Usuario no puede tener acceso a funcionalidad del certificado después cambio de contraseña o cuando se utiliza un perfil móvil

Seleccione idioma Seleccione idioma
Id. de artículo: 331333 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Síntomas

Cuando un usuario intenta utilizar la funcionalidad del certificado después de que cambien su contraseña o cuando utilicen un perfil móvil, pueden perder el acceso a esta funcionalidad de certificado. Funcionalidad del certificado que no puede funcionar como antes incluye lo siguiente:
  • Acceso a archivos cifrados con archivos de cifrado (EFS del sistema)
  • Obtener acceso a una página Web segura que requiere autenticación de certificados
  • Firma de correo electrónico con Secure/Multipurpose Internet Mail Extensions (S/MIME)
Cuando intenten tener acceso a un sitio Web seguro, se registra el mensaje de error siguientes:
Evento Schannel: 36870
Un error grave al intentar tener acceso a la clave privada de credencial de cliente SSL. El código de error devuelto desde el módulo criptográfico es 0x80090016.

Causa

Este problema se produce sólo si la cuenta de usuario de cliente está en un dominio de Microsoft Windows NT 4.0 y si están en una sesión a una estación de trabajo de Microsoft Windows XP Professional. La versión de la función API de protección de datos (DPAPI) de Windows XP ayuda a proteger claves privadas de EFS y otros datos que desea proteger. La funcionalidad de recuperación de DPAPI no es compatible para usuarios que sean miembros de dominios que ejecutan Microsoft Windows NT 4.0 y anteriores.

Solución

Para mantener el acceso de cliente a funcionalidad del certificado después de que los usuarios cambiar sus contraseñas o cuando utilizan perfiles móviles, actualizar el dominio a servicio de directorio de Active Directory. Dominios de Active Directory proporcionan un mecanismo que ayuda a proteger la clave maestra DPAPI con un par de claves pública y privada. (La clave de maestro DPAPI se utiliza para ayudar a proteger EFS las claves privadas y otras funciones basada en certificados.)

En un dominio de Windows NT 4.0, la capacidad de restaurar el acceso a las claves de certificado y los datos se encuentra en la estación de trabajo. No es el caso en un dominio de Microsoft Windows 2000. Porque el mecanismo de recuperación no se encuentra en la estación de trabajo, dominios de Windows 2000 proporcionan un considerable nivel adicional de protección para los certificados si la estación de trabajo se ve comprometido físicamente.

Aunque sólo tiene que actualizar un controlador de dominio para aprovechar el mecanismo de recuperación del dominio DPAPI, la posibilidad de actualizar al menos dos controladores de dominio para fines de tolerancia a errores.

Se recomienda que planee su Active Directory antes de implementarlo. Para obtener más información acerca del diseño de Active Directory, visite el siguiente sitio Web de Microsoft:
http://technet.microsoft.com/en-us/library/bb727085.aspx

Solución

Para evitar este problema, instale Windows XP Service Pack 1 (SP1) o posterior en la estación de trabajo cliente y, a continuación, cree la entrada de registro siguiente para emular el comportamiento de Windows 2000.

importante Esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por tanto, asegúrese de que siga estos pasos cuidadosamente. Realice una para agregar protección, copia de seguridad del registro antes de modificarlo. A continuación, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756Cómo realizar una copia de seguridad y restaurar el registro de Windows
Siga estos pasos y después salga del Editor del Registro:
  1. Haga clic en Inicio , haga clic en Ejecutar , escriba regedit y, a continuación, haga clic en Aceptar .
  2. Busque y haga clic en la siguiente clave del Registro:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
  3. En el menú Edición , seleccione nuevo y, a continuación, haga clic en valor DWORD .
  4. Escriba MasterKeyLegacyNt4Domain y, a continuación, presione ENTRAR.
  5. En el menú Edición , haga clic en Modificar .
  6. Escriba 1 y, a continuación, haga clic en Aceptar .
Después de crear esta entrada, el cliente determinará si el usuario es miembro de un dominio de Windows NT 4.0. Si están un miembro, el cliente Windows XP emular el comportamiento de Windows 2000 y DPAPI dará a los usuarios con contraseñas cambiadas acceso a sus claves.

Nota Si para evitar este problema modificando el registro, sólo cambiar el comportamiento que se describe en la sección Síntomas desde el momento en que realice el cambio de registro. Los cambios de contraseña realizados antes de que el cambio en el registro no se puede deshacer y seguirá recibiendo un mensaje de error "acceso denegado" cuando abre el archivo de EFS.

Implicaciones de seguridad importantes

Uso de sustancialmente esta entrada del registro, reduce la seguridad de un equipo en peligro físicamente. Un atacante con acceso físico al equipo podría obtener acceso a algunos o todos los archivos cifrados con EFS y cualquier certificado de claves privadas en él.

Recuperar el acceso a los archivos tras un cambio de contraseña

Para recuperar el acceso a la funcionalidad certificado en una estación de trabajo individual después de cambiar una contraseña, cambie la contraseña vuelve a la contraseña que utilizó cuando los archivos cifrados por última vez.

Nota Estos pasos sólo cambia la contraseña que usas para iniciar sesión en el equipo. No cambian su contraseña de dominio.
  1. Inicie sesión en el equipo como usuario con la contraseña actual.
  2. Haga clic en Inicio y, a continuación, haga clic en Panel de control .
  3. Haga doble clic en cuentas de usuario .
  4. Haga clic para seleccionar el nombre de usuario.
  5. Haga clic en Restablecer contraseña .
  6. Escriba la contraseña original en el cuadro de texto nueva contraseña y, a continuación, escriba la contraseña en el cuadro de texto Confirmar nueva contraseña . Haga clic en Aceptar .
  7. Reinicie el equipo.

Estado

Este comportamiento es por diseño.

Más información

El comportamiento que se describe en la sección "Síntomas" de este artículo se aplica sólo a los usuarios que son miembros de un dominio de Windows NT 4.0 y que inician sesión en equipos que ejecutan Windows XP. El comportamiento de clientes de Windows XP que son miembros de un grupo de trabajo o de un dominio de Active Directory de Windows 2000 difiere considerablemente de la descripción en este artículo.

Para obtener más información acerca de DPAPI en Windows XP, visite el siguiente sitio Web de Microsoft:
http://msdn2.microsoft.com/en-us/library/ms995355.aspx
Para obtener más información acerca de cómo solucionar problemas DPAPI, incluida la pérdida de acceso a una clave privada o archivos de EFS, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
309408Solucionar problemas de los datos (DPAPI) de la API de protección

Propiedades

Id. de artículo: 331333 - Última revisión: viernes, 14 de septiembre de 2007 - Versión: 4.6
La información de este artículo se refiere a:
  • Microsoft Windows XP Professional
Palabras clave: 
kbmt kbprb KB331333 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 331333

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com