittografare tutte le informazioni dell'utente riservati, Ŕ necessario proteggere le chiavi master. Utilizzo di un valore Ŕ derivato dalla password dell'utente sono protetti. La password Ŕ un valore univoco che conosca solo un utente. PoichÚ la chiave master Ŕ effettivamente crittografata utilizzando un valore che Ŕ derivato dalla password dell'utente, questo valore viene utilizzato alternativamente con la password dell'utente nelle descrizioni presentati in questo articolo.

Considerazioni sull'ambiente DPAPI

In questa sezione vengono descritte le configurazioni ambientali che influiscono sul comportamento di protezione di DPAPI.

DPAPI e profili obbligatori

I profili obbligatori sono i profili di sola lettura. Aggiornamenti non vengono apportati alla copia locale di un profilo obbligatorio vengono salvati. Ad esempio, generazione delle chiavi Ŕ bloccato in un profilo obbligatorio. DPAPI archivia la chiave master nella copia locale di un profilo e regolarmente crea nuove chiavi master e aggiorna la crittografia di informazioni riservate protette con la nuova chiave master.

PerchÚ queste due condizioni non sono compatibili, programmi che dipendono da DPAPI per proteggere informazioni riservate non funzionano correttamente con i profili obbligatori. Programmi che consentono di proteggere informazioni riservate con DPAPI e che non funzionano correttamente con i profili obbligatori includono EFS (chiavi private), certificati con chiavi private (le chiavi private) e archiviati credenziali in Windows XP e versioni successive (credenziali). Le configurazioni che utilizzano questi tipi di dati o programmi non sono supportate.

DPAPI e profili comuni

DPAPI funziona come previsto con profili comuni per utenti e computer che fanno parte di un dominio del servizio directory Active Directory. I dati DPAPI memorizzati nel profilo funziona esattamente come qualsiasi altro file memorizzato in un profilo comune o impostazione. L'interfaccia DPAPI consente di proteggere informazioni riservate vengono caricati nel percorso del profilo centrale durante il processo di disconnessione e vengono scaricati dal percorso del profilo centrale quando un utente accede.

Per DPAPI funzionare correttamente quando vengono utilizzati profili comuni, l'utente di dominio necessario solo essere connessi a un singolo computer nel dominio. Se l'utente desidera accedere a un computer diverso nel dominio, l'utente disconnettersi il primo computer prima che l'utente si connetta al secondo computer. Se l'utente Ŕ connesso a pi¨ computer nello stesso momento, Ŕ probabile che DPAPI non saranno in grado di decrittografare dati crittografati esistenti correttamente.

DPAPI in un computer pu˛ decrittografare la chiave master (e i dati) in un altro computer. Questa funzionalitÓ Ŕ fornita dalla password coerente dell'utente Ŕ memorizzata e verificate dal controller di dominio. Se si verifica un'interruzione imprevista del processo tipico, Ŕ possibile che DPAPI utilizzare il processo descritto nella sezione "Reimpostazione password" pi¨ avanti in questo articolo.

Si tratta una limitazione corrente con i profili comuni tra computer basati su Windows Server 2003 o basato su Windows XP e di computer basati su Windows 2000. Se le chiavi sono generate o importate in un computer basato su Windows XP o basato su Windows Server 2003 e quindi archiviate in un profilo comune, DPAPI Impossibile decrittografare le chiavi in un computer basato su Windows 2000 se Ŕ connessi con un profilo utente comune. Tuttavia, un computer basato su Windows XP o Windows Server 2003 pu˛ decrittografare le chiavi sono generate su un computer basato su Windows 2000.

DPAPI e modifiche di password

Modificare le password a intervalli regolari si prevede che gli utenti in un ambiente di protezione avanzata. Di conseguenza, DPAPI deve poter gestire che lo stesso livello di accesso dell'utente protetti i dati dopo le modifiche delle password. I metodi riportati di seguito sono utilizzati per passare le password degli utenti in un ambiente di Windows:
Cambia password
In questo metodo Ŕ disponibile la continuitÓ di accesso alle chiavi master dell'utente durante una modifica di password. L'interfaccia DPAPI viene richiamata dal componente Winlogon durante operazioni di modifica password in un dominio di Active Directory:
  • DPAPI riceve una notifica da Winlogon durante un'operazione di modifica password.
  • DPAPI consente di decrittografare tutte le chiavi master che sono state crittografate con vecchie password dell'utente.
  • DPAPI recrittografata tutte le chiavi master con la nuova password dell'utente.
Reimpostazione di password (set)
In questo metodo, un amministratore reimposta forzatamente una password utente. Reimpostazione della password Ŕ pi¨ una modifica di password complessa. PoichÚ l'amministratore non Ŕ connesso come utente e non dispone di accesso dell'utente vecchia password, Ŕ Impossibile utilizzare tale vecchia password per decrittografare la vecchia chiave master e di crittografarlo con la nuova password.

In tutti i casi reimpostazione delle password, se la password dell'utente viene modificata nuovamente all'ultima password prima che Ŕ stato reimpostato, accesso chiave master viene ripristinato e, di conseguenza, viene ripristinato l'accesso tutte le informazioni riservate Ŕ utile. Questo comportamento si verifica perchÚ le chiavi master non vengono eliminate, anche quando non possono essere decrittografati. Tuttavia, questa soluzione potrebbe essere un'inaffidabile perchÚ non Ŕ previsto l'utente sia in grado di ricordarsi la vecchia password. Ad esempio, la password dell'utente Ŕ possibile che sono stata reimpostata perchÚ l'utente Ŕ stata dimenticata la password.

La modalitÓ di DPAPI Ŕ stato risolto il problema di reimpostazione password varia a seconda dell'ambiente di protezione in cui l'utente Ŕ autenticato.

reimpostazione di password: gli utenti di dominio di Windows 2000 o successiva del dominio

DPAPI viene utilizzato in un ambiente di dominio di Active Directory, due copie della chiave master vengono creati e aggiornati ogni volta che viene eseguita un'operazione per la chiave master. La prima copia Ŕ protetto da password dell'utente come descritto precedentemente in questo articolo. La seconda copia viene crittografata con una chiave pubblica associato al controller di dominio nel dominio. La chiave privata Ŕ associata a questa chiave pubblica Ŕ noto tutti i Windows 2000 e del secondo controller di dominio. Controller di dominio di Windows 2000 consente di utilizzare una chiave simmetrica per crittografare e decrittografare la seconda copia della chiave master.

Se la password dell'utente viene reimpostata e la chiave master originale viene eseguito il rendering inaccessibile per l'utente, l'accesso alla chiave master viene ripristinato automaticamente mediante la chiave master backup il seguente processo:
  • La workstation invia la chiave master di backup crittografata a un secondo controller di dominio Windows 2000 o su RPC protetto.
  • Il controller di dominio utilizza la chiave privata per decrittografare la chiave principale dell'utente.
  • Il controller di dominio restituisce la chiave master non crittografata alla workstation.
  • La workstation recrittografata la chiave master utilizzando nuova password dell'utente.
reimpostazione di password: dominio Windows NT 4.0

Microsoft non consiglia l'utilizzo di funzionalitÓ abilitate da DPAPI (ad esempio, EFS o chiave privata archiviazione) per gli utenti in un dominio di Windows NT 4.0. Vedere la sezione "Problemi noti" di questo articolo per ulteriori informazioni.

Dopo aver reimpostato una password, un computer client basato su Windows 2000 ripristina l'accesso dell'utente alle informazioni riservate protetto da DPAPI automaticamente utilizzando la chiave master backup nello stesso modo che affermativo, se l'utente Ŕ in un gruppo di lavoro. Vedere la sezione di "Password Reimposta: Windows 2000 Workstation in un Workgroup" in questo articolo per ulteriori informazioni su questa procedura e per informazioni sui rischi di protezione.

Windows XP in un dominio di Windows NT 4.0 non conserva una copia di backup della chiave master. Per ulteriori informazioni, vedere la sezione "Problemi noti" in questo articolo

reimpostazione di password: Windows 2000 Workstation in un gruppo di lavoro

Se si utilizza DPAPI in un computer autonomo, due copie della chiave master vengono creati e aggiornati ogni volta che viene eseguita un'operazione per la chiave master. La prima copia Ŕ protetto da password dell'utente come descritto precedentemente in questo articolo. La seconda copia viene crittografata con un valore riservato noto solo all'account del computer locale.

Dopo che Ŕ stata reimpostata forzatamente la password di un utente e l'utente accede con la nuova password, decrittografa la copia di chiave master del computer crittografati automaticamente Windows 2000 e recrittografata, con il valore derivato dalla nuova password dell'utente. Dal punto di vista dell'utente, l'accesso dell'utente le informazioni riservate sono protetto da DPAPI Ŕ completamente senza interruzioni.

importante Questo comportamento potrebbe influire sulla protezione. Non Ŕ consigliabile utilizzare DPAPI in una configurazione predefinita seguente. Si consiglia di utilizzare uno dei metodi seguenti per i computer autonomi Windows 2000 che contengono dati riservati che potrebbero essere fisicamente compromesso:
  • Aggiornamento a Windows XP
  • Utilizzo della modalitÓ SYSKEY 2 o 3 sul portatile basato su Windows 2000

  • Per ulteriori informazioni su SYSKEY, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
    143475Windows NT System Key consente crittografia avanzata del database SAM
reimpostazione di password: Workstation Windows XP in un gruppo di lavoro

Per impostazione predefinita, Windows XP non crea copie di backup della chiave master. Per impedire l'attacco non in linea della cache della chiave master non. In Windows XP, Ŕ possibile creare un disco di reimpostazione password in modo che l'utente pu˛ recuperare le password dimentichi. Se si utilizza Windows XP Service Pack 1 (SP1) o versioni successive, Ŕ possibile configurare il Registro di sistema in modo che Windows Ŕ mantiene di una copia di backup della chiave master.
Per ulteriori informazioni sugli effetti di una modifica della password forcible e di ripristino possibile, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
290260EFS, credenziali e chiavi private da certificati non sono disponibili dopo che una password Ŕ stata reimpostata
dischi di reimpostazione password

Dischi di reimpostazione della password disponibili solo in Windows XP o computer basati su versioni successive che fanno parte di gruppi di lavoro. La password ripristino disco consente l'utente pu˛ accedere al proprio account e tutte le informazioni riservate sono protetto da DPAPI nel profilo.

Per ulteriori informazioni per la password dei comandi reimpostazione disco, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
321305Come accedere a Windows XP se si dimentica la password o la password scade

Problemi noti

Impossibile accedere a informazioni riservate in un dominio di Windows NT 4.0 DPAPI

importante Non Ŕ consigliabile utilizzare DPAPI in un ambiente di dominio Windows NT 4.0.

In un dominio di Windows NT 4.0, Windows XP non crea una copia di backup della chiave di master dell'utente. Questo Ŕ il comportamento predefinito. Se si modifica o reimpostare la password, l'utente potrebbe essere negato l'accesso alle informazioni riservate contenute in profilo. Accesso viene ripristinato solo quando l'utente modifica la password all'ultima password valido noto.

Le cause pi¨ frequenti di problemi con DPAPI in un dominio di Windows NT 4.0 implicano la reimpostazione di password o profili. Si verificano problemi con i profili comuni se l'utente ha recentemente modificato la password. In base a vari fattori che potrebbero interrompere normali operazioni del profilo utente comune, il profilo che l'utente Ŕ connesso a Ŕ possibile che non sono stato aggiornato con la nuova password (crittografia chiave master).

Per risolvere questo problema, Ŕ necessario installare un controller di dominio Windows 2000 o Windows Server 2003 nel dominio utente. DPAPI trova automaticamente questo controller di dominio per eseguire il backup e ripristinare operazioni utilizzando DPAPI pubblica/privata coppia di chiavi del controller di dominio.

Se si utilizza Windows SP1 e versioni successive, Ŕ possibile forzare DPAPI, eseguire il backup locale della chiave master mentre fanno parte di un dominio di Windows NT 4.0. Microsoft non consiglia, tuttavia, questa procedura perchÚ interessa la protezione del computer in cui la modifica viene applicata.

Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
331333 Utente non pu˛ accedere i file crittografati EFS dopo la modifica della password o quando si utilizza un profilo comune

Impossibile accedere a informazioni riservate, dopo aver reinstallato Windows su un computer autonomo DPAPI

Per impostazione predefinita, non Ŕ possibile accedere informazioni riservate DPAPI dopo l'installazione di Windows in un computer autonomo. L'istanza dell'utente che era giÓ presente nella copia originale di Windows viene distrutta dopo la reinstallazione del sistema operativo senza effettuare l'aggiornamento. Ogni nuovo utente viene creato con lo stesso nome ha un'identitÓ di protezione diversi in un database di protezione diversi. Il nuovo utente non dispone di accesso a decrittografare le informazioni riservate DPAPI dell'utente originale. L'utente non Ŕ in grado di accedere alle informazioni riservate utilizzando la chiave master di utente.

La copia originale di Windows consente di proteggere la copia della chiave master con i dati riservati che sono noto solo tale copia di Windows. Se si sostituisce il sistema operativo, i dati riservati non possono accedervi. L'utente non pu˛ accedere alle informazioni riservate utilizzando la chiave master di backup.

Impossibile aggiungere o accedere a informazioni riservate con i profili obbligatori DPAPI

Per impostazione predefinita, Windows 2000 e Windows XP non consentono scrivere la copia locale di un profilo obbligatorio, poichÚ i dati viene salvati dopo la sessione iniziale. Di conseguenza, DPAPI non pu˛ memorizzare le chiavi master nuove, Aggiorna le chiavi master al cambio di password o aggiungere dati protetti in un profilo obbligatorio.

Impossibile accedere a informazioni riservate, dopo l'unione o un dominio di separazione del DPAPI

Se si dispone di fa parte di un computer autonomo di un dominio Ŕ stata persa accesso ai dati DPAPI, Ŕ possibile ripristinare accesso accedendo come utente locale. Per accedere come utente locale in un computer appartenente a dominio, fare clic sul nome del computer locale nella casella a discesa nella finestra di dialogo accesso e quindi immettere il nome utente locale e la password.

Se Ŕ stato separato un computer da un dominio, Ŕ necessario ricollegarsi al dominio e quindi accedere come utente di dominio stesso accedere ai file.

Linee guida e procedure consigliate

  • Microsoft consiglia di utilizzare password complesse. Utilizzare la password complessa pi¨ difficile, che Ŕ possibile ricordare in modo affidabile. Nota I filtri di password non sono attualmente supportati da DPAPI.
  • Esportare e salvare importanti certificati e chiavi private in un percorso sicuro e protetto.

ProprietÓ

Identificativo articolo: 309408 - Ultima modifica: lunedý 3 dicembre 2007 - Revisione: 4.6
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT 4.0
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Chiavi:á
kbmt kbinfo KB309408 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 309408
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com