Como resolver a API de protecção de dados (DPAPI, Data Protection API)

A API de protecção de dados (DPAPI, Data Protection API) ajuda a proteger os dados no Windows 2000 e sistemas operativos posteriores. DPAPI é utilizado para ajudar a proteger chaves privadas, credenciais armazenadas (no Windows XP e posteriores) e outras informações confidenciais que o sistema operativo ou um programa pretende manter confidenciais.

DPAPI não se responsabiliza para armazenar a informação confidencial protege. É apenas responsável pela encriptar e desencriptar dados para programas que chamá-lo, como Gestor de credenciais do Windows, o mecanismo de armazenamento da chave privada ou quaisquer programas de terceiros que chamam a função CryptProtectData() e a função CryptUnprotectData() no Windows 2000, Windows XP, ou posterior.

Nota Esta funcionalidade é diferente da funcionalidade que é oferecida pelo arquivo de Windows protegido (arquivo de P) no Windows NT 4.0. Arquivo de P é responsável pela protecção e armazenar informações confidenciais. DPAPI oferece não capacidades de armazenamento.
Este artigo descreve como DPAPI proteger dados a um nível básico. Inclui também informações relacionadas com a perda de acesso a dados DPAPI protegido cenários diferentes de resolução de problemas.

Para mais informações sobre como funciona o DPAPI, visite o seguinte Web site da Microsoft: Este artigo inclui os seguintes tópicos:

• What DPAPI Can Protect
  • Example: Certificates and Private Keys
• How DPAPI Works
• DPAPI Environmental Considerations
  • DPAPI and Mandatory Profiles
  • DPAPI and Roaming Profiles
  • DPAPI and Password Changes
• Known Issues
  • You Cannot Access DPAPI Confidential Information with Roaming Profiles in a Windows NT 4.0 Domain
  • You Cannot Access DPAPI Confidential Information After Reinstalling Windows
  • You Cannot Add or Access DPAPI Confidential Information with Mandatory Profiles
  • You Cannot Access DPAPI Confidential Information After Joining or Disjoining a Domain
• Guidelines and Best Practices

importante Para resolver a perda de dados DPAPI, tem de recolher as seguintes informações:

• Como funciona DPAPI no ambiente de segurança específica, incluindo a versão de estação de trabalho local?
• É que a estação de trabalho está associada a um domínio?
• É que o utilizador é um membro do domínio?
• Qual é a versão do sistema operativo que hospeda o domínio?

Muitos problemas com DPAPI ocorrem quando DPAPI é utilizada num domínio do Windows NT 4.0. Consulte a secção "Problemas conhecidos" deste artigo para obter mais informações.

DPAPI é utilizado principalmente pelo funcionalidades de segurança do sistema operativo para ajudar a proteger dados em nome do utilizador. Além disso, qualquer programa de outros fabricantes pode utilizar o DPAPI para proteger em segurança dados de utilizador.

O que pode proteger o DPAPI

DPAPI ajuda a proteger os seguintes itens:

• Credenciais de página Web (por exemplo, palavras-passe)
• Credenciais de partilha de ficheiros
• Chaves privadas associadas a encriptação de ficheiros (EFS), S/MIME e outros certificados
• Dados do programa estão protegidos utilizando a função CryptProtectData()

Exemplo: Certificados e chaves privadas

Esta secção descreve a diferença entre dados pessoais e informações confidenciais que DPAPI ajuda a proteger. A lista seguinte descreve a Colocação de dados durante uma operação de importação de um certificado e descreve a chave privada associada a esse certificado para arquivo pessoal do utilizador:

• O certificado é codificado como um objecto binário grande e armazenado como um valor binário na seguinte localização de ficheiro:
  %Userprofile%\Application Data\Microsoft\SystemCertificates\My\Certificates
• Tenha em atenção que a localização da chave de registo se encontra no perfil de utilizador local. Esta colocação garante que apenas o utilizador de início de sessão tem acesso para os seus próprios certificados em circunstâncias normais.
• Certificados não estão protegidos por DPAPI por quaisquer mecanismos de Windows predefinido. Uma lista de controlo de acesso (ACL) é utilizado para definir quem pode carregar ramo de registo do utilizador e quem pode ler os certificados que são armazenados no ramo de registo.
• A chave privada que está associado com o certificado está encriptado por DPAPI e guardado (num formato encriptado) num contentor chave como um ficheiro individual no perfil do utilizador nas seguintes pastas:
  • Para chaves de RSA:
    %Userprofile%\Application Data\Microsoft\Crypto\RSA\ User SID
  • Para DSA chaves:
    %Userprofile%\Application Data\Microsoft\Crypto\DSA\ User SID

Como funciona o DPAPI

Nota Os termos e conceitos são descritos nesta secção foram simplificados para efeitos de clareza no contexto do utilizador neste artigo. Foi omitido algum nível de detalhe. Por exemplo, este artigo aborda um valor que deriva de palavra-passe do utilizador, mas não descreve os detalhes do algoritmo que é utilizado para derivar o valor. Para obter uma descrição detalhada de como funciona o DPAPI, consulte a documentação técnica protecção de dados do Windows. Para ver esta documentação técnica, visite o seguinte Web site da Microsoft: DPAPI é uma função é utilizada por programas e vários componentes do sistema operativo para ajudar a proteger os dados para um utilizador. O funcionamento do DPAPI não é visível ao utilizador. DPAPI ajuda a proteger os dados no contexto de segurança do utilizador que executa o programa.

DPAPI ajuda a proteger informações confidenciais utilizando dados de valor derivados de um número de 512 bits pseudo-aleatória designado uma chave principal. Controladores de domínio do Windows Server 2003 utilizam uma chave RSA 2048 bits, mas apenas quando o domínio está em execução no nível funcional de domínio 2 ou Windows Server 2003 modo. Cada conta de utilizador tem um ou mais chaves principais gerado aleatoriamente. O número de chaves principais depende a antiguidade do perfil do utilizador. As chaves principais são renovadas em intervalos regulares. Por predefinição, este valor é 90 dias.

Uma vez que as chaves principais contêm os dados que é necessária para desencriptar as informações confidenciais de todos os utilizadores, chaves principais têm de ser protegidas. Protegido utilizando um valor que deriva de palavra-passe do utilizador. A palavra-passe é um valor exclusivo que só um utilizador conhecer. Uma vez que a chave principal, na realidade, é encriptada utilizando um valor que deriva de palavra-passe do utilizador, este valor é utilizado alternadamente com palavra-passe do utilizador nas descrições das apresentados neste artigo.

Considerações sobre o ambiente DPAPI

Esta secção descreve as configurações de ambiente que afectem o comportamento de protecção DPAPI.

Os perfis de obrigatórios e DPAPI

Perfis obrigatórios são só de leitura perfis. Não existem actualizações efectuadas à cópia local de um perfil obrigatório são guardadas. Por exemplo, geração de chaves é bloqueada no perfil obrigatório. DPAPI armazena a chave principal na cópia de um perfil local e regularmente cria novas chaves mestre e actualiza a encriptação da informação confidencial protegida com a nova chave principal.

Uma vez que estas condições são incompatíveis, programas que dependem do DPAPI para ajudar a proteger informações confidenciais não funcionam correctamente com perfis obrigatórios. Os programas que ajudam a proteger informações confidenciais com DPAPI que não funcionam correctamente com perfis obrigatórios incluem EFS (chaves privadas), certificados com chaves privadas (chaves privadas) e armazenadas credenciais no Windows XP e versões posteriores (credenciais). Não são suportadas configurações que utilizem estes tipos de dados ou programas.

DPAPI e perfis guardados no servidor

DPAPI funciona como previsto com perfis guardados no servidor para utilizadores e computadores que estejam associados a um domínio do serviço de directório do Active Directory. DPAPI dados armazenados no perfil funciona exactamente como qualquer outro definição ou ficheiro que é armazenado num perfil guardado no servidor. Informações confidenciais que o DPAPI ajuda a proteger são enviados para a localização de perfil central durante o processo de fim de sessão e são transferidos da localização de perfil central, quando um utilizador inicia sessão.

Para DPAPI funcionar correctamente quando utiliza perfis guardados no servidor, o utilizador de domínio tem apenas ter sessão iniciado único computador no domínio. Se o utilizador pretende iniciar sessão no outro computador que está no domínio, o utilizador tem termine sessão no primeiro computador antes do utilizador iniciar sessão no segundo computador. Se o utilizador tiver sessão iniciada em vários computadores ao mesmo tempo, é provável que DPAPI não conseguir desencriptar dados encriptados existentes correctamente.

DPAPI num computador pode desencriptar a chave principal (e os dados) noutro computador. Esta funcionalidade é fornecida por palavra-consistente passe o utilizador que é armazenada e verificada pelo controlador de domínio. Se ocorrer uma interrupção inesperada do processo normal, DPAPI pode utilizar o processo descrito na secção "Repor palavra-passe" deste artigo.

Existe um limite actual com perfis itinerantes entre computadores baseados no Windows XP ou baseados no Windows Server 2003 e computadores baseados no Windows 2000. Se chaves são geradas ou importadas num computador baseado no Windows XP ou Windows Server 2003 e, em seguida, armazenadas num perfil guardado no servidor, o DPAPI não é possível desencriptar estas chaves num computador com o Windows 2000 se iniciada com um perfil de utilizador guardado no servidor. No entanto, um computador baseado no Windows XP ou Windows Server 2003 pode desencriptar chaves que são criadas num computador baseado no Windows 2000.

DPAPI e alterações de palavra-passe

Utilizadores num ambiente segurança avançada se espera que alterar as respectivas palavras-passe em intervalos regulares. Como resultado, DPAPI tem de conseguir manter que o mesmo nível de acesso ao utilizador os dados protegidos após alterações de palavra-passe. São utilizados os seguintes métodos para alterar palavras-passe de utilizador num ambiente do Windows:

Alterar palavra-passe

Neste método, é continuidade de acesso às chaves de principal do utilizador durante uma alteração de palavra-passe. O DPAPI é invocado pelo componente de início de sessão durante operações de alteração de palavra-passe num domínio do Active Directory:

• DPAPI recebe notificação de início de sessão durante uma operação de alteração de palavra-passe.
• DPAPI desencripta todas as chaves principais que foram encriptadas com palavras-passe antiga do utilizador.
• DPAPI re-encrypts todas as chaves mestre com a nova palavra-passe do utilizador.

Repor palavra-passe (conjunto)

Neste método, um administrador forçosamente repõe uma palavra-passe de utilizador. Uma reposição de palavra-passe é mais complexa do que uma alteração de palavra-passe. Uma vez que o administrador não tiver sessão iniciada como o utilizador e não tem acesso para palavra-passe antiga o utilizador, essa palavra-passe antiga não pode ser utilizado para desencriptar a chave principal antigo e reencriptar com a nova palavra-passe.

Ajuda em todos os casos de reposições de palavra-passe, se palavra-passe do utilizador for alterada novamente para a última palavra-passe antes de e foi reposto acesso é restaurado para chave principal e, como resultado, o acesso é restaurado para todas as informações confidenciais a proteger. Este comportamento ocorre porque as chaves principais são eliminadas nunca, mesmo quando não é possível desencriptar. No entanto, isto pode ser uma solução não fiável porque não é possível pensa que o utilizador conseguir lembre a palavra-passe antiga. Por exemplo, palavra-passe do utilizador poderá foram reposta porque o utilizador esquecer esta palavra-passe.

A forma DPAPI resolve o problema de reposição de palavra-passe depende do ambiente de segurança em que o utilizador é autenticado.

reposição de palavra-passe: utilizadores do domínio num Windows 2000 ou posterior domínio

Quando DPAPI é utilizado num ambiente de domínio do Active Directory, duas cópias da chave principal são criadas e actualizadas sempre que uma operação é efectuada na chave principal. A primeira cópia está protegida pela palavra-passe conforme descrito anteriormente neste artigo. A segunda cópia é encriptada com uma chave pública associada os controladores de domínio no domínio. A chave privada associada a esta chave pública é conhecida para todos os Windows 2000 e posteriores controladores de domínio. Controladores de domínio do Windows 2000 utilizam uma chave simétrica para encriptar e desencriptar a segunda cópia da chave principal.

Se a palavra-passe do utilizador é reposto e a chave principal original é composta inacessível ao utilizador, acesso o utilizador à chave principal é automaticamente restaurado através da cópia de segurança chave principal seguinte processo:

• A estação de trabalho envia a chave mestre de cópia de segurança encriptada para um controlador de domínio posterior ou Windows 2000 através de RPC protegido.
• O controlador de domínio utiliza a chave privada para desencriptar PFS do utilizador.
• O controlador de domínio devolve a chave principal não encriptada a estação de trabalho.
• A estação de trabalho re-encrypts a chave principal utilizando a nova palavra-passe do utilizador.

reposição de palavra-passe: domínio do Windows NT 4.0

A Microsoft não recomenda a utilização de funcionalidades DPAPI activados (por exemplo, o EFS ou chave privada armazenamento) para utilizadores num domínio do Windows NT 4.0. Consulte a secção "Problemas conhecidos" deste artigo para obter mais informações.

Depois de repor uma palavra-passe, um computador cliente baseado no Windows 2000 restaura o acesso do utilizador para a informação confidencial protegido por DPAPI automaticamente utilizando a cópia de segurança chave principal da mesma forma que acontece se o utilizador estiver num grupo de trabalho. Consulte a secção de "Palavra-passe repor: Windows 2000 Workstation no grupo de um trabalho" neste artigo para obter mais informações sobre este procedimento e para informação sobre os riscos de segurança.

Windows XP num domínio do Windows NT 4.0 não mantém uma cópia de segurança cópia da chave principal. Para mais informações, consulte a secção "Problemas conhecidos" neste artigo

reposição de palavra-passe: Windows 2000 Workstation num grupo de trabalho

Se estiver a utilizar o DPAPI num computador autónomo, duas cópias da chave mestre são criadas e actualizadas sempre que uma operação é efectuada na chave principal. A primeira cópia está protegida pela palavra-passe conforme descrito anteriormente neste artigo. A segunda cópia é encriptada com um valor confidencial conhecido apenas a conta de computador local.

Depois de uma palavra-passe de utilizador foi reposta forçosamente e o utilizador inicia sessão com a nova palavra-passe, o Windows 2000 desencripta a cópia codificados no computador da chave de modelo global automaticamente e re-encrypts com o valor derivado a nova palavra-passe. Do ponto de vista do utilizador, o acesso do utilizador as informações confidenciais que está protegido por DPAPI é completamente sem interrupções.

importante Este comportamento pode afectar a segurança. Microsoft não recomenda que utilize DPAPI uma configuração predefinida desta forma. A Microsoft recomenda que utilize um dos seguintes métodos para computadores autónomos Windows 2000 que contêm dados confidenciais que poderão ser comprometidos fisicamente:

• Actualizar para o Windows XP
• Utilizar o modo SYSKEY 2 ou 3 no computador portátil baseado no Windows 2000
• 
  Para obter informações adicionais sobre SYSKEY, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
  143475

  (http://support.microsoft.com/kb/143475/EN-US/ )

  Windows NT System Key Permits encriptação forte de SAM, Security Accounts Manager

reposição de palavra-passe: Windows XP Workstation num grupo de trabalho

Por predefinição, o Windows XP não cria cópias de segurança da chave principal. Fá-lo para evitar um ataque offline da cache de chave principal. No Windows XP, pode criar uma disquete de reposição de palavra-passe para que o utilizador pode recuperar a palavra-passe se se esquecer. Se estiver a utilizar o Windows XP Service Pack 1 (SP1) ou posterior, pode configurar o registo assim que o Windows mantém uma cópia de segurança cópia da chave principal.
Para obter informações adicionais sobre efeitos de uma alteração de palavra-passe forçada e recuperação possível, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: discos de reposição de palavra-passe

Disquetes de reposição de palavra-passe só estão disponíveis no Windows XP ou posterior em computadores que estejam associados a grupos de trabalho com base em. A palavra-passe recuperar disco permite ao recuperar acesso a respectiva conta e todas as informações confidenciais que estão protegidas por DPAPI no perfil de utilizador.

Para obter informações adicionais sobre a palavra-passe disco de reposição, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:

Problemas conhecidos

Não é possível aceder DPAPI informação confidencial num domínio do Windows NT 4.0

importante Microsoft não recomenda que utilize DPAPI num ambiente de domínio Windows NT 4.0.

Num domínio do Windows NT 4.0, Windows XP não cria uma cópia cópia de segurança da chave de principal do utilizador. Este é o comportamento predefinido. Se alterar ou repor a palavra-passe, o utilizador pode ser negado acesso às informações confidenciais contidas no perfil. Acesso só é restaurado quando o utilizador altera a palavra-passe novamente para a palavra-passe de boa conhecida última.

As causas mais frequentes de problemas com DPAPI num domínio do Windows NT 4.0 envolvem reposições de palavra-passe ou perfis guardados no servidor. Problemas com perfis itinerantes ocorrer se o utilizador alterou recentemente a palavra-passe. Dependendo de vários factores que podem interromper típica operações de perfil de utilizador guardado no servidor, o perfil que o utilizador está ligado pode não foram actualizado com a nova palavra-passe (encriptação de chave principal).

Para resolver este problema, instale um controlador de domínio Windows 2000 ou Windows Server 2003 no domínio de utilizador. DPAPI localiza automaticamente este controlador de domínio para efectuar cópia de segurança e restaurar o funcionamento utilizando par de chaves do controlador de domínio DPAPI públicas/privadas.

Se estiver a utilizar o Windows SP1 e posterior, pode forçar o DPAPI para efectuar cópias de segurança locais de chave principal enquanto estiver associado a um domínio do Windows NT4. No entanto, a Microsoft não recomenda este procedimento porque afecta a segurança do computador onde a alteração é aplicada.

Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:

Não é possível aceder DPAPI informação confidencial depois de reinstalar o Windows num computador autónomo

Por predefinição, não é possível aceder informações confidenciais DPAPI depois de instalar o Windows num computador autónomo. A instância do utilizador que estivesse presente na cópia original do Windows é destruída depois de reinstalar o sistema operativo sem efectuar a actualização. Qualquer novo utilizador que é criado com o mesmo nome tem um principal de segurança diferente numa base de dados segurança diferente. O novo utilizador não tem acesso para desencriptar as informações confidenciais DPAPI do utilizador original. O utilizador não é possível aceder a respectivas informações confidenciais utilizando a chave principal de utilizador.

A cópia original do Windows ajuda a proteger a respectiva cópia da chave principal com dados confidenciais que apenas essa cópia do Windows. Se substituir o sistema operativo, estes dados confidenciais não podem ser acedidos. O utilizador não é possível aceder a respectivas informações confidenciais utilizando a cópia de segurança chave principal.

Não é possível adicionar ou aceder a informação confidencial com perfis obrigatórios DPAPI

Por predefinição, Windows 2000 e Windows XP não lhe permitem escrever para a cópia local do perfil obrigatório porque os dados são guardados depois da sessão inicial. Como resultado, DPAPI não é possível armazenar chaves mestre novas, actualizar as chaves principais na alteração de palavra-passe ou adicionar dados protegidos a um perfil obrigatório.

Não é possível aceder DPAPI informação confidencial depois de aderir ou retirar um domínio

Se tiver associado um computador autónomo a um domínio e ter perdido o acesso aos dados DPAPI, pode restaurar o acesso iniciando sessão como utilizador local. Para iniciar sessão como utilizador local num computador membro de domínio, clique nome no computador local na caixa de lista pendente na caixa de diálogo de início de sessão e, em seguida, introduza o nome de utilizador local e palavra-passe.

Se tiver desagregado um computador de um domínio, tem de aderir novamente ao domínio e, em seguida, inicie sessão como o mesmo utilizador de domínio para recuperar o acesso aos ficheiros.

Directrizes e procedimentos recomendados

• A Microsoft recomenda que utilize palavras-passe seguras. Utilize a mais difícil de palavra-passe complexa que eficazmente consiga memorizar. Nota Filtros de palavra-passe não são suportados actualmente por DPAPI.
• Exportar e importantes certificados e chaves privadas ao local seguro.