Gebruiker krijgt na wachtwoordwijziging of bij gebruik van een zwervend profiel geen toegang tot certificaatfunctionaliteit

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 331333 - Bekijk de producten waarop dit artikel van toepassing is.
Belangrijk Dit artikel bevat informatie over het bewerken van het register. Voordat u het register gaat bewerken, moet u er een reservekopie van maken en moet u weten hoe u het register kunt herstellen als er een probleem optreedt. Als u meer informatie wilt over het maken van een reservekopie van het register en het herstellen of bewerken van het register, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
256986Beschrijving van het Microsoft Windows-register
Alles uitklappen | Alles samenvouwen

Op deze pagina

Symptomen

Wanneer een gebruiker certificaatfuncties wil gebruiken na het wijzigen van het wachtwoord of bij gebruik van een zwervend profiel, zijn deze functies niet meer toegankelijk. Het betreft de volgende certificaatfuncties:
  • Toegang tot bestanden die zijn gecodeerd met EFS (Encrypting File System)
  • Toegang tot een beveiligde webpagina die certificaatverificatie vereist
  • Ondertekenen van e-mail met S/MIME (Secure/Multipurpose Internet Mail Extensions)
Het volgende foutbericht wordt vastgelegd wanneer wordt geprobeerd een beveiligde website weer te geven:
Schannel Event: 36870
A fatal error occurred when you try to access the SSL client credential private key. The error code returned from the cryptographic module is 0x80090016.

Oorzaak

Dit probleem doet zich alleen voor als de gebruikersaccount van de client zich in een Microsoft Windows NT 4.0-domein bevindt en de gebruiker is aangemeld bij een Microsoft Windows XP Professional-werkstation. De Windows XP-versie van de DPAPI-functie (Data Protection API) biedt beveiliging voor persoonlijke EFS-sleutels en andere vertrouwelijke gegevens. De herstelfunctie van DPAPI wordt niet ondersteund voor gebruikers die lid zijn van Microsoft Windows NT 4.0- en eerdere domeinen.

Oplossing

Als clienttoegang tot certificaatfuncties mogelijk moet zijn na wachtwoordwijziging of bij gebruik van een zwervend profiel, voert u een upgrade van het domein uit naar de Active Directory-adreslijstservice. In Active Directory-domeinen wordt de DPAPI-hoofdsleutel beveiligd met een combinatie van een openbare en een persoonlijke sleutel. (De DPAPI-hoofdsleutel wordt gebruikt voor beveiliging van persoonlijke EFS-sleutels en andere functies die gebruikmaken van certificaten.)

In Windows NT 4.0-domeinen kan de toegang tot de certificaatsleutels en -gegevens worden hersteld op het werkstation. Dit is niet het geval in Microsoft Windows 2000-domeinen. Aangezien de herstelfunctie zich niet op het werkstation bevindt, bieden Windows 2000-domeinen een extra beveiligingsniveau voor certificaten geval het werkstation fysieke problemen ondervindt.

Hoewel u slechts één domeincontroller bij de upgrade hoeft te betrekken om te kunnen gebruikmaken van de DPAPI-herstelfunctie voor domeinen, kunt u omwille van fouttolerantie overwegen om ten minste twee domeincontrollers bij te werken.

Het wordt sterk aanbevolen om uw Active Directory-configuratie uit te werken voordat u overgaat op implementatie. Voor meer informatie over Active Directory-configuraties kunt u de volgende Microsoft-website bezoeken:
http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx

Workaround

U kunt dit probleem omzeilen door Windows XP Service Pack 1 (SP1) of hoger op het clientwerkstation te installeren en de volgende registervermelding toe te voegen om Windows 2000-gedrag te emuleren.

Waarschuwing Onjuist gebruik van de Register-editor kan ernstige problemen veroorzaken die ertoe kunnen leiden dat u het besturingssysteem opnieuw moet installeren. Microsoft kan niet garanderen dat problemen die voortvloeien uit een verkeerd gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is dan ook voor uw eigen risico. Voer de volgende stappen uit, waarna u de Register-editor afsluit:
  1. Klik op Start, klik op Uitvoeren, typ regedit en klik op OK.
  2. Selecteer de volgende registersleutel:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
  3. Wijs in het menu Bewerken de optie Nieuw aan en klik op DWORD-waarde.
  4. Typ MasterKeyLegacyNt4Domain en druk op ENTER.
  5. Open het menu Bewerken en klik op Wijzigen.
  6. Typ 1 en klik op OK.
Wanneer u deze vermelding hebt toegevoegd, wordt door de client vastgesteld of de gebruiker lid is van een Windows NT 4.0-domein. Als dat het geval is, wordt Windows 2000-gedrag door de Windows XP-client geëmuleerd en krijgen gebruikers met gewijzigde wachtwoorden via DPAPI toegang tot hun sleutels.

Opmerking Als u dit probleem omzeilt door het register aan te passen, is het probleem alleen opgelost voor wachtwoordwijzigingen die worden doorgevoerd na de registeraanpassing. Wachtwoordwijzigingen voorafgaand aan de registeraanpassing worden niet ongedaan gemaakt en er verschijnt dus nog steeds een foutbericht 'Toegang geweigerd' wanneer u het EFS-bestand opent.

Belangrijk voor beveiliging

Deze registervermelding verzwakt de beveiliging van een fysiek belaste computer aanzienlijk. Een aanvaller die fysieke toegang tot de computer heeft, kan een aantal of alle EFS-bestanden en certificaten met persoonlijke sleutels op de computer misbruiken.

De bestanden terugzetten na een wachtwoordwijziging

Als u na een wachtwoordwijziging weer toegang wilt hebben tot de certificaatfuncties op een afzonderlijk werkstation, herstelt u het wachtwoord dat van kracht was op het moment dat de bestanden het laatst werden gecodeerd.

Opmerking Met deze stappen wijzigt u alleen het wachtwoord waarmee u zich aanmeldt bij de computer. Het domeinwachtwoord blijft ongewijzigd.
  1. Meld u op de computer aan als de gebruiker met het huidige wachtwoord.
  2. Klik op Start en op Configuratiescherm.
  3. Dubbelklik op Gebruikersaccounts.
  4. Klik op uw gebruikersnaam.
  5. Klik op Wachtwoord opnieuw instellen.
  6. Typ het oorspronkelijke wachtwoord in het vak Nieuw wachtwoord en typ het wachtwoord ter bevestiging in het vak Nieuw wachtwoord bevestigen. Klik op OK.
  7. Start de computer opnieuw op.

Status

Dit gedrag is inherent aan het ontwerp van het product.

Meer informatie

Het gedrag dat in de sectie 'Symptomen' van dit artikel wordt beschreven, is alleen van toepassing op gebruikers die lid zijn van een Windows NT 4.0-domein en zich aanmelden bij computers waarop Windows XP wordt uitgevoerd. Het gedrag van Windows XP Professional-clients die lid zijn van een werkgroep of een Windows 2000 Active Directory-domein, verschilt aanmerkelijk van hetgeen in dit artikel wordt beschreven.

Ga voor meer informatie over DPAPI in Windows XP naar de volgende Microsoft-website:
http://msdn2.microsoft.com/en-us/library/ms995355.aspx
Als u meer informatie wilt over het oplossen van DPAPI-problemen, inclusief het geen toegang meer hebben tot een persoonlijke sleutel of EFS-bestand, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
309408Problemen oplossen met de DPAPI (Data Protection API)

Eigenschappen

Artikel ID: 331333 - Laatste beoordeling: dinsdag 28 augustus 2007 - Wijziging: 4.4
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows XP Professional
Trefwoorden: 
kbprb KB331333

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com