Riešenie problémov s API ochrany údajov (DPAPI)

Preklady článku Preklady článku
ID článku: 309408 - Zobraziť produkty, ktorých sa tento článok týka.
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

SUHRN

API ochrany údajov (DPAPI) pomáha chrániť údaje v systéme Windows 2000 a neskôr operačných systémov. DPAPI sa používa na ochranu súkromných kľúčov, uložené poverenia (v systéme Windows XP a neskôr) a iné dôverné informácie, že operačný systém alebo program chce zachovať dôverný charakter.

DPAPI nie je zodpovedný za uchovávanie dôverné informácie, ktoré chráni. Len je zodpovedný za šifrovanie a dešifrovanie údajov pre programy, ktoré hovoria, ako napríklad Windows poverenia správcu, súkromný kľúč skladovaniu alebo ktorákoľvek tretia strana programy že hovor CryptProtectData() funkcia a CryptUnprotectData() Funkcia v systéme Windows XP, Windows 2000 alebo novší.

Poznámka: Táto funkcia sa líši od funkcie, ktoré ponúka systém Windows chránené skladu (P-sklad) v systéme Windows NT 4.0. P-sklad zodpovedá za ochranu a skladovanie dôverné informácie. DPAPI ponúka schopnosti, skladovanie.
Tento článok popisuje, ako DPAPI chrániť údaje na základnej úrovni. Obsahuje aj informácie, ktoré súvisí s riešenie problémov strate prístupu k DPAPI chránené údaje v rôznych scenároch.

Ďalšie informácie o tom, ako funguje DPAPI, navštívte nasledovnú webovú lokalitu spoločnosti Microsoft:
http://msdn2.Microsoft.com/en-us/library/ms995355.aspx
Tento článok obsahuje nasledovné témy:

DALSIE INFORMACIE

Dôležité upozornenie Riešenie problémov s strata DPAPI dát, potrebné zhromaždiť tieto informácie:
  • Ako funguje DPAPI v vaše konkrétne bezpečnostné prostredie vrátane lokálnej pracovnej stanici verzie?
  • Je to pracovná stanica je pripojený k doméne?
  • Je používateľ je členom domény?
  • Čo je verziu operačného systému, ktorý je hostiteľom domény?
Veľa problémov s DPAPI vyskytnúť pri DPAPI sa používa v doméne systému Windows NT 4.0. Nájdete v sekcii „známe problémy"neskôr v tomto článku pre viac informácií.

DPAPI používajú primárne funkcie zabezpečenia operačného systému na ochranu údajov v mene používateľa. Okrem toho akýkoľvek tretej strany program môžete použiť DPAPI chrániť bezpečne užívateľské dáta.

Čo môžete chrániť DPAPI

DPAPI pomáha chrániť nasledujúce položky:
  • Webová stránka poverenia (napríklad heslá)
  • Súbor podiel poverenia
  • Súkromné kľúče priradené systému šifrovania súborov (EFS), S/MIME a inými osvedčeniami
  • Program údaje, ktoré je chránené pomocou CryptProtectData() Funkcia

Príklad: Certifikáty a súkromné kľúče

Táto časť popisuje rozdiel medzi osobných údajov a dôverných informácií, ktoré DPAPI pomáha chrániť. Nasledujúci zoznam popisuje umiestnenie údajov počas operácie importu osvedčenia a opisuje súkromný kľúč, ktorý je priradený certifikátu používateľa osobné skladu:
  • Osvedčenie je kódovaný ako binárne veľký objekt a uložené ako binárna hodnota v tomto umiestnení súbor:
    %USERPROFILE%\Application Data\Microsoft\SystemCertificates\My\Certificates
  • Poznámka: umiestnenie kľúč databázy registry je v miestnej používateľský profil. Toto umiestnenie zabezpečuje, že len prihlásiť používateľa má prístup ku svoje vlastné certifikáty typické okolností.
  • Osvedčenia nie sú chránené podľa DPAPI všetky predvolené Windows mechanizmy. Zoznam kontroly prístupu (ACL) sa používa na definovanie ktorí môžu načítať podregister používateľa a ktorí môžu čítať certifikáty, ktoré sú uložené v podregistri.
  • Súkromný kľúč, ktorý je priradený certifikátu je šifrovaná pomocou DPAPI a (v zašifrovanej podobe) ulo?ené kontajner kľúča ako súbor individuálnych v profil používateľa v nasledujúcich priečinkoch:
    • Pre RSA kľúče:
      %USERPROFILE%\Application Data\Microsoft\Crypto\RSA\SID používateľa
    • Pre DSA klávesy:
      %USERPROFILE%\Application Data\Microsoft\Crypto\DSA\SID používateľa

Ako DPAPI funguje

Poznámka: Termínov a konceptov, ktoré sú popísané v tejto časti boli zjednodušené na účely jasnosti v kontexte tohto článku. Boli vynechané niektoré úroveň podrobností. Napríklad, tento článok sa zaoberá hodnotu, ktorá je odvodená z hesla používateľa, ale nepopisuje podrobnosti o algoritmus, ktorý sa používa na odvodenie hodnoty. Podrobný opis toho, ako funguje DPAPI, zobraziť ochrany údajov Windows bielej knihy. Chcete zobraziť v tejto Bielej knihe, navštívte nasledovnú webovú lokalitu spoločnosti Microsoft:
http://msdn2.Microsoft.com/en-us/library/ms995355.aspx
DPAPI je funkcia, ktorú používa programy a rôzne súčasti operačného systému na ochranu údajov pre používateľa. Operácia DPAPI nie je pre používateľa viditeľný. DPAPI pomáha chrániť údaje v kontexte zabezpečenia používateľa, ktorý spustí program.

DPAPI pomáha chrániť dôverné informácie pomocou hodnoty údajov odvodených od pseudonáhodného 512-bitové číslo s názvom hlavný kľúč. Radiče domén systému Windows Server 2003 pomocou 2048-bitové RSA kľúč, ale len keď domény je spustený v funkčnú úroveň domény 2 alebo Windows Server 2003 režime. Každé používateľské konto má jednu alebo viac náhodne generovaný hlavné kľúče. Počet hlavné kľúče závisí od veku profil používateľa. Hlavné kľúče sú obnovené v pravidelných intervaloch. Táto hodnota je predvolene každých 90 dní.

Pretože hlavné kľúče obsahujú údaje, ktorý je potrebný na dešifrovanie dôverných informácií všetky užívateľa, musia byť chránené hlavné kľúče. Sú chránené pomocou hodnoty, ktorá je odvodená z hesla používateľa. Heslo je jedinečné hodnoty, iba používateľ vie, že. Pretože hlavný kľúč je skutočne šifrované pomocou hodnoty, ktorá je odvodená z heslo používateľa, táto hodnota je zamieňajú s hesla používateľa v popisoch prezentované v tomto článku.

DPAPI environmentálne činitele

Táto časť popisuje environmentálne konfigurácie, ktoré ovplyvňujú správanie DPAPI ochranu.

DPAPI a povinné profily

Povinné profily sú iba na čítanie profily. Žiadne aktualizácie, urobené v lokálnej kópii záväznému profilu sú uložené. Napríklad, generovanie kľúčov je zablokovaný v záväznému profilu. DPAPI ukladá hlavného kľúča v lokálnej kópii profil a pravidelne vytvorí nové hlavné kľúče a aktualizuje šifrovanie chránených dôverné informácie nový hlavný kľúč.

Pretože tieto dve podmienky sú nekompatibilné, programy, ktoré závisia od DPAPI chrániť dôverné informácie nefungujú správne s povinnými profily. Programy, ktoré pomáhajú pri ochrane dôverných informácií s DPAPI, že nepracujú správne s povinnými profily zahŕňajú EFS (súkromné kľúče), osvedčení s súkromných kľúčov (súkromné kľúče) a uložené poverenia v systéme Windows XP a neskôr (poverení). Konfigurácie, ktoré používajú tieto typy údajov alebo programy nie sú podporované.

DPAPI a roamingových profily

DPAPI funguje podľa očakávania s roamingu profily pre používateľov a počítače, ktoré sú spojené do domény služby Active Directory directory. DPAPI údaje, ktoré sú uložené v profile akty presne ako akékoľvek iné nastavenie alebo súbor, ktorý je uložený v zdieľaný profil. Dôverné informácie DPAPI pomáha chrániť sú nahrané na centrálny profil miesto počas procesu odhlásenie a sa prevezmú z umiestnenia Centrálny profil pri prihlásení používateľa.

Pre DPAPI pracovať správne, keď používa roamingu profily používateľa domény len byť prihlásení na jednom počítači v doméne. Ak užívateľ chce prihlásiť sa na iný počítač, ktorý je v doméne, používateľ musí odhlásiť prvého počítača pred prihlásení používateľa na druhom počítači. Ak používateľ je prihlásený do viacerých počítačov, v rovnakom čase, je pravdepodobné, že DPAPI nebude schopný dešifrovať existujúce zašifrované údaje správne.

DPAPI na jednom počítači môže dešifrovať hlavného kľúča (a údajov) na inom počítači. Táto funkcia poskytuje konzistentné heslo používateľa, ktoré je uskladnené a overené radič domény. Ak sa vyskytne neočakávané prerušenie procesu typické, DPAPI môžete použiť postup popísaný v časti „Vytvorenie nového hesla"neskôr v tomto článku.

Existuje prúdové obmedzenie s roamingom profily medzi počítačmi so systémom Windows XP alebo Windows Server 2003 založené a na počítačoch so systémom Windows 2000. Ak kľúče sú generované alebo dovezené v počítači so systémom Windows XP alebo Windows Server 2003 založený a potom uložené v cestovný profil, DPAPI nedokáže dešifrovať tieto kľúče na počítači so systémom Windows 2000, ak ste prihlásení s cestovný používateľský profil. Po?íta? so systémom Windows XP alebo Windows Server 2003 založené však môžu dešifrovať kľúče, ktoré sú generované v počítači so systémom Windows 2000.

DPAPI a zmeny hesla

Očakáva sa, že používatelia v prostredí rozšíreného zabezpečenia zmeniť svoje heslá v pravidelných intervaloch. V dôsledku toho DPAPI musí byť schopný udržiavať rovnakú úroveň prístupu k používateľa chránené údaje po zmien hesla. Tieto metódy sa používajú na zmenu hesla používateľa v prostredí Windows:
Zmenu hesla
V tejto metóde je počas zmenu hesla kontinuity prístupu na používateľa hlavné kľúče. DPAPI je vzývaný Winlogon komponentu počas operácií zmeniť heslo v doméne služby Active Directory:
  • DPAPI obdrží oznámenie od služby Winlogon počas operácie zmena hesla.
  • DPAPI dešifruje všetky hlavné kľúče, ktoré boli zašifrované pomocou starých hesiel používateľa.
  • DPAPI re-encrypts všetky hlavné kľúče s používateľa nové heslo.
Vynulovanie hesla (súbor)
V tejto metóde, správca vynútene vynuluje heslo používateľa. Vynulovanie hesla je zložitejšie ako zmene hesla. Pretože správca nie je prihlásený ako používateľ a nemá prístup k staré heslo používateľa, že staré heslo sa nemôže použi na dešifrovanie starý hlavného kľúča a re-encrypt s nové heslo.

Vo všetkých prípadoch heslo vynuluje, ak sa heslo používateľa zmení späť na posledné heslo pred bola vynulovaná, prístup sa obnoví na hlavný kľúč, a ako výsledok, prístup sa obnoví všetky dôverné informácie pomáha chrániť. Toto správanie sa vyskytuje, pretože hlavné kľúče nikdy vypúšťajú, aj keď nemožno dešifrovať. Avšak, to môže byť nespoľahlivé roztoku, pretože nemôžete očakávať, že používateľ schopný vždy pamätať staré heslo. Napríklad heslo používateľa môže boli vynulované pretože používateľ zabudli heslo.

Spôsob DPAPI rieši problém vynulovať heslo závisí bezpečnostné prostredie, kde je overený užívateľ.

Obnovenie hesla: Používatelia domény Windows 2000 alebo novší domény

Keď DPAPI používa v prostredí domény služby Active Directory, dve kópie hlavného kľúča sú vytvorené a aktualizujú vždy, keď sa operácia vykoná na hlavný kľúč. Prvá kópia je chránený používateľského hesla, ako je opísané vyššie v tomto článku. Druhá kópia je zašifrované pomocou verejného kľúča, priradené radiče domén v doméne. Súkromný kľúč, ktorý je priradený tento verejný kľúč je známe, že všetky Windows 2000 a neskôr radiče domény. Radiče domény systému Windows 2000 používajú symetrický kľúč na šifrovanie a dešifrovanie druhú kópiu hlavného kľúča.

Ak pôvodný hlavný kľúč je nedostupné užívateľovi, je Vynulovanie používateľského hesla, prístup používateľov k hlavný kľúč automaticky obnoví pomocou zálohovania hlavného kľúča v nasledujúcom procese:
  • Pracovná stanica vysiela šifrované zálohovania hlavný kľúč Windows 2000 alebo novší radič domény nad chránených RPC.
  • Radič domény používa súkromný kľúč na dešifrovanie používateľa hlavný kľúč.
  • Radič domény vráti nezašifrované hlavný kľúč pracovnej stanici.
  • Pracovná stanica re-encrypts hlavného kľúča pomocou nové heslo používateľa.
Obnovenie hesla: doména Windows NT 4.0

Spoločnosť Microsoft neodporúča použitie povolené DPAPI znakov (napríklad EFS alebo súkromný kľúč skladovania) pre užívateľov, ktorí sú v doméne systému Windows NT 4.0. Nájdete v sekcii „známe problémy"tohto článku pre viac informácií.

Po obnovenie hesla, so systémom Windows 2000 klientsky počítač obnoví prístup používateľov DPAPI chrániť dôverné informácie automaticky pomocou zálohovania hlavný kľúč rovnako to robí, ak je používateľ v pracovnej skupine. Nájdete v časti "Heslo obnoviť: Windows 2000 Workstation v pracovná skupina" v tomto článku, ďalšie informácie o tomto postupe a pre informačné o bezpečnostných rizikách.

Systém Windows XP v doméne systému Windows NT 4.0 nezachová záložnú kópiu hlavného kľúča. Ďalšie informácie nájdete v časti „známe problémy"v tomto článku

Obnovenie hesla: Windows 2000 Workstation v pracovnej skupine

Ak používate DPAPI na samostatnom počítači, dve kópie hlavného kľúča sú vytvorené a aktualizujú vždy, keď sa operácia vykoná na hlavný kľúč. Prvá kópia je chránený používateľského hesla, ako je opísané vyššie v tomto článku. Druhá kópia je šifrovaný s hodnotou dôverné známe iba na konto lokálneho počítača.

Po heslo používateľa bola vynútene vynulovaná a prihlásení používateľa novým heslom, Windows 2000 automaticky dešifruje zašifrované počítač kópiu hlavného kľúča a re-encrypts s hodnotou odvodené z nové heslo používateľa. Z pohľadu užívateľa je úplne neprerušovaný prístup používateľov k dôverným informáciám, ktoré je chránené pomocou DPAPI.

Dôležité upozornenie Toto správanie môže mať vplyv na bezpečnosť. Spoločnosť Microsoft neodporúča použitie DPAPI v predvolenej konfigurácii takhle. Spoločnosť Microsoft odporúča použiť jeden z nasledujúcich metód pre Windows 2000 samostatných počítačov, ktoré obsahujú citlivé údaje, ktoré môžu byť fyzicky ohrozená:
  • Inovovať na systém Windows XP
  • Použiť SYSKEY režim 2 alebo 3 na laptop so systémom Windows 2000

  • Ďalšie informácie o SYSKEY, po kliknutí na nasledovné číslo článku databázy Microsoft Knowledge Base:
    143475Kľúč systému Windows NT umožňuje silné šifrovanie Sam
Obnovenie hesla: Windows XP Workstation v pracovnej skupine

Podľa predvoleného nastavenia Window XP nevytvára záložné kópie hlavného kľúča. Robí to zabrániť útoku offline hlavný kľúč cache. V systéme Windows XP môžete vytvoriť disketu na obnovenie hesla, takže užívateľ môže vymáhať svoje heslo, ak si zabudnete. Ak používate systém Windows XP Service Pack 1 (SP1) alebo neskôr, môžete nakonfigurovať databázy registry takže Windows udržiava záložnú kópiu hlavného kľúča.
Ďalšie informácie o účinkoch nútenej heslo zmien a možné znovuzískanie po kliknutí na nasledovné číslo článku databázy Microsoft Knowledge Base:
290260EFS, poverenia a súkromných kľúčov z osvedčení nie sú k dispozícii po obnovenie hesla
Heslo obnoviť disky

Heslo obnoviť disky sú len na Windows XP alebo novší počítače spojené do workgroups k dispozícii. Heslo obnoviť disku povolení používateľa na opätovné získanie prístupu k ich účet a všetky dôverné informácie, ktoré je chránené pomocou DPAPI v profile.

Ďalšie informácie o heslo hesl získate po kliknutí na nasledovné číslo článku databázy Microsoft Knowledge Base:
321305Ako na prihlásenie do systému Windows XP, ak ste zabudli heslo alebo heslo vyprší

Známe problémy

Nemôžete prístup DPAPI dôverné informácie v doméne systému Windows NT 4.0

Dôležité upozornenie Spoločnosť Microsoft neodporúča používať DPAPI v prostredí domény systému Windows NT 4.0.

V doméne systému Windows NT 4.0, Windows XP nevytvára záložnú kópiu používateľa hlavný kľúč. Toto je predvolené správanie. Ak ste zmeniť alebo obnoviť heslo, používateľ môže byť odoprený prístup k dôverným informáciám, ktoré sú obsiahnuté v ich profil. Prístup sa iba obnoví, keď používateľ zmení heslo späť na posledné známe dobré heslo.

Najčastejšími príčinami problémov s DPAPI v doméne systému Windows NT 4.0 zahŕňajú heslo vynuluje alebo roamingu profily. Problémy s roamingom profily prejaviť, ak používateľ nedávno zmenila svoje heslo. V závislosti od rôznych faktorov, ktoré môžu prerušiť typické roamingu používateľa profil operácií, profil, ktorý používateľ je prihlásený môže mať neboli aktualizované novým heslom (hlavný kľúč šifrovania).

Ak chcete tento problém vyriešiť, nainštalujte radič domény systému Windows 2000 alebo Windows Server 2003 používateľa domény. DPAPI automaticky nájde tento radič domény sa má vykonať zálohovanie a obnovenie operácií použitím radič domény DPAPI verejných/súkromných kľúčov.

Ak používate Windows SP1 a neskôr, môžete platnosti DPAPI vytváranie miestnych záloh hlavného kľúča, kým ste pripojení k doméne Windows NT4. Microsoft však neodporúča tento postup, pretože to ovplyvní zabezpečenie počítača, keď sa žiada o zmenu.

Ďalšie informácie získate po kliknutí na nasledujúce číslo článku databázy Microsoft Knowledge Base:
331333 Používateľ nemôže získať prístup k šifrovaných súborov EFS po zmene hesla alebo ak používate zdieľaný profil

Nemôžete prístup DPAPI dôverné informácie po preinštalovaní systému Windows na samostatnom počítači

Po inštalácii systému Windows na samostatnom počítači, dizajnu, nemôžete prístup k DPAPI dôverné informácie. Stupňa používateľa, ktorý bol prítomný na pôvodnú kópiu systému Windows je zničiť po preinštalovať operačný systém bez inovácie. Nový používateľ, ktorý je vytvorený s rovnakým názvom má hlavný rozličných bezpečnostných v rôznych zabezpečovacej databáze. Nový používateľ nemá prístup na dešifrovanie dôverných informácií DPAPI pôvodný používateľa. Používateľ nemôže získať prístup k ich dôverných informácií pomocou hlavného kľúča užívateľa.

Pôvodná kópia systému Windows pomáha chrániť jeho kópiu hlavného kľúča s dôverných údajov, ktorý je známy iba túto kópiu systému Windows. Ak nahradíte operačného systému, tento dôverných údajov je neprístupná. Používateľ nemôže získať prístup k ich dôverných informácií pomocou zálohovania hlavný kľúč.

Nemôžete pridať alebo prístup K DPAPI dôverných informácií s povinnými profily

Dizajnu, Systém Windows 2000 a Windows XP vám neumožňujú zapisovať do lokálnej kópie záväznému profilu, pretože údaje sú uložené po počiatočnej zasadnutí. V dôsledku toho DPAPI nemôže ukladať nové hlavné kľúče, aktualizácii master klávesy na zmenu hesla alebo pridať chránené údaje k záväznému profilu.

Nemôžete prístup DPAPI dôverné informácie po spájanie alebo Disjoining domény

Ak ste stratili prístup k DPAPI údajom, sa pripojilo samostatný počítač k doméne, môžete obnoviť prístup po prihlásení ako lokálny používateľ. Prihlásiť sa ako lokálny používateľ počítača pripojil domény, kliknite na názov lokálneho počítača v rozbaľovacie pole v Prihlásenie dialógové okno a potom zadajte svoje meno lokálneho používateľa a heslo.

Ak ste odpojený počítač z domény, musíte opusťte doménu a potom sa prihláste ako domény používateľ znovu získať prístup k súborom.

Usmernenia a osvedčené postupy

  • Spoločnosť Microsoft odporúča použiť silných hesiel. Používajú najťažšie zložité heslo si spoľahlivo pamätáte. Poznámka: Filtre pre heslá v súčasnosti nie sú podporované DPAPI.
  • Export a zálohovať dôležité certifikáty a súkromné kľúče na spoľahlivom a bezpečnom mieste.

Vlastnosti

ID článku: 309408 - Posledná kontrola: 1. novembra 2011 - Revízia: 2.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Kľúčové slová: 
kbinfo kbmt KB309408 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem:309408

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com