Làm th? nào đ? g? r?i các API b?o v? d? li?u (DPAPI)

D?ch tiêu đ? D?ch tiêu đ?
ID c?a bài: 309408 - Xem s?n ph?m mà bài này áp d?ng vào.
Bung t?t c? | Thu g?n t?t c?

? Trang này

TÓM T?T

API b?o v? d? li?u (DPAPI) s? giúp b?o v? d? li?u trong Windows 2000 và h? đi?u hành sau này. DPAPI đư?c s? d?ng đ? b?o v? riêng tư phím, thông tin đăng nh?p đư?c lưu tr? (trong Windows XP và sau đó) và thông tin bí m?t là h? đi?u hành ho?c m?t chương tr?nh mu?n gi? bí m?t.

DPAPI là không ch?u trách nhi?m đ? lưu tr? các thông tin bí m?t nó b?o v?. Nó ch? ch?u trách nhi?m cho vi?c m?t m? hóa và gi?i m? d? li?u cho các chương tr?nh g?i nó, ch?ng h?n như Windows ?y nhi?m qu?n l?, cơ ch? lưu tr? Private Key ho?c b?t k? bên th? ba chương tr?nh g?i đó các CryptProtectData() ch?c năng và các CryptUnprotectData() ch?c năng trong Windows 2000, Windows XP, ho?c sau đó.

Chú ý Ch?c năng này là khác nhau t? các ch?c năng đư?c cung c?p b?i c?a hàng c?a s? b?o v? (P-c?a hàng) trong Windows NT 4.0. P-c?a hàng có trách nhi?m b?o v? và lưu tr? các thông tin bí m?t. DPAPI cung c?p không có kh? năng lưu tr?.
Bài vi?t này mô t? cách DPAPI giúp b?o v? d? li?u ? m?c cơ b?n. Nó c?ng bao g?m các thông tin có liên quan đ?n gi?i đáp th?c m?c m?t quy?n truy c?p vào d? li?u DPAPI đư?c b?o v? trong k?ch b?n khác nhau.

Đ? bi?t thêm chi ti?t v? cách th?c ho?t đ?ng DPAPI, ghé thăm Web site sau c?a Microsoft:
http://msdn2.Microsoft.com/en-US/Library/ms995355.aspx
Bài vi?t này bao g?m các ch? đ? sau:

THÔNG TIN THÊM

Quan tr?ng Đ? kh?c ph?c m?t d? li?u DPAPI, b?n ph?i thu th?p các thông tin sau:
  • DPAPI nào trong môi trư?ng b?o m?t c? th? c?a b?n bao g?m c? các phiên b?n máy tr?m đ?a phương?
  • Là các máy tr?m là tham gia vào m?t vùng?
  • Là ngư?i dùng là thành viên c?a tên mi?n?
  • Các phiên b?n h? đi?u hành đư?c lưu tr? tên mi?n là g??
Nhi?u v?n đ? v?i DPAPI x?y ra khi DPAPI đư?c s? d?ng trong m?t tên mi?n Windows NT 4.0. H?y xem ph?n "bi?t đ?n các v?n đ?" sau này trong bài vi?t này cho bi?t thêm thông tin.

DPAPI đư?c s? d?ng ch? y?u là do tính năng b?o m?t c?a h? đi?u hành đ? b?o v? d? li?u trên danh ngh?a c?a ngư?i dùng. Ngoài ra, b?t k? chương tr?nh bên th? ba có th? s? d?ng DPAPI đ? giúp m?t cách an toàn b?o v? d? li?u ngư?i dùng.

Nh?ng g? DPAPI có th? b?o v?

DPAPI giúp b?o v? các m?c sau đây:
  • Trang web thông tin đăng nh?p (ví d?, m?t kh?u)
  • T?p tin chia s? thông tin đăng nh?p
  • Riêng phím k?t h?p v?i vi?c m?t m? hóa t?p h? th?ng (EFS), S/MIME và gi?y ch?ng nh?n khác
  • Chương tr?nh d? li?u đư?c b?o v? b?ng cách s? d?ng các CryptProtectData() ch?c năng

Ví d?: Ch?ng ch? và tư nhân phím

Ph?n này mô t? s? khác bi?t gi?a các d? li?u cá nhân và thông tin bí m?t DPAPI giúp b?o v?. Danh sách sau đây mô t? các v? trí c?a d? li?u trong m?t thao tác nh?p kh?u c?a m?t gi?y ch?ng nh?n và nó mô t? khóa riêng g?n li?n v?i r?ng gi?y ch?ng nh?n đ?n c?a hàng cá nhân c?a ngư?i s? d?ng:
  • Ch?ng ch? m? hóa như là m?t đ?i tư?ng l?n nh? phân và lưu tr? như là m?t giá tr? nh? phân ? v? trí t?p sau:
    %UserProfile%\Application Data\Microsoft\SystemCertificates\My\Certificates
  • Lưu ? r?ng v? trí khóa registry trong h? sơ ngư?i dùng c?c b?. V? trí này làm cho ch?c ch?n r?ng ch? có ngư?i dùng đăng nh?p có quy?n truy c?p vào ch?ng ch? c?a h? trong trư?ng h?p đi?n h?nh.
  • Ch?ng ch? không đư?c b?o v? b?i DPAPI b?i b?t k? cơ ch? Windows m?c đ?nh. M?t danh sách đi?u khi?n truy nh?p (ACL) đư?c s? d?ng đ? xác đ?nh nh?ng ngư?i có th? t?i c?a ngư?i s? d?ng hive và nh?ng ngư?i có th? đ?c các gi?y ch?ng nh?n đư?c lưu tr? trong hive.
  • Khóa riêng g?n li?n v?i ch?ng ch? đư?c m? hóa b?i DPAPI và lưu (trong m?t h?nh th?c đ? m?t m?) trong m?t thùng ch?a chính như t?p riêng l? trong h? sơ c?a ngư?i s? d?ng trong các thư m?c sau đây:
    • RSA phím:
      %UserProfile%\Application Data\Microsoft\Crypto\RSA\Ngư?i dùng SID
    • DSA phím:
      %UserProfile%\Application Data\Microsoft\Crypto\DSA\Ngư?i dùng SID

Cách th?c ho?t đ?ng DPAPI

Chú ý Các đi?u kho?n và khái ni?m đư?c mô t? trong ph?n này đ? đư?c đơn gi?n hóa cho m?c đích r? ràng trong b?i c?nh c?a bài vi?t này. M?t s? m?c đ? chi ti?t đ? đư?c b? qua. Ví d?, bài vi?t này th?o lu?n v? m?t giá tr? xu?t phát t? m?t kh?u c?a ngư?i dùng, nhưng nó không mô t? chi ti?t c?a các thu?t toán đư?c s? d?ng đ? l?y đư?c các giá tr?. Đ? có m?t mô t? chi ti?t v? cách th?c ho?t đ?ng DPAPI, xem gi?y tr?ng b?o v? d? li?u c?a Windows. Đ? xem này gi?y tr?ng, ghé thăm Web site sau c?a Microsoft:
http://msdn2.Microsoft.com/en-US/Library/ms995355.aspx
DPAPI là m?t ch?c năng đư?c s? d?ng b?i các chương tr?nh và thành ph?n h? đi?u hành khác nhau đ? b?o v? d? li?u cho ngư?i dùng. Ho?t đ?ng c?a DPAPI là không hi?n th? cho ngư?i s? d?ng. DPAPI giúp b?o v? d? li?u trong b?i c?nh an ninh c?a ngư?i s? d?ng ngư?i đi?u hành chương tr?nh.

DPAPI giúp b?o v? thông tin bí m?t b?ng cách s? d?ng d? li?u giá tr? b?t ngu?n t? m?t s? 512-bit đ?oc tên là m?t b?c th?y ch?a khóa. B? ki?m soát mi?n Windows Server 2003 s? d?ng m?t 2048-bit RSA chính, nhưng ch? khi các tên mi?n đang ch?y trong ch? đ? Windows Server 2003 ho?c tên mi?n ch?c năng c?p 2. M?i tài kho?n ngư?i s? d?ng có m?t ho?c nhi?u ng?u nhiên t?o ra phím b?c th?y. S? lư?ng các phím b?c th?y ph? thu?c vào đ? tu?i c?a h? sơ c?a ngư?i dùng. Master keys đư?c gia h?n t?i các kho?ng thư?ng xuyên. Theo m?c đ?nh, giá tr? này là m?i 90 ngày.

Do master keys ch?a d? li?u đó là yêu c?u đ? gi?i m? t?t c? các ngư?i s? d?ng thông tin bí m?t, các phím b?c th?y ph?i đư?c b?o v?. H? đư?c b?o v? b?ng cách s? d?ng m?t giá tr? xu?t phát t? m?t kh?u c?a ngư?i dùng. M?t kh?u là m?t giá tr? duy nh?t ch? là m?t ngư?i s? d?ng bi?t. B?i v? ch?a khóa th?c s? th?c s? đư?c m? hóa b?ng cách s? d?ng m?t giá tr? xu?t phát t? ngư?i s? d?ng m?t kh?u, giá tr? này đư?c s? d?ng thay th? nhau v?i m?t kh?u c?a ngư?i dùng trong các mô t? tr?nh bày trong bài vi?t này.

DPAPI môi trư?ng cân nh?c

Ph?n này mô t? các c?u môi trư?ng mà ?nh hư?ng đ?n hành vi c?a DPAPI b?o v?.

DPAPI và các c?u h?nh b?t bu?c

C?u h?nh b?t bu?c nh?ng h? sơ ch?-đ?c. Không có b?n C?p Nh?t đư?c th?c hi?n cho b?n sao c?c b? c?a h? sơ ?y nhi?m đư?c lưu. Ví d?, th? h? ch? ch?t là b? ch?n t?i m?t h? sơ ?y nhi?m. DPAPI lưu tr? master key trong b?n sao c?c b? c?a m?t h? sơ và thư?ng xuyên t?o m?i master keys và c?p nh?t các m? hóa trên thông tin bí m?t đư?c b?o v? v?i master key m?i.

B?i v? nh?ng đi?u ki?n này hai không tương thích, các chương tr?nh ph? thu?c vào DPAPI đ? giúp b?o v? thông tin bí m?t không làm vi?c m?t cách chính xác v?i c?u h?nh b?t bu?c. Chương tr?nh giúp b?o v? thông tin bí m?t v?i DPAPI không ho?t đ?ng đúng v?i b?t bu?c h? sơ bao g?m EFS (tư nhân phím), gi?y ch?ng nh?n v?i tư nhân phím (phím tư nhân), và lưu tr? ch?ng trong Windows XP và m?i hơn (ch?ng). C?u h?nh s? d?ng các lo?i d? li?u ho?c các chương tr?nh không đư?c h? tr?.

DPAPI và chuy?n vùng h? sơ

DPAPI ho?t đ?ng như mong đ?i v?i h? sơ di đ?ng cho ngư?i s? d?ng và máy vi tính đ? tham gia vào m?t tên mi?n d?ch v? thư m?c Active Directory. DPAPI d? li?u đư?c lưu tr? trong h? sơ hành vi chính xác gi?ng như b?t k? cài đ?t nào khác hay m?t t?p tin đư?c lưu tr? trong m?t c?u h?nh chuy?n vùng. Thông tin bí m?t mà DPAPI giúp b?o v? đư?c t?i lên đ?n v? trí h? sơ trung tâm trong quá tr?nh đăng xu?t và đư?c t?i xu?ng t? v? trí h? sơ trung tâm khi ngư?i dùng đăng nh?p.

Cho DPAPI làm vi?c chính xác khi nó s? d?ng h? sơ di đ?ng, ngư?i s? d?ng tên mi?n ph?i ch? đăng nh?p vào m?t máy tính duy nh?t trong tên mi?n. N?u ngư?i dùng mu?n đăng nh?p vào m?t máy tính khác nhau ? mi?n, ngư?i dùng ph?i đăng xu?t kh?i máy tính đ?u tiên trư?c khi các b?n ghi ngư?i dùng đ?n máy tính th? hai. N?u ngư?i dùng đư?c đăng nh?p vào đ? nhi?u máy tính cùng m?t lúc, nó có kh? năng r?ng DPAPI s? không th? gi?i m? d? li?u đ? m?t m? hóa hi?n có m?t cách chính xác.

DPAPI trên m?t máy tính có th? gi?i m? master key (và d? li?u) trên máy tính khác. Ch?c năng này đư?c cung c?p b?i ngư?i s? d?ng nh?t quán m?t kh?u đư?c lưu gi? và xác nh?n qua b? đi?u khi?n vùng. N?u m?t gián đo?n b?t ng? c?a quá tr?nh tiêu bi?u di?n ra, DPAPI có th? s? d?ng quy tr?nh đư?c mô t? trong ph?n "Đ?t l?i m?t kh?u" sau này trong bài vi?t này.

Có là m?t h?n ch? hi?n t?i v?i chuy?n vùng h? sơ gi?a d?a trên Windows XP ho?c Windows Server 2003 d?a trên máy tính và máy tính d?a trên Windows 2000. N?u phím là t?o ra ho?c nh?p kh?u trên m?t máy tính d?a trên Windows XP ho?c Windows Server 2003 d?a trên và sau đó đư?c lưu gi? trong m?t h? sơ di đ?ng, DPAPI không th? gi?i m? nh?ng phím trên m?t máy tính d?a trên Windows 2000 n?u b?n đăng nh?p v?i m?t h? sơ ngư?i dùng di đ?ng. Tuy nhiên, m?t máy tính d?a trên Windows XP ho?c Windows Server 2003 d?a trên có th? gi?i m? phím đư?c t?o ra trên m?t máy tính d?a trên Windows 2000.

DPAPI và thay đ?i m?t kh?u

Ngư?i s? d?ng trong m?t môi trư?ng b?o m?t nâng cao s? thay đ?i m?t kh?u c?a h? t?i các kho?ng thư?ng xuyên. Do đó, DPAPI ph?i có kh? năng duy tr? cùng m?t m?c đ? truy c?p c?a ngư?i dùng b?o v? d? li?u sau khi thay đ?i m?t kh?u. Các phương pháp sau đây đư?c s? d?ng đ? thay đ?i m?t kh?u ngư?i dùng trong m?t môi trư?ng Windows:
Thay đ?i m?t kh?u
Trong phương pháp này, không có s? liên t?c truy c?p vào phím b?c th?y c?a ngư?i dùng trong m?t s? thay đ?i m?t kh?u. DPAPI các thành ph?n tr?nh vi?n d?n trong các chi?n d?ch thay đ?i m?t kh?u trong m?t tên mi?n Active Directory:
  • DPAPI nh?n đư?c thông báo t? tr?nh trong m?t ho?t đ?ng thay đ?i m?t kh?u.
  • DPAPI decrypts t?t c? các phím b?c th?y đ? đư?c m? hóa v?i m?t kh?u c? c?a ngư?i dùng.
  • DPAPI re-encrypts t?t c? các phím b?c th?y v?i m?t kh?u m?i c?a ngư?i dùng.
Đ?t l?i m?t kh?u (Set)
Trong phương pháp này, ngư?i qu?n tr? bu?c ph?i đ?t l?i m?t kh?u ngư?i dùng. Đ?t l?i m?t kh?u là ph?c t?p hơn so v?i m?t s? thay đ?i m?t kh?u. B?i v? các qu?n tr? viên không đăng nh?p như ngư?i s? d?ng và không có quy?n truy c?p vào m?t kh?u c? c?a ngư?i dùng, m?t kh?u c? không th? đư?c s? d?ng đ? gi?i m? c? master key và re-encrypt nó v?i m?t kh?u m?i.

Trong m?i trư?ng h?p c?a resets m?t kh?u, n?u ngư?i s? d?ng m?t kh?u đư?c thay đ?i tr? l?i đ?n cu?i m?t kh?u trư?c khi nó đ? đư?c đ?t l?i, truy c?p đư?c master key và, do đó, truy c?p khôi ph?c l?i t?t c? thông tin bí m?t nó giúp b?o v?. Hành vi này x?y ra v? phím b?c th?y s? không bao gi? b? xóa, ngay c? khi h? không th? đư?c gi?i m?. Tuy nhiên, đi?u này có th? là m?t gi?i pháp không đáng tin c?y b?i v? b?n không th? mong đ?i ngư?i s? d?ng có th? luôn luôn nh? m?t kh?u c?. Ví d?, m?t kh?u c?a ngư?i dùng có th? đ? đư?c đ?t v? ngư?i s? d?ng quên m?t kh?u này.

Cách DPAPI gi?i quy?t v?n đ? đ?t l?i m?t kh?u ph? thu?c vào môi trư?ng an ninh nơi ngư?i s? d?ng xác th?c.

Đ?t l?i m?t kh?u: Ngư?i dùng tên mi?n trong Windows 2000 ho?c sau này tên mi?n

Khi DPAPI đư?c s? d?ng trong m?t môi trư?ng mi?n Active Directory, hai b?n sao c?a master key đư?c t?o ra và c?p nh?t b?t c? khi nào m?t ho?t đ?ng đư?c th?c hi?n trên master key. B?n sao đ?u tiên đư?c b?o v? b?ng m?t kh?u ngư?i dùng như mô t? trư?c đó trong bài vi?t này. B?n sao th? hai đư?c m? hóa v?i m?t khóa công khai đư?c liên k?t v?i b? ki?m soát mi?n trong tên mi?n. Ch?a khóa tư nhân đư?c k?t h?p v?i phím công c?ng này đư?c bi?t đ?n cho t?t c? Windows 2000 và sau đó b? đi?u khi?n vùng. B? ki?m soát mi?n Windows 2000 s? d?ng m?t khóa đ?i x?ng đ? m?t m? hóa và gi?i m? các b?n sao th? hai c?a master key.

N?u khôi ph?c m?t kh?u ngư?i dùng và master key ban đ?u đư?c k?t xu?t không th? ti?p c?n cho ngư?i dùng, ngư?i s? d?ng truy c?p vào master key là t? đ?ng ph?c h?i b?ng cách s? d?ng ch?a khóa th?c s? sao lưu trong quá tr?nh sau đây:
  • Các máy tr?m s? g?i đư?c m? hóa d? ph?ng master key Windows 2000 ho?c sau này đi?u khi?n vùng qua b?o v? RPC.
  • B? đi?u khi?n tên mi?n s? d?ng khóa riêng đ? gi?i c?a ngư?i s? d?ng master key.
  • B? đi?u khi?n tên mi?n tr? l?i ch?a khóa ch? không đư?c m? hóa cho các máy tr?m.
  • Các máy tr?m re-encrypts ch?a khóa master b?ng cách s? d?ng m?t kh?u m?i c?a ngư?i dùng.
Đ?t l?i m?t kh?u: Windows NT 4.0 tên mi?n

Microsoft không khuyên b?n nên s? d?ng DPAPI kích ho?t tính năng (ví d?, EFS ho?c tư nhân chính lưu tr?) cho ngư?i s? d?ng trong m?t tên mi?n Windows NT 4.0. H?y xem ph?n "bi?t đ?n các v?n đ?" c?a bài vi?t này cho bi?t thêm thông tin.

Sau khi đ?t l?i m?t kh?u, m?t máy tính khách hàng d?a trên Windows 2000 restores c?a ngư?i dùng truy c?p đ? DPAPI b?o v? thông tin bí m?t t? đ?ng b?ng cách s? d?ng ch?a khóa th?c s? d? ph?ng trong cùng m?t cách nó n?u ngư?i dùng trong m?t nhóm làm vi?c. H?y xem ph?n "Password Reset: Windows 2000 máy tr?m trong m?t Workgroup", bài vi?t này cho bi?t thêm thông tin v? th? t?c này và cho thông tin v? r?i ro b?o m?t.

Windows XP trong m?t tên mi?n Windows NT 4.0 không gi? b?n sao lưu c?a master key. Đ? bi?t thêm chi ti?t, xem ph?n "bi?t đ?n các v?n đ?", bài vi?t này

Đ?t l?i m?t kh?u: Windows 2000 máy tr?m trong m?t nhóm làm vi?c

N?u b?n đang s? d?ng DPAPI trên m?t máy tính riêng r?, hai b?n sao c?a master key đư?c t?o ra và c?p nh?t b?t c? khi nào m?t ho?t đ?ng đư?c th?c hi?n trên master key. B?n sao đ?u tiên đư?c b?o v? b?ng m?t kh?u ngư?i dùng như mô t? trư?c đó trong bài vi?t này. B?n sao th? hai đư?c m? hóa v?i m?t giá tr? bí m?t ch? bi?t là trương m?c máy tính c?c b?.

Sau khi thi?t l?p m?t kh?u c?a ngư?i dùng đ? đư?c bu?c l?i và ngư?i s? d?ng các b?n ghi v?i m?t kh?u m?i, Windows 2000 t? đ?ng decrypts b?n sao máy tính m? hóa c?a master key và re-encrypts nó v?i giá tr? b?t ngu?n t? m?t kh?u ngư?i dùng m?i. T? c?a ngư?i s? d?ng đi?m c?a xem, ngư?i s? d?ng truy c?p vào thông tin bí m?t đư?c b?o v? b?i DPAPI là hoàn toàn không b? gián đo?n.

Quan tr?ng Hành vi này có th? ?nh hư?ng đ?n b?o m?t. Microsoft không khuyên b?n s? d?ng DPAPI trong m?t c?u h?nh m?c đ?nh như th? này. Microsoft khuy?n cáo r?ng b?n s? d?ng m?t trong nh?ng phương pháp sau đây cho Windows 2000 đ?ng m?t m?nh-máy tính có ch?a d? li?u nh?y c?m có th? đư?c th?a hi?p v? th? ch?t:
  • Nâng c?p lên Windows XP
  • S? d?ng ch? đ? SYSKEY 2 ho?c 3 trên Windows 2000-d?a máy tính xách tay

  • Đ? bi?t thêm chi ti?t v? SYSKEY, nh?p vào s? bài vi?t sau đây đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
    143475Windows NT h? th?ng khóa gi?y phép m? hóa m?nh m? c?a SAM
Đ?t l?i m?t kh?u: Windows XP máy tr?m trong m?t nhóm làm vi?c

Theo m?c đ?nh, c?a s? XP không t?o ra b?n sao lưu c?a master key. Nó như v?y đ? giúp ngăn ch?n m?t cu?c t?n công ngo?i tuy?n c?a b? nh? cache master key. Trong Windows XP, b?n có th? t?o đ?a đ?t l?i m?t kh?u do đó ngư?i dùng có th? ph?c h?i m?t kh?u c?a h? n?u h? quên nó. N?u b?n đang s? d?ng Windows XP Service Pack 1 (SP1) ho?c sau này, b?n có th? c?u h?nh registry cho Windows mà gi? b?n sao lưu c?a master key.
Đ? thêm thông tin v? tác d?ng c?a m?t m?t kh?u bu?c thay đ?i và có th? ph?c h?i, nh?p vào s? bài vi?t sau đây đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
290260EFS, ch?ng ch? và phím tư nhân t? ch?ng ch? là không có s?n sau khi đ?t l?i m?t kh?u
Đ?a đ?t l?i m?t kh?u

Đ?a đ?t l?i m?t kh?u ch? có s?n trên Windows XP ho?c sau này d?a trên máy vi tính đang gia nh?p vào nhóm làm vi?c. M?t kh?u ph?c h?i đ?a gi?y phép ngư?i dùng đ? l?y l?i quy?n truy c?p vào tài kho?n c?a h? và t?t c? thông tin bí m?t đư?c b?o v? b?i DPAPI trong h? sơ.

Đ? thêm thông tin v? m?t kh?u đ?a đ?t l?i, h?y b?m s? bài vi?t sau đây đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
321305Làm th? nào đ? đăng nh?p vào Windows XP n?u b?n quên m?t kh?u c?a b?n ho?c m?t kh?u c?a b?n h?t h?n

V?n đ? đ? bi?t

B?n không th? truy c?p vào DPAPI thông tin bí m?t trong m?t tên mi?n Windows NT 4.0

Quan tr?ng Microsoft không khuyên b?n s? d?ng DPAPI trong m?t môi trư?ng mi?n Windows NT 4.0.

Trong m?t tên mi?n Windows NT 4.0, Windows XP không t?o ra b?n sao lưu c?a ngư?i s? d?ng master key. Đây là hành vi m?c đ?nh. N?u b?n thay đ?i ho?c đ?t l?i m?t kh?u, ngư?i dùng có th? b? t? ch?i truy c?p vào thông tin bí m?t đư?c ch?a trong ti?u s? c?a h?. Truy c?p ch? khôi ph?c khi ngư?i dùng thay đ?i m?t kh?u quay l?i m?t kh?u t?t đư?c bi?t đ?n cu?i.

Nguyên nhân thư?ng g?p nh?t c?a v?n đ? v?i DPAPI trong m?t tên mi?n Windows NT 4.0 bao g?m m?t kh?u resets ho?c h? sơ di đ?ng. V?n đ? v?i chuy?n vùng h? sơ x?y ra n?u ngư?i dùng đ? g?n đây đ? thay đ?i m?t kh?u c?a h?. Tùy thu?c vào các y?u t? khác nhau mà có th? làm gián đo?n đi?n h?nh các ho?t đ?ng chuy?n vùng h? sơ ngư?i dùng, h? sơ ngư?i dùng đư?c đăng nh?p vào đ? có th? không có đư?c C?p Nh?t v?i m?t kh?u m?i (master key m? hóa).

Đ? gi?i quy?t v?n đ? này, cài đ?t b? ki?m soát mi?n Windows 2000 ho?c Windows Server 2003 trong vùng c?a ngư?i dùng. DPAPI t? đ?ng t?m th?y đi?u khi?n vùng đ? th?c hi?n sao lưu và khôi ph?c l?i ho?t đ?ng b?ng cách s? d?ng b? đi?u khi?n tên mi?n DPAPI công c?ng/tư nhân ch? ch?t c?p.

N?u b?n đang s? d?ng Windows SP1 và sau đó, b?n có th? l?c DPAPI đ? th?c hi?n sao lưu đ?a phương c?a b?c th?y ch?a khóa trong khi b?n đang tham gia vào m?t vùng Windows NT4. Tuy nhiên, Microsoft không khuyên b?n nên th? t?c này b?i v? nó ?nh hư?ng đ?n b?o m?t c?a máy tính mà thay đ?i đư?c áp d?ng.

Để biết thêm thông tin, bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
331333 Ngư?i dùng không th? truy c?p vào EFS đ? m?t m? hóa t?p sau khi thay đ?i m?t kh?u ho?c khi s? d?ng m?t h? sơ chuy?n vùng

B?n không th? truy c?p vào DPAPI thông tin bí m?t sau khi cài đ?t l?i Windows trên m?t máy tính riêng r?

B?i thi?t k?, b?n không th? truy c?p thông tin bí m?t DPAPI sau khi b?n cài đ?t Windows trên m?t máy tính riêng r?. Th? hi?n c?a ngư?i s? d?ng đ? đư?c tr?nh bày trên b?n Windows, ban đ?u là b? phá h?y sau khi b?n cài đ?t l?i h? đi?u hành mà không c?n nâng c?p. B?t k? ngư?i dùng m?i đư?c t?o ra v?i tên này có m?t hi?u trư?ng an ninh khác nhau trong cơ s? d? li?u b?o m?t khác. Ngư?i dùng m?i không có quy?n truy c?p đ? gi?i m? DPAPI thông tin bí m?t c?a ngư?i s? d?ng g?c. Ngư?i dùng không th? truy c?p thông tin bí m?t c?a h? b?ng cách s? d?ng ch?a khóa th?c s? ngư?i s? d?ng.

B?n sao g?c c?a Windows giúp b?o v? b?n sao c?a master v?i d? li?u bí m?t đư?c bi?t ch? r?ng b?n sao Windows key. N?u b?n thay th? h? đi?u hành, d? li?u bí m?t này không th? đư?c truy c?p. Ngư?i dùng không th? truy c?p thông tin bí m?t c?a h? b?ng cách s? d?ng ch?a khóa th?c s? sao lưu.

B?n không th? thêm ho?c truy c?p vào DPAPI thông tin bí m?t v?i c?u h?nh b?t bu?c

B?i thi?t k?, Windows 2000 và Windows XP cho phép b?n ghi vào b?n sao c?c b? c?a h? sơ ?y nhi?m v? các d? li?u đư?c lưu sau khi phiên h?p Ban đ?u. Do đó, DPAPI không th? lưu tr? m?i master keys, C?p Nh?t phím b?c th?y v? bi?n đ?i m?t kh?u, ho?c thêm b?o v? d? li?u vào m?t h? sơ ?y nhi?m.

B?n không th? truy c?p vào DPAPI thông tin bí m?t sau khi gia nh?p ho?c Disjoining m?t tên mi?n

N?u b?n đ? tham gia m?t máy tính riêng r? v?i m?t tên mi?n và b?n m?t quy?n truy c?p vào d? li?u DPAPI, b?n có th? khôi ph?c l?i truy c?p c?a đăng nh?p như là ngư?i dùng đ?a phương. Đ? đăng nh?p như ngư?i dùng đ?a phương trên m?t máy tính đ? gia nh?p tên mi?n, b?m vào máy tính c?c b? tên trong h?p th? xu?ng trong các Đăng nhập h?p tho?i h?p, và sau đó nh?p tên ngư?i dùng đ?a phương và m?t kh?u c?a b?n.

N?u b?n có disjoined m?t máy tính t? m?t tên mi?n, b?n ph?i tái tham gia các tên mi?n và sau đó đăng nh?p như là ngư?i dùng tên mi?n tương t? đ? l?y l?i quy?n truy c?p vào các t?p tin c?a b?n.

Nguyên t?c và th?c ti?n t?t nh?t

  • Microsoft khuy?n cáo r?ng b?n s? d?ng m?t kh?u m?nh. S? d?ng m?t kh?u ph?c t?p khó khăn nh?t b?n đáng tin c?y có th? nh?. Chú ý Các b? l?c m?t kh?u không hi?n đang đư?c h? tr? b?i DPAPI.
  • Xu?t kh?u và sao lưu quan tr?ng gi?y ch?ng nh?n và phím tư nhân vào v? trí an toàn và an toàn.

Thu?c tính

ID c?a bài: 309408 - L?n xem xét sau cùng: 27 Tháng Tám 2011 - Xem xét l?i: 2.0
Áp d?ng
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
T? khóa: 
kbinfo kbmt KB309408 KbMtvi
Máy d?ch
QUAN TRỌNG: Bài vi?t này đư?c d?ch b?ng ph?n m?m d?ch máy c?a Microsoft ch? không ph?i do con ngư?i d?ch. Microsoft cung c?p các bài vi?t do con ngư?i d?ch và c? các bài vi?t do máy d?ch đ? b?n có th? truy c?p vào t?t c? các bài vi?t trong Cơ s? Ki?n th?c c?a chúng tôi b?ng ngôn ng? c?a b?n. Tuy nhiên, bài vi?t do máy d?ch không ph?i lúc nào c?ng hoàn h?o. Lo?i bài vi?t này có th? ch?a các sai sót v? t? v?ng, cú pháp ho?c ng? pháp, gi?ng như m?t ngư?i nư?c ngoài có th? m?c sai sót khi nói ngôn ng? c?a b?n. Microsoft không ch?u trách nhi?m v? b?t k? s? thi?u chính xác, sai sót ho?c thi?t h?i nào do vi?c d?ch sai n?i dung ho?c do ho?t đ?ng s? d?ng c?a khách hàng gây ra. Microsoft c?ng thư?ng xuyên c?p nh?t ph?n m?m d?ch máy này.
Nh?p chu?t vào đây đ? xem b?n ti?ng Anh c?a bài vi?t này:309408

Cung cấp Phản hồi

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com