Устранение неполадок API защиты данных (DPAPI)

Переводы статьи Переводы статьи
Код статьи: 309408 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

API-Интерфейс защиты данных (DPAPI) помогает защитить данные в Windows 2000 и более поздних операционных системах. Для защиты закрытых ключей, сохраненных учетных данных (в Windows XP и более поздних версиях) и другие конфиденциальные данные, что операционная система или программа хочет сохранить конфиденциальные используется DPAPI.

DPAPI не несет ответственности за хранение конфиденциальной информации, он защищает. Он отвечает только за шифрование и расшифровка данных для программ, которые вызывают его, такие как учетные данные Windows диспетчер, механизм хранения закрытого ключа или третьей программы, вызывающие CryptProtectData() функция и CryptUnprotectData() функция в Windows 2000, Windows XP или более поздней версии.

Примечание Эта функция отличается от функции, предлагаемые Windows защищенного хранилища (P-хранилище) в Windows NT 4.0. P-хранилище несет ответственность за защиту и хранение конфиденциальной информации. DPAPI предлагает не возможностей для хранения данных.
В данной статье описывается как DPAPI помогает защитить данные на базовом уровне. Он также включает сведения, относящиеся к потере доступа к данным защищен DPAPI в различных сценариях устранения неполадок.

Для получения дополнительных сведений о работе DPAPI посетите следующий веб-узел корпорации Майкрософт:
http://msdn2.Microsoft.com/en-us/library/ms995355.aspx
Данная статья содержит следующие разделы:

Дополнительная информация

Важные Устранение неполадок при потере данных DPAPI, необходимо собрать следующие сведения:
  • Как работает DPAPI в среде конкретной системы безопасности, включая версию локальной рабочей станции?
  • Это рабочая станция входит в состав домена?
  • Пользователь является членом домена?
  • Что такое версии операционной системы, на котором размещается домена?
Многие проблемы с помощью DPAPI возникают при использовании DPAPI в домене Windows NT 4.0. В разделе «Известные проблемы» этой статьи для получения дополнительных сведений.

DPAPI используется главным образом функции безопасности операционной системы для защиты данных от имени пользователя. Кроме того любой сторонней программы можно использовать DPAPI в надежно защитить данные пользователя.

DPAPI защиты

DPAPI защищает следующие элементы:
  • Учетные данные веб-страницы (например, пароли)
  • Учетные данные общего файла
  • Закрытые ключи, связанные с шифрованной файловой системы (EFS), S/MIME и других сертификатов
  • Данных, защищенных с помощью программы CryptProtectData() Задача

Пример: Сертификаты и закрытые ключи

В этом разделе описывается разница между личные данные и конфиденциальную информацию, которая защищает DPAPI. В следующем списке перечислены расположения данных во время операции импорта сертификата и описывает закрытый ключ, связанный с этим сертификатом личное хранилище пользователя:
  • Сертификат, закодированная в виде больших двоичных объектов и хранится в двоичном виде в следующее расположение файла:
    %USERPROFILE%\Application Data\Microsoft\SystemCertificates\My\Certificates
  • Обратите внимание, что расположение раздела реестра в профиле локального пользователя. Это положение гарантирует, что только для входа в систему пользователь имеет доступ к их собственные сертификаты в обычных обстоятельствах.
  • Сертификаты не защищены, DPAPI любых механизмов Windows по умолчанию. Список управления доступом (ACL) используется для определения, кто может загрузить куст пользователя и кто может прочитать сертификатов, хранящихся в куст.
  • Закрытый ключ, связанный с сертификатом шифрования DPAPI и сохраняются (в зашифрованном виде) в контейнере ключей в отдельном файле в профиле пользователя в следующих папках:
    • Для ключей RSA.
      %USERPROFILE%\Application Data\Microsoft\Crypto\RSA\SID пользователя
    • DSA ключей:
      %USERPROFILE%\Application Data\Microsoft\Crypto\DSA\SID пользователя

Как работает DPAPI

Примечание Термины и понятия, описанные в этом разделе были упрощены в целях ясности в контексте этой статьи. Некоторый уровень подробности опущены. Например в данной статье описаны значения, который является производным от пароля пользователя, но не приведены Подробности алгоритма, который используется для получения значения. Подробное описание того, как работает DPAPI Просмотр в документе защиты данных Windows. Чтобы просмотреть этот технический документ, посетите веб-узел корпорации Майкрософт:
http://msdn2.Microsoft.com/en-us/library/ms995355.aspx
DPAPI — это функция, которая используется для защиты данных пользователя, программы и различные компоненты операционной системы. Операция DPAPI незаметна для пользователя. DPAPI помогает защитить данные в контексте безопасности пользователя, который запускает программу.

DPAPI помогает защитить конфиденциальную информацию, используя значение параметра, производным от псевдослучайных 512-разрядный номер, с именем основного ключа. Контроллеры домена Windows Server 2003 с помощью 2048-разрядный ключ RSA, но только когда домен работает в режиме Windows Server 2003 или функциональный уровень домена 2. Каждая учетная запись пользователя имеет один или несколько случайным образом главных ключей. Число главных ключей зависит от возраста в профиле пользователя. Главные ключи обновляются через равные промежутки времени. По умолчанию это значение равно каждые 90 дней.

Поскольку главные ключи содержат данные, необходимые для расшифровки конфиденциальной информации пользователя, главные ключи должны быть защищены. Они защищены с помощью значения, который является производным от пароля пользователя. Пароль является уникальным значением, который знает только пользователю. Поскольку фактически главный ключ зашифрован с использованием значения, который является производным от пароля пользователя, это значение используется попеременно с паролем пользователя в описаниях, представленные в этой статье.

DPAPI атмосферных

В этом разделе описаны окружающей среды конфигурации, влияющих на поведение защиты DPAPI.

DPAPI и обязательные профили

Обязательные профили, профили доступны только для чтения. Обновления, внесенные в локальную копию обязательный профиль не будут сохранены. Например создание ключей заблокирована в обязательный профиль. DPAPI хранит главный ключ в локальную копию профиля и регулярно создает новые главные ключи и обновляет шифрования на защищенном конфиденциальной информации нового основного ключа.

Так как эти два условия являются несовместимыми, программ, зависящих от DPAPI для защиты конфиденциальной информации не работают с обязательными профилями. Программы, которые помогут защитить конфиденциальную информацию с помощью DPAPI, которые не работают с обязательные профили содержат EFS (закрытых ключей), сертификаты с закрытыми ключами (закрытые ключи) и учетные хранящиеся данные в Windows XP и более поздних версиях (учетные данные). Не поддерживаются конфигурации, которые используют эти типы данных и программ.

DPAPI и перемещаемые профили

DPAPI работает корректно с перемещаемыми профилями пользователей и компьютеров, присоединенных к домену службы каталогов Active Directory. DPAPI данных, хранящихся в профиле действует точно так же как и любой другой параметр или файл, хранящийся в перемещаемом профиле. Конфиденциальная информация, которая защищает DPAPI передаются в центральный профиль место во время выхода из системы и загружаются из расположения центральный профиль при входе пользователя в систему.

Для DPAPI работать правильно, если используются перемещаемые профили пользователя домена необходимо только войти в систему на один компьютер в домене. Если пользователю необходимо войти в систему на другом компьютере в домене, пользователь необходимо выйти из первого компьютера перед входом пользователя в систему второй. Если пользователь вошел в систему на нескольких компьютерах одновременно, вполне вероятно, что DPAPI не сможет правильно расшифровать существующие зашифрованные данные.

DPAPI на одном компьютере может расшифровать главный ключ (и данные) на другом компьютере. Это функциональных возможностей, предоставляемых согласованный пароль, хранящийся и проверяются контроллером домена. При возникновении непредвиденных сбоев типовой процесс DPAPI можно использовать процесс, описанный в разделе «Сброс пароля» этой статьи.

Текущее ограничение с перемещаемыми профилями между компьютерами под управлением Windows XP или Windows Server 2003 и компьютерами под управлением Windows 2000 не существует. Если ключи создаются или импортирован на компьютере под управлением Windows XP или Windows Server 2003 и затем сохраняются в перемещаемом профиле, DPAPI нельзя расшифровать эти разделы на компьютере под управлением Windows 2000, если вы вошли в систему с перемещаемым профилем пользователя. Тем не менее компьютер под управлением Windows XP или Windows Server 2003 может расшифровать ключи, которые создаются на компьютере под управлением Windows 2000.

DPAPI и изменения пароля

Ожидается, что пользователи в среде с усиленной безопасности изменять свои пароли через равные промежутки времени. В результате DPAPI должен иметь возможность поддерживать один и тот же уровень доступа пользователя к защищенным данным после изменения пароля. Для изменения паролей пользователей в среде Windows используются следующие методы:
Изменение пароля
При использовании этого метода отсутствует непрерывность доступа для пользователя главных ключей во время смены пароля. DPAPI, вызванным Winlogon компонента во время выполнения операций изменения пароля в домене Active Directory:
  • DPAPI получает уведомление от Winlogon во время операции смены пароля.
  • DPAPI расшифровывает все главные ключи, которые были зашифрованы с использованием старых паролей пользователя.
  • DPAPI повторно шифрует все главные ключи с помощью нового пароля.
Сброс пароля (набор)
В этом методе принудительно администратором пароля пользователя. Сброс пароля является более сложным, чем изменение пароля. Поскольку администратор не вошел в систему как пользователь, не имеет доступа к старый пароль, старый пароль нельзя расшифровать старым главным ключом и заново зашифровать его с новым паролем.

Во всех случаях сброс пароля если пароль пользователя меняется обратно последний пароль, прежде чем он был сброшен, восстановить доступ к главному ключу и, таким образом, восстановить доступ к конфиденциальной информации обеспечивается защита. Это происходит потому, что главные ключи никогда не удаляются, даже если они не могут быть расшифрованы. Однако возможно ненадежной решения нельзя ожидать, что пользователь мог всегда помнить старый пароль. Например пароль пользователя могут быть заданы так, как пользователь забыл пароль.

Так, что DPAPI решает проблему сброса пароля зависит от среды безопасности, где проверка подлинности пользователя.

Для сброса пароля: Пользователи домена в Windows 2000 или более поздней версии домена

Когда в среде домена Active Directory используется DPAPI, две копии главного ключа создаются и обновляются каждый раз при выполнении операции на главный ключ. Первая копия защищен пароль пользователя, как описано ранее в этой статье. Вторая копия шифруется с помощью открытого ключа, связанного с контроллерами домена в домене. Для всех Windows 2000 и более поздних версий контроллеры домена известен закрытый ключ, связанный с данным открытым ключом. Контроллеры домена Windows 2000 с помощью симметричного ключа для шифрования и расшифровки второй копии главного ключа.

Если исходный главный ключ подготавливается к просмотру недоступен пользователю сбросить пароль пользователя, пользователю доступ к главному ключу автоматически восстанавливается с помощью резервной копии главного ключа в следующий процесс:
  • Рабочая станция отправляет зашифрованный резервной копии главного ключа Windows 2000 или более поздней версии контроллера домена через защищенный RPC.
  • Контроллер домена использует закрытый ключ для расшифровки главного ключа пользователя.
  • Контроллер домена возвращает незашифрованный главного ключа для рабочей станции.
  • Рабочая станция повторно шифрует главный ключ, используя новый пароль.
Для сброса пароля: домен Windows NT 4.0

Корпорация Майкрософт не рекомендует использование DPAPI с поддержкой функций (например, EFS и закрытого ключа хранения) для пользователей, которые находятся в домене Windows NT 4.0. В разделе «Известные проблемы» этой статьи для получения дополнительных сведений.

После сброса пароля компьютера под управлением Windows 2000 восстанавливает доступ пользователя к конфиденциальной информации, защищенной DPAPI автоматически с помощью резервной копии главного ключа с таким же образом, как это происходит, если пользователь является членом рабочей группы. В разделе «Пароль сбросить: Windows 2000 рабочей станции в рабочая группа» в данной статье, дополнительные сведения об этой процедуре, а также для информационного об угрозах безопасности.

Windows XP в домене Windows NT 4.0 не сохраняет резервную копию главного ключа. Дополнительные сведения содержатся в разделе «Известные проблемы» этой статьи

Для сброса пароля: Станции Windows 2000 в составе рабочей группы

При использовании DPAPI на изолированном компьютере две копии главного ключа создаются и обновляются каждый раз при выполнении операции на главный ключ. Первая копия защищен пароль пользователя, как описано ранее в этой статье. Вторая копия шифруется с использованием конфиденциальной значение известно, что только учетная запись локального компьютера.

После принудительного сброса пароля и входа в систему с новым паролем, Windows 2000 автоматически расшифровывает копии главного ключа шифрования компьютера и заново шифрует его значение, полученное из нового пароля пользователя. С точки зрения пользователя пользователю доступ к конфиденциальной информации, которая защищена с помощью DPAPI полностью без перерыва.

Важные Такое поведение может повлиять на безопасность. Корпорация Майкрософт не рекомендует использовать DPAPI в конфигурации по умолчанию следующим образом. Корпорация Майкрософт рекомендует использовать один из следующих методов для автономных компьютеров Windows 2000, которые содержат конфиденциальные данные, которые физически угрозу безопасности.
  • Обновление до Windows XP
  • Использование режима SYSKEY 2 или 3 на портативном компьютере под управлением Windows 2000

  • Для получения дополнительных сведений о SYSKEY щелкните следующий номер статьи базы знаний Майкрософт:
    143475Системный раздел Windows NT позволяет использовать стойкое шифрование SAM
Для сброса пароля: Станции Windows XP в составе рабочей группы

По умолчанию Windows XP не создает резервные копии главного ключа. Это выполняется для предотвращения возможных атак автономного кэша главный ключ. В Windows XP можно создать дискету сброса пароля, таким образом, пользователь может восстановить свой пароль, если они забыли. Если вы используете Windows XP с пакетом обновления 1 (SP1) или более поздней версии, можно настроить реестр таким образом, Windows сохраняет резервную копию главного ключа.
За дополнительной информацией о эффектов смены пароля принудительное и возможности восстановления щелкните следующий номер статьи базы знаний Майкрософт:
290260EFS, учетные данные и закрытых ключей сертификатов недоступны после сброса пароля
Дискеты сброса пароля

Дискеты сброса пароля доступны только на Windows XP или более поздней версии на компьютерах, которые входят в состав рабочих групп. Пароль восстановления диска позволяет получить доступ к своей учетной записи и конфиденциальной информации, защищенному DPAPI в профиле пользователя.

Для получения дополнительных сведений о пароль сброса диска, щелкните следующий номер статьи базы знаний Майкрософт:
321305Как войти в Windows XP, если забыт пароль или пароль истекает

Известные проблемы

Невозможно получить доступ К конфиденциальной информации в домене Windows NT 4.0 DPAPI

Важные Корпорация Майкрософт не рекомендует использовать DPAPI в среде домена Windows NT 4.0.

В домене Windows NT 4.0 Windows XP не создает резервную копию главного ключа пользователя. Это поведение по умолчанию. Если изменить или сбросить пароль пользователя может быть запрещен доступ к конфиденциальной информации, содержащейся в своем профиле. Доступ восстанавливается только при изменении пользователем пароля к началу последнего верного пароля.

Наиболее частые причины проблем с помощью DPAPI в домене Windows NT 4.0 включают сброс пароля или перемещаемых профилей. Если пользователь недавно изменил свой пароль возникнуть проблемы с перемещаемыми профилями. В зависимости от различных факторов, которые могут прерывать стандартных операций перемещаемого профиля пользователя профиль пользователя, выполнившего вход на может не были обновлены с новым паролем (главный ключ шифрования).

Для решения этой проблемы, установите контроллер домена Windows 2000 или Windows Server 2003 в домене пользователя. DPAPI автоматически находит контроллер домена для выполнения резервного копирования и восстановления с помощью контроллера домена DPAPI открытого и закрытого ключей.

Если вы используете Windows с пакетом обновления 1 и более поздних версий, можно принудительно DPAPI создавать локальные резервные копии главного ключа при присоединении к домену Windows NT4. Тем не менее Корпорация Майкрософт рекомендует эту процедуру, так как она влияет на безопасность компьютера, где изменения в.

Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
331333 Пользователь не может получить доступ к зашифрованным файлам EFS после изменения пароля или при использовании перемещаемого профиля

Невозможно получить доступ К конфиденциальной информации после переустановки Windows на изолированном компьютере DPAPI

Конструкция не доступа к конфиденциальным сведениям DPAPI после установки Windows на отдельных компьютерах. После переустановки операционной системы без обновления уничтожения экземпляра пользователя, которое присутствовало на исходную копию Windows. Участник безопасности имеет новый пользователь, который создается с тем же именем в базе данных безопасности. Новый пользователь не имеет доступа для расшифровки конфиденциальной информации DPAPI исходного пользователя. Пользователю нет доступа к их конфиденциальные данные с помощью главного ключа пользователя.

Исходная копия Windows помогает защитить свою копию главного ключа с конфиденциальных данных, который известен только эту копию Windows. При замене операционной системы, эти конфиденциальные данные недоступны. Пользователю нет доступа к их конфиденциальные данные с помощью резервной копии главного ключа.

Не удается добавить или получить доступ К конфиденциальной информации с обязательные профили DPAPI

Конструкция Windows 2000 и Windows XP позволяет записать локальную копию обязательный профиль, так как данные сохраняются после исходного сеанса. Таким образом DPAPI нельзя сохранять новые главные ключи, обновление главных ключей при смене пароля или добавьте защищенных данных обязательный профиль.

Невозможно получить доступ К конфиденциальной информации после объединения или исключения из домена DPAPI

Если утрачен доступ к данным DPAPI автономный компьютер присоединен к домену, войдя в систему как локальный пользователь может восстановить доступ. Войти в систему как локальный пользователь компьютера к домену, щелкните имя локального компьютера в поле раскрывающегося списка Вход в систему диалоговое окно поле, а затем введите имя пользователя и пароль.

Если компьютер из домена исключен, необходимо присоединиться к домену и войти в систему в качестве того же пользователя домена, чтобы восстановить доступ к файлам.

Рекомендации и советы и рекомендации

  • Корпорация Майкрософт рекомендует использовать надежные пароли. Используйте наиболее сложных сложных паролей, можно надежно запомнить. Примечание Фильтры пароль в настоящее время не поддерживаются DPAPI.
  • Экспорт и резервное копирование важных сертификатов и закрытых ключей в надежном и безопасном месте.

Свойства

Код статьи: 309408 - Последний отзыв: 6 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Ключевые слова: 
kbinfo kbmt KB309408 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:309408

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com