Utente non pu˛ accedere alle funzionalitÓ certificato dopo la modifica della password o quando si utilizza un profilo comune

Traduzione articoli Traduzione articoli
Identificativo articolo: 331333 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

Quando un utente tenta di utilizzare funzionalitÓ certificato dopo che cambiare la password o quando si utilizza un profilo comune, potrebbe perdere l'accesso alle funzionalitÓ di questo certificato. FunzionalitÓ di certificato potrebbe non funzionare come prima comprende:
  • L'accesso ai file crittografati con crittografia File System (EFS)
  • L'accesso a una pagina Web protetta che richiede l'autenticazione basata su certificati
  • La firma di posta elettronica con Secure/Multipurpose Internet Mail Extensions (S/MIME)
Quando si tenta di accedere un sito Web protetto, viene registrato il seguente messaggio di errore:
Eventi Schannel: 36870
Si Ŕ verificato un errore irreversibile quando si tenta di accedere la chiave privata del client credenziali SSL. Il codice di errore restituito dal modulo di crittografico Ŕ 0x80090016.

Cause

Questo problema si verifica solo se l'account utente del client si trova in un dominio Microsoft Windows NT 4.0 e sono connessi a una workstation di Microsoft Windows XP Professional. La versione della funzione DPAPI (Data Protection API) per Windows XP consente di proteggere le chiavi private EFS e altri dati che si desidera proteggere. La funzionalitÓ di ripristino di DPAPI non Ŕ supportata per gli utenti che sono membri di domini che eseguono Microsoft Windows NT 4.0 e versioni precedenti.

Risoluzione

Per mantenere i accesso di client al certificato funzionalitÓ dopo che gli utenti possano modificare le password o quando utilizzano profili comuni, aggiornare il dominio al servizio directory Active Directory. I domini di Active Directory forniscono un meccanismo che consente di proteggere la chiave master DPAPI con una coppia di chiavi pubblica/privata. (La chiave di master DPAPI viene utilizzata per la protezione EFS le chiavi private e altre funzioni basata su certificati.)

In un dominio Windows NT 4.0, la possibilitÓ di ripristinare l'accesso le chiavi di certificati e i dati si trova sulla workstation. Questo non avviene in un dominio di Microsoft Windows 2000. PoichÚ il meccanismo di recupero non si trova sulla workstation, domini di Windows 2000 forniscono un significativo livello di ulteriore di protezione per i certificati se la workstation Ŕ fisicamente compromesso.

Sebbene sia necessario aggiornare un controller di dominio singolo a sfruttare il meccanismo di ripristino del dominio DPAPI, considerare l'aggiornamento almeno due controller di dominio per scopi di tolleranza d'errore.

╚ consigliabile che si prevede di Active Directory prima di implementare tale. Per ulteriori informazioni sulla progettazione di Active Directory, visitare il sito di Web di Microsoft:
http://technet.microsoft.com/en-us/library/bb727085.aspx

Workaround

Per aggirare il problema, installare Windows XP Service Pack 1 (SP1) o versione successiva sul workstation client e quindi creare la seguente voce di registro di sistema per emulare il comportamento di Windows 2000.

importante Questa sezione, metodo o l'attivitÓ sono contenute procedure viene illustrato come modificare il Registro di sistema. Tuttavia, possono causare seri problemi se si modifica il Registro di sistema in modo errato. Pertanto, assicurarsi che questa procedura con attenzione. Per maggiore protezione, Ŕ eseguire il backup del Registro di sistema prima di modificarlo. ╚ quindi possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
322756Come eseguire il backup e il ripristino del Registro di sistema in Windows
Attenersi alla procedura riportata di seguito, quindi chiudere l'editor del Registro di sistema:
  1. Fare clic su Start , scegliere Esegui , digitare regedit e quindi fare clic su OK .
  2. Individuare e selezionare la seguente chiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
  3. Scegliere Nuovo dal menu Modifica , quindi valore DWORD .
  4. Digitare MasterKeyLegacyNt4Domain e quindi premere INVIO.
  5. Nel menu Modifica , fare clic su Modifica .
  6. Digitare 1 e quindi fare clic su OK .
Dopo aver creato questo movimento, il client consente di verificare se l'utente Ŕ un membro di un dominio Windows NT 4.0. Se si sono di un membro, il client Windows XP verrÓ emulare il comportamento di Windows 2000 e DPAPI verrÓ concedere agli utenti con accesso password modificate le relative chiavi.

Nota Per aggirare il problema modificando il Registro di sistema, Ŕ modificare solo il comportamento descritto nella sezione Sintomi dal momento apportate al Registro di sistema modificare. Modifiche password sono state apportate prima la modifica al Registro di sistema non essere annullata e si riceverÓ comunque un messaggio di errore "accesso negato" quando si apre il file di EFS.

Implicazioni di protezione importanti

Utilizzando questa voce del Registro di sistema sostanzialmente diminuisce la protezione di un computer fisicamente compromesso. Un utente malintenzionato con accesso fisico al computer potrebbe accedere a alcuni o tutti i file crittografati EFS e qualsiasi certificato le chiavi private su di esso.

Ripristinare l'accesso ai file dopo una modifica della password

Accedere alla funzionalitÓ di certificato in una singola workstation dopo una modifica della password, modificare la password alla password che Ŕ stata utilizzata quando i file crittografati ultima.

Nota Procedura descritta consente solo di modificare la password utilizzata per accedere al computer. Non di modificarne la password di dominio.
  1. Accedere al computer come utente con la password corrente.
  2. Fare clic su Start e quindi fare clic su Pannello di controllo .
  3. Fare doppio clic su account utente .
  4. Fare clic per selezionare il nome dell'utente.
  5. Fare clic su Reimposta password .
  6. Digitare la password originale nella casella di testo nuova password e quindi digitare la password nella casella di testo Conferma nuova password . Fare clic su OK .
  7. Riavviare il computer.

Status

Questo comportamento legato alla progettazione.

Informazioni

Il comportamento descritto nella sezione "Sintomi" di questo articolo si applica solo agli utenti che sono membri di un dominio di Windows NT 4.0 e che ha accesso a computer che eseguono Windows XP. Il comportamento dei client Windows XP che sono membri di un gruppo di lavoro o di un dominio di Active Directory di Windows 2000 si differenzia notevolmente dalla descrizione in questo articolo.

Per ulteriori informazioni sulla DPAPI in Windows XP, visitare il sito di Web di Microsoft:
http://msdn2.microsoft.com/en-us/library/ms995355.aspx
Per ulteriori informazioni sulla risoluzione dei problemi DPAPI, compresa la perdita dell'accesso a una chiave privata o file di EFS, fare il clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
309408Risoluzione dei problemi dei dati API (DPAPI) per la protezione

ProprietÓ

Identificativo articolo: 331333 - Ultima modifica: venerdý 14 settembre 2007 - Revisione: 4.6
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows XP Professional
Chiavi:á
kbmt kbprb KB331333 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 331333
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com