Como solucionar a DPAPI (Data Protection API)

Traduções deste artigo Traduções deste artigo
ID do artigo: 309408 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

O DPAPI (Data Protection API) ajuda a proteger os dados no Windows 2000 e sistemas operacionais posteriores. DPAPI é usada para ajudar a proteger as chaves particulares, as credenciais armazenadas (no Windows XP e posterior) e outras informações confidenciais que o sistema operacional ou um programa deseja manter confidenciais.

DPAPI não é responsável por armazenar as informações confidenciais que ele protege. Ele é responsável somente por Criptografando e descriptografando dados para programas que chamá-lo, como Gerenciador de credenciais do Windows, o mecanismo de armazenamento de chave particular ou quaisquer programas de terceiros que chamam a função CryptProtectData() e a função CryptUnprotectData() no Windows 2000, Windows XP, ou posterior.

Observação Essa funcionalidade é diferente da funcionalidade que é oferecida pelo armazenamento protegido do Windows (armazenamento de P) no Windows NT 4.0. P-armazenamento é responsável por proteger e armazenar informações confidenciais. DPAPI oferece não recursos de armazenamento.
Este artigo descreve como DPAPI ajuda a proteger dados em um nível básico. Ele também inclui informações que estão relacionadas ao solucionar problemas de perda de acesso a dados DPAPI protegido em cenários diferentes.

Para obter mais informações sobre como funciona a DPAPI, visite o seguinte site:
http://msdn2.microsoft.com/en-us/library/ms995355.aspx
Este artigo inclui os seguintes tópicos:

Mais Informações

importante Para solucionar a perda de dados DPAPI, você deve coletar as informações seguintes:
  • Como a DPAPI funciona em seu ambiente de segurança específico incluindo a versão de estação de trabalho local?
  • É que a estação de trabalho é associada a um domínio?
  • É que o usuário é um membro do domínio?
  • Qual é a versão de sistema operacional que está hospedando o domínio?
Muitos problemas com DPAPI ocorrem quando DPAPI é usada em um domínio do Windows NT 4.0. Consulte a seção "Problemas conhecidos" neste artigo para obter mais informações.

DPAPI é usada principalmente pelos recursos de segurança do sistema operacional para ajudar a proteger dados em nome do usuário. Além disso, qualquer programa de terceiros pode usar DPAPI para ajudar a proteger dados do usuário com segurança.

O que pode proteger DPAPI

DPAPI ajuda a proteger os seguintes itens:
  • Credenciais de página da Web (por exemplo, senhas)
  • Credenciais de compartilhamento de arquivo
  • Chaves particulares associadas com sistema de arquivos com criptografia (EFS), S/MIME e outros certificados
  • Dados do programa que estão protegidos usando a função CryptProtectData()

Exemplo: Certificados e chaves particulares

Esta seção descreve a diferença entre dados pessoais e informações confidenciais que DPAPI ajuda a proteger. A lista a seguir descreve o posicionamento dos dados durante uma operação de importação de um certificado e descreve a chave particular que está associada com esse certificado ao armazenamento pessoal do usuário:
  • O certificado é codificado como um objeto binário grande e armazenado como um valor binário no seguinte local do arquivo:
    %Userprofile%\Application Data\Microsoft\SystemCertificates\My\Certificates
  • Observe que é o local da chave do registro no perfil do usuário local. Esse posicionamento garante que somente o usuário de logon tem acesso a seus próprios certificados em circunstâncias normais.
  • Certificados não são protegidos por DPAPI por qualquer mecanismos padrão do Windows. Uma lista de controle de acesso (ACL) é usado para definir quem pode carregar hive do usuário e quem pode ler os certificados que são armazenados na seção.
  • A chave particular associada ao certificado é criptografada por DPAPI e salvo (em um formulário criptografado) em um contêiner chave como um arquivo individual no perfil do usuário nas seguintes pastas:
    • Para chaves RSA:
      %Userprofile%\Application Data\Microsoft\Crypto\RSA\ User SID
    • Para chaves DSA:
      %Userprofile%\Application Data\Microsoft\Crypto\DSA\ User SID

Como funciona a DPAPI

Observação Os termos e conceitos que são descritos nesta seção foram simplificados para fins de clareza no contexto de neste artigo. Algum nível de detalhe foi omitida. Por exemplo, este artigo discute um valor que é derivado da senha do usuário, mas não são descritos os detalhes do algoritmo que é usado para derivar o valor. Para obter uma descrição detalhada de como funciona a DPAPI, exiba o documento de proteção de dados do Windows. Para visualizar este documento em branco, visite o seguinte site:
http://msdn2.microsoft.com/en-us/library/ms995355.aspx
DPAPI é uma função que é usada por programas e vários componentes do sistema operacional para ajudar a proteger os dados para um usuário. A operação de DPAPI não é visível para o usuário. DPAPI ajuda a proteger os dados no contexto de segurança do usuário que executa o programa.

DPAPI ajuda a proteger informações confidenciais usando dados do valor derivados de um número de 512 bits pseudo-aleatória chamado uma chave mestre. Controladores de domínio Windows Server 2003 usam uma chave RSA 2048 bits, mas somente quando o domínio está sendo executado no nível funcional do domínio 2 ou Windows Server 2003 modo. Cada conta de usuário tem um ou mais chaves mestras gerado aleatoriamente. O número de chaves mestras depende a idade do perfil do usuário. As chaves mestre são renovadas em intervalos regulares. Por padrão, esse valor é a cada 90 dias.

Como chaves mestras contêm os dados que é necessária para descriptografar todas as informações do usuário confidenciais, as chaves mestre devem ser protegidas. Elas são protegidas usando um valor que é derivado da senha do usuário. A senha é um valor exclusivo que somente um usuário sabe. Como a chave mestre, na verdade, é criptografada usando um valor que é derivado de senha do usuário, esse valor é usado intercambiavelmente com a senha do usuário nas descrições de apresentados neste artigo.

Considerações sobre ambiente DPAPI

Esta seção descreve as configurações ambientais que afetam o comportamento de proteção de DPAPI.

DPAPI e perfis obrigatórios

Perfis obrigatórios são perfis de somente leitura. Não há atualizações são feitas na cópia local de um perfil obrigatório são salvas. Por exemplo, geração de chave é bloqueada em um perfil obrigatório. DPAPI armazena a chave mestre na cópia local de um perfil e regularmente cria novas chaves mestre e atualiza a criptografia nas informações confidenciais protegidas com a nova chave mestre.

Como essas duas condições são incompatíveis, programas que dependem do DPAPI para ajudar a proteger informações confidenciais não funcionam corretamente com perfis obrigatórios. Programas que ajudam a proteger informações confidenciais com DPAPI e que não funcionam corretamente com perfis obrigatórios incluem EFS (chaves particulares), certificados com chaves particulares (chaves particulares) e armazenados credenciais no Windows XP e posterior (credenciais). Não há suporte para configurações que utilizam esses tipos de dados ou programas.

DPAPI e perfis móveis

DPAPI funciona conforme o esperado com perfis móveis de usuários e computadores que fazem parte de um domínio do serviço de diretório do Active Directory. DPAPI dados armazenados no perfil funciona exatamente como qualquer outra configuração ou arquivo que é armazenado em um perfil móvel. Informações confidenciais a DPAPI ajuda a proteger são carregados para o local do perfil central durante o processo de logoff e são baixado no local do perfil central quando um usuário fizer logon.

Para DPAPI para funcionar corretamente quando ele usa perfis móveis, o usuário de domínio deve apenas fazer logon para um único computador no domínio. Se o usuário deseja fazer logon em um computador diferente que está no domínio, o usuário deve fazer logoff primeiro computador antes do usuário fizer logon no segundo computador. Se o usuário fizer logon em vários computadores ao mesmo tempo, é provável que o DPAPI não poderão descriptografar dados criptografados existentes corretamente.

DPAPI em um computador pode descriptografar a chave mestre (e os dados) em outro computador. Essa funcionalidade é fornecida por senha do consistente do usuário que é armazenada e verificada pelo controlador de domínio. Se ocorrer uma interrupção inesperada do processo típico, DPAPI pode usar o processo descrito na seção "Redefinir senha" neste artigo.

Há uma limitação atual com perfis móveis entre computadores com Windows Server 2003 ou Windows XP e computadores baseados no Windows 2000. Se as chaves são geradas ou importadas em um computador baseado no Windows XP ou baseado no Windows Server 2003 e, em seguida, armazenadas em um perfil móvel, DPAPI não pode descriptografar essas chaves em um computador com Windows 2000 se você fez logon com um perfil de usuário móvel. No entanto, um computador Windows XP ou Windows Server 2003 pode descriptografar as chaves que são geradas em um computador com Windows 2000.

DPAPI e alterações de senha

Os usuários em um ambiente de segurança reforçada devem alterar suas senhas em intervalos regulares. Como resultado, DPAPI deve ser capaz de manter que o mesmo nível de acesso para o usuário dados protegidos após alterações de senha. Os métodos a seguir são usados para alterar senhas de usuário em um ambiente do Windows:
Alteração de senha
Esse método, há continuidade de acesso a chaves de mestre do usuário durante uma alteração de senha. A DPAPI é chamada pelo componente Winlogon durante operações de alteração de senha em um domínio do Active Directory:
  • DPAPI recebe notificação do Winlogon durante uma operação de alteração de senha.
  • DPAPI descriptografa todas as chaves mestre que foram criptografadas com senhas antigas do usuário.
  • A DPAPI criptografa novamente todas as chaves mestre com a nova senha do usuário.
Redefinição de senha (conjunto)
Nesse método, um administrador forçosamente redefine uma senha de usuário. Uma redefinição de senha é mais complexa do que uma alteração de senha. Como o administrador não está conectado como o usuário e não tem acesso para a senha do usuário antigo, a senha antiga não pode ser usada para descriptografar a chave mestre antiga e recriptografá-lo com a nova senha.

Em todos os casos de redefinições de senha, se a senha do usuário for alterada novamente para a última senha antes de ela foi redefinida, acesso é restaurado em chave mestre e, como resultado, o acesso é restaurado em todas as informações confidenciais ajuda-lo a proteger. Esse comportamento ocorre porque as chaves mestre nunca são excluídas, mesmo quando eles não poderão ser descriptografados. No entanto, isso pode ser uma solução não-confiável porque você não pode esperar que o usuário sempre lembrar a senha antiga. Por exemplo, a senha do usuário pode foram redefinida porque o usuário esqueceu a senha.

A maneira de DPAPI resolve o problema de redefinição de senha depende do ambiente de segurança onde o usuário é autenticado.

redefinição de senha: usuários do domínio em um Windows 2000 ou posterior domínio

Quando o DPAPI é usada em um ambiente de domínio do Active Directory, duas cópias da chave mestre são criadas e atualizadas sempre que uma operação é executada na chave mestre. A primeira cópia é protegida por senha da usuário conforme descrito anteriormente neste artigo. A segunda cópia será criptografada com uma chave pública que está associada com os controladores de domínio no domínio. A chave particular que está associada a esta chave pública é conhecida por todos os Windows 2000 e posteriores controladores de domínio. Controladores de domínio do Windows 2000 usam uma chave simétrica para criptografar e descriptografar a segunda cópia da chave mestre.

Se a senha do usuário é redefinida e a chave mestre original é processada inacessível para o usuário, o acesso do usuário para a chave mestre será restaurado automaticamente usando a chave mestre de backup na seguinte processo:
  • A estação de trabalho envia a chave mestre de backup criptografada para um Windows 2000 ou posterior controlador de domínio via RPC protegido.
  • O controlador de domínio usa a chave particular para descriptografar a chave mestra do usuário.
  • O controlador de domínio retorna a chave mestre não criptografada para a estação de trabalho.
  • A estação de trabalho criptografa novamente a chave mestre usando a nova senha do usuário.
redefinição de senha: domínio do Windows NT 4.0

A Microsoft não recomenda o uso de recursos habilitados por DPAPI (por exemplo, EFS ou chave particular armazenamento) para os usuários que estão em um domínio Windows NT 4.0. Consulte a seção "Problemas conhecidos" deste artigo para obter mais informações.

Após redefinir uma senha, um computador cliente com Windows 2000 restaura o acesso do usuário as informações confidenciais protegidas por DPAPI automaticamente por meio da chave mestre backup da mesma forma que se o usuário estiver em um grupo de trabalho. Consulte a seção "Senha redefinir: Windows 2000 Workstation no grupo de um trabalho" neste artigo para obter mais informações sobre esse procedimento e para informativas sobre riscos de segurança.

Windows XP em um domínio do Windows NT 4.0 não mantém uma cópia de backup da chave mestre. Para obter mais informações, consulte a seção "problemas conhecidos" neste artigo

redefinição de senha: Windows 2000 Workstation em um grupo de trabalho

Se você estiver usando DPAPI em um computador autônomo, duas cópias da chave mestre são criadas e atualizadas sempre que uma operação é executada na chave mestre. A primeira cópia é protegida por senha da usuário conforme descrito anteriormente neste artigo. A segunda cópia é criptografada com um valor confidencial conhecido apenas a conta de computador local.

Depois que uma senha de usuário foi redefinida forçosamente e o usuário fizer logon com a nova senha, o Windows 2000 automaticamente descriptografa a cópia de chave mestre criptografado por computador e criptografa novamente com o valor derivado a nova senha do usuário. Do ponto de vista do usuário, o acesso do usuário às informações confidenciais que são protegidos por DPAPI é completamente sem interrupções.

importante Esse comportamento pode afetar a segurança. A Microsoft não recomenda que você use DPAPI em uma configuração padrão desta. A Microsoft recomenda que você use um dos seguintes métodos para computadores autônomos do Windows 2000 que contêm dados confidenciais que podem ser fisicamente comprometidos:
  • Atualização para o Windows XP
  • Use SYSKEY modo 2 ou 3 no laptop baseado no Windows 2000

  • Para obter informações adicionais sobre o SYSKEY, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    143475Chave do sistema Windows NT houver criptografia forte de SAM
redefinição de senha: estação de trabalho do Windows XP em um grupo de trabalho

Por padrão, o Windows XP não cria cópias de backup de chave mestre. Ele faz isso para evitar um ataque offline do cache de chave mestre. No Windows XP, você pode criar um disco de redefinição de senha para que o usuário pode recuperar sua senha se eles esquecerem-la. Se você estiver usando o Windows XP Service Pack 1 (SP1) ou posterior, você pode configurar o registro até que o Windows mantém uma cópia backup da chave mestre.
Para informações adicionais sobre efeitos de uma alteração de senha forcible e possível de recuperação, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
290260EFS, credenciais e chaves particulares de certificados são indisponíveis depois que uma senha é redefinida
discos de redefinição de senha

Discos de redefinição de senha só estão disponíveis no Windows XP ou computadores baseados no posterior que fazem parte de grupos de trabalho. A senha recuperar disco permite que o usuário para recuperar o acesso à sua conta e todas as informações confidenciais que são protegidas por DPAPI no perfil.

Para obter informações adicionais sobre a senha do disco de redefinição, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
321305Como fazer logon Windows XP se você esquecer sua senha ou sua senha expirar

Problemas conhecidos

Não é possível acessar DPAPI informações confidenciais em um domínio do Windows NT 4.0

importante A Microsoft não recomenda que você use DPAPI em um ambiente de domínio Windows NT 4.0.

Em um domínio do Windows NT 4.0, Windows XP não cria um backup da chave mestra do usuário. Esse é o comportamento padrão. Se você alterar ou redefinir a senha, o usuário poderá ser negado acesso às informações confidenciais contidos em seu perfil. Acesso somente é restaurado quando o usuário altera a senha novamente para a última senha boa conhecida.

As causas mais freqüentes dos problemas com DPAPI em um domínio do Windows NT 4.0 envolvem redefinições de senha ou perfis móveis. Problemas com perfis móveis ocorrer se o usuário alterou recentemente a senha. Dependendo de vários fatores que podem interromper operações de perfil de usuário móvel típica, o perfil que o usuário está conectado pode não foram atualizado com a nova senha (criptografia de chave mestre).

Para resolver esse problema, instale um controlador de domínio do Windows 2000 ou Windows Server 2003 no domínio de usuário. DPAPI localiza automaticamente esse controlador de domínio para realizar backup e restaurar operações usando par de chaves do controlador de domínio DPAPI pública/particular.

Se você estiver usando Windows SP1 e posterior, você pode forçar DPAPI para fazer backups de locais da chave mestre enquanto você estiver conectado a um domínio do Windows NT4. No entanto, Microsoft não recomenda esse procedimento, pois afeta a segurança do computador em que a alteração é aplicada.

Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
331333 Usuário não é possível obter acesso a arquivos criptografados EFS ou após a alteração de senha ao usar um perfil móvel

Não é possível acessar DPAPI informações confidenciais após reinstalar o Windows em um computador independente

Por design, você não pode acessar informações confidenciais DPAPI após a instalação do Windows em um computador autônomo. A instância do usuário que estava presente na cópia original do Windows é destruída após reinstalar o sistema operacional sem atualizar. Qualquer novo usuário que é criado com o mesmo nome tem um objeto de segurança diferentes em um banco de dados segurança diferentes. O novo usuário não tem acesso para descriptografar as informações confidenciais DPAPI do usuário original. O usuário não pode acessar suas informações confidenciais usando a chave mestra do usuário.

A cópia original do Windows ajuda a proteger sua cópia da chave mestre com dados confidenciais que são conhecidos apenas aquela cópia do Windows. Se você substituir o sistema operacional, esses dados confidenciais não podem ser acessados. O usuário não pode acessar suas informações confidenciais usando a chave mestra do backup.

Não é possível adicionar ou acessar informações confidenciais com perfis obrigatórios DPAPI

Por design, Windows 2000 e Windows XP não permitem que você gravar a cópia local de um perfil obrigatório porque os dados são salvos após a sessão inicial. Como resultado, DPAPI não é possível armazenar novas chaves mestre, atualizar as chaves mestre na alteração de senha ou adicionar dados protegidos a um perfil obrigatório.

Não é possível acessar DPAPI informações confidenciais após ingressar ou saindo de um domínio

Se você tiver associado um computador autônomo a um domínio e você perdeu acesso aos dados DPAPI, você pode restaurar acesso fazendo logon como o usuário local. Para fazer logon como um usuário local em um computador associado a um domínio, clique em nome do computador local na caixa suspensa na caixa de diálogo de logon e, em seguida, digite seu nome de usuário local e sua senha.

Se você tiver removido um computador de um domínio, você deve reingressar no domínio e efetue logon como o mesmo usuário do domínio para obter novamente acesso aos seus arquivos.

Diretrizes e práticas recomendadas

  • A Microsoft recomenda que você use senhas de alta segurança. Use a senha complexa mais difícil que confiável pode lembrar. Observação Filtros de senha no momento não há suporte para por DPAPI.
  • Exportar e fazer backup importantes certificados e chaves particulares para um local seguro.

Propriedades

ID do artigo: 309408 - Última revisão: segunda-feira, 3 de dezembro de 2007 - Revisão: 4.6
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT 4.0
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Palavras-chave: 
kbmt kbinfo KB309408 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 309408

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com