Użytkownik nie może uzyskać dostępu do funkcji certyfikatu, po zmianie hasła lub podczas korzystania z profilu mobilnego

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 331333 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Symptomy

Gdy użytkownik próbuje użyć funkcji certyfikatu po oni zmieniać swoje hasła lub korzystania z profilu mobilnego, mogą oni utracić dostęp do funkcji tego certyfikatu. Funkcjonalność certyfikatu, który może nie pracy jak wcześniej obejmuje następujące pozycje:
  • Dostęp do plików, które są szyfrowane przy użyciu szyfrowania plików System (EFS)
  • Dostęp do bezpiecznej strony sieci Web, która wymaga certyfikatu uwierzytelnianie
  • Podpisywanie wiadomości e-mail z Secure/Multipurpose Internet Mail Extensions (S/MIME)
Podczas próby dostępu do bezpiecznej witryny sieci Web następujący komunikat o błędzie jest rejestrowany komunikat:
Zdarzenie Schannel: 36870
Błąd krytyczny Wystąpił błąd podczas próby dostępu do klucza prywatnego poświadczeń SSL klienta. Kod błędu zwrócony z modułu kryptograficznego jest 0x80090016.

Przyczyna

Ten problem występuje tylko wtedy, gdy konto użytkownika klienta Domeny Microsoft Windows NT 4.0 i jeśli są zalogowani do firmy Microsoft Stacji roboczej systemu Windows XP Professional. Wersja systemu Windows XP danych Funkcja API (DPAPI) ochrona ułatwia ochronę kluczy prywatnych systemu EFS i inne dane, które chcesz zabezpieczyć. Funkcje odzyskiwania DPAPI nie jest obsługiwane dla użytkowników, którzy są członkami domeny, które z uruchomionym programem Microsoft System Windows NT 4.0 lub starszym.

Rozwiązanie

Aby zachować dostęp klienta do funkcji certyfikatu Po użytkownicy zmienili swoje hasła, lub w przypadku korzystania z profilów mobilnych, uaktualnienie domeny usługi Active Directory. Domeny usługi Active Directory dostarcza mechanizm, który pomaga chronić klucz główny DPAPI z pary kluczy publicznych i prywatnych. (DPAPI klucza głównego jest używany w celu ochrony systemu szyfrowania plików klucze prywatne i inne funkcje oparte na certyfikatach.)

W systemie Windows NT jest możliwość przywrócić dostęp do certyfikatu klucze i dane domeny 4.0 znajduje się na stacji roboczej. Nie jest to przypadek w systemie Windows 2000 w domenie. Ponieważ mechanizm odzyskiwania nie znajduje się na stacji roboczej, Domenami systemu Windows 2000 zapewniają znaczący dodatkowy poziom ochrony certyfikaty, jeśli stacja robocza jest fizycznie zagrożone.

Chociaż trzeba uaktualnić kontroler domeny pojedynczej, aby skorzystać z Mechanizm odzyskiwania domeny DPAPI, należy rozważyć uaktualnienie co najmniej dwie domeny kontrolery w celach odporności na uszkodzenia.

Zdecydowanie zaleca się że plan Active Directory przed przystąpieniem do implementacji. Aby uzyskać więcej informacji informacje dotyczące projektu usługi Active Directory, odwiedź następujące sieci Web firmy Microsoft Witryna:
http://technet.microsoft.com/en-us/library/bb727085.aspx

Obejście problemu

Aby obejść ten problem, należy zainstalować system Windows XP Z dodatkiem Service Pack 1 (SP1) lub nowszy na stacji roboczej, a następnie utwórz następujące wpis rejestru do emulacji zachowanie systemu Windows 2000.

Ważne Niniejszej sekcji, metodzie lub zadania zawiera kroki, które informacje dotyczące modyfikowania rejestru. Jednak niepoprawne zmodyfikowanie rejestru może spowodować poważne problemy. Należy więc dokładnie wykonaj następujące kroki. Aby zapewnić dodatkową ochronę kopii zapasowej rejestru przed przystąpieniem do modyfikacji. Następnie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących sposobu tworzenia kopii zapasowych i przywracania rejestru kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonać kopię zapasową i przywrócić rejestr w systemie Windows
Wykonaj następujące czynności, a następnie zamknij Edytor rejestru:
  1. Kliknij przycisk Start, kliknij przycisk Uruchom, Typ regedit, a następnie kliknij przycisk OK.
  2. Zlokalizuj i kliknij następujący klucz rejestru:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11 d 1-8c7a-00c04fc297eb
  3. Na Edycja menu, wskaż Nowy, a następnie kliknij przycisk Wartość DWORD.
  4. Typ MasterKeyLegacyNt4Domain, i następnie naciśnij klawisz ENTER.
  5. Na Edycja menu, kliknij przycisk Modyfikowanie.
  6. Typ 1, a następnie kliknij przycisk OK.
Po utworzeniu tego wpisu, klient będzie Określa, czy użytkownik jest członkiem domeny systemu Windows NT 4.0. Jeśli są one Członek, klient systemu Windows XP będzie emulować zachowanie systemu Windows 2000 i DPAPI udostępni użytkownikom zmieniono hasła dostępu do swoich kluczy.

Uwaga Jeśli przez edycję rejestru tylko można obejść ten problem zmienić zachowanie opisane w sekcji Symptomy od czasu Aby zmiany rejestru. Zmiany hasła, które zostały dokonane przed zmiany w rejestrze są nie można cofnąć i będzie nadal otrzymywał komunikat "odmowa dostępu" błąd podczas otwierania pliku System EFS.

Wpływ na zabezpieczenia ważnych

Za pomocą tego wpisu rejestru znacznie zmniejsza zabezpieczeń komputer fizycznie złamany. Atakujący mający fizyczny dostęp do komputer może uzyskać dostępu do niektórych lub wszystkich szyfrowane pliki EFS i każdego certyfikatu klucze prywatne na nim.

Odzyskać dostęp do plików po zmianie hasła

Aby odzyskać dostęp do funkcji certyfikatu na osobę Stacja robocza po zmianie hasła zmiany hasła na hasło który został użyty podczas ostatniego zostały zaszyfrowane pliki.

Uwaga Te kroki tylko zmienić hasło używane do logowania się na komputer. Nie należy zmieniać hasło domeny.
  1. Zaloguj się do komputera jako użytkownik z bieżącego hasło.
  2. Kliknij przycisk Start, a następnie kliknij przyciskW Panelu sterowania.
  3. Kliknij dwukrotnie ikonę Konta użytkowników.
  4. Kliknij, aby wybrać nazwę użytkownika.
  5. Kliknij przycisk Resetowanie hasła.
  6. Wpisz swoje oryginalne hasło w Nowy hasło tekst pola, a następnie wpisz hasło w Potwierdź nowe hasło pole tekstowe. Kliknij przycisk OK.
  7. Uruchom ponownie komputer.

Stan

To zachowanie jest zgodne z projektem.

Więcej informacji

Zachowanie opisane w sekcji "Symptomy" Ten artykuł dotyczy tylko użytkowników, którzy są członkami domeny systemu Windows NT 4.0 i którzy logują się do komputerów z systemem Windows XP. Zachowanie systemu Windows XP Klientów branżowych, które są członkami grupy roboczej lub systemu Windows 2000 Domeny usługi Active Directory znacznie się różni od opisu, w tym artykuł.

Aby uzyskać więcej informacji na temat DPAPI w systemie Windows XP, odwiedź witrynę witrynie sieci Web firmy Microsoft:
http://msdn2.microsoft.com/en-us/library/ms995355.aspx
Aby uzyskać więcej informacji dotyczących rozwiązywania problemów Kliknij DPAPI problemów oraz utraty dostępu do klucza prywatnego lub plików systemu EFS następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
309408Rozwiązywanie problemów z danymi Ochrona API (DPAPI)

Właściwości

Numer ID artykułu: 331333 - Ostatnia weryfikacja: 23 czerwca 2011 - Weryfikacja: 2.0
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows XP Professional
Słowa kluczowe: 
kbprb kbmt KB331333 KbMtpl
Przetłumaczone maszynowo
WAŻNE: Ten artykuł nie został przetłumaczony przez człowieka, tylko przez oprogramowanie do tłumaczenia maszynowego firmy Microsoft. Firma Microsoft oferuje zarówno artykuły tłumaczone przez ludzi, jak i artykuły tłumaczone maszynowo, dzięki czemu każdy użytkownik może uzyskać dostęp do całej zawartości bazy wiedzy Knowledge Base we własnym języku. Prosimy jednak pamiętać, że artykuły przetłumaczone maszynowo nie zawsze są doskonałe. Mogą zawierać błędy słownictwa, składni i gramatyki, przypominające błędy robione przez osoby, dla których język użytkownika nie jest językiem ojczystym. Firma Microsoft nie odpowiada za wszelkie nieścisłości, błędy lub szkody spowodowane nieprawidłowym tłumaczeniem zawartości oraz za wykorzystanie tej zawartości przez klientów. Oprogramowanie do tłumaczenia maszynowego jest często aktualizowane przez firmę Microsoft.
Anglojęzyczna wersja tego artykułu to:331333

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com