Utilizador não tem acesso certificado funcionalidade após alteração de palavra-passe ou quando utilizar um perfil guardado no servidor

Quando um utilizador tenta utilizar a funcionalidade certificado depois alteram as respectivas palavras-passe nem quando utilizam um perfil guardado no servidor, poderão perder acesso a esta funcionalidade de certificado. Funcionalidade de certificado que poderá não funcionar como anteriormente inclui o seguinte:

• Aceder a ficheiros encriptados com ficheiros de sistema de encriptação de ficheiros (EFS)
• Aceder a uma página Web segura que requer autenticação de certificados
• Assinatura de correio electrónico com Secure/Multipurpose Internet Mail Extensions (S/MIME)

Quando tentam aceder a um Web site seguro, é registada a seguinte mensagem de erro:

Este problema ocorre apenas se a conta de utilizador de cliente estiver num domínio do Microsoft Windows NT 4.0 e se tiverem sessão iniciada para uma estação de trabalho do Microsoft Windows XP Professional. A versão a função de API de protecção de dados (DPAPI, Data Protection API) para o Windows XP ajuda a proteger chaves privadas EFS e outros dados que pretende proteger. A funcionalidade de recuperação do DPAPI não é suportada para utilizadores que são membros de domínios que estiverem a utilizar o Microsoft Windows NT 4.0 e anteriores.

Para manter o acesso de cliente a funcionalidade de certificado depois dos utilizadores alterar as respectivas palavras-passe ou quando utilizarem perfis guardados no servidor, actualize o domínio de serviço de directório do Active Directory. Domínios do Active Directory fornecem um mecanismo que ajuda a proteger a chave principal DPAPI com um par de chave públicas/privadas. (A chave de principal DPAPI é utilizada para ajudar a proteger o EFS outras funções baseada em certificados e chaves privadas.)

Num domínio do Windows NT 4.0, a capacidade de repor o acesso às chaves de certificados e os dados está localizada na estação de trabalho. Não for este o caso num domínio do Microsoft Windows 2000. Uma vez que o mecanismo de recuperação não está localizado na estação de trabalho, o domínios do Windows 2000 forneçam um nível adicional significativo de protecção para certificados se a estação de trabalho fisicamente for comprometida.

Apesar de apenas ter de actualizar um controlador de domínio único para tirar partido o mecanismo de recuperação do domínio DPAPI, considere actualizar pelo menos dois controladores de domínio para fins de tolerância a falhas.

Recomenda-se que planeie o Active Directory antes de implementá-la. Para mais informações sobre a estrutura do Active Directory, visite o seguinte Web site da Microsoft:

Para contornar este problema, instale o Windows XP Service Pack 1 (SP1) ou posterior nos estação de trabalho cliente e, em seguida, criar a seguinte entrada de registo para emular o comportamento do Windows 2000.

importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Siga estes passos e, em seguida, saia do Editor de registo:

1. Clique em Iniciar , clique em Executar , escreva regedit e, em seguida, clique em OK .
2. Localize e, em seguida, clique a seguinte chave no registo:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
3. No menu Editar , aponte para Novo e, em seguida, clique em valor DWORD .
4. Escreva MasterKeyLegacyNt4Domain e, em seguida, prima ENTER.
5. No menu Editar , clique em Modificar .
6. Escreva 1 e, em seguida, clique em OK .

Depois de criar esta entrada, o cliente irá determinar se o utilizador for membro de um domínio do Windows NT 4.0. Se forem um membro, o cliente Windows XP irá emular o comportamento do Windows 2000 e DPAPI irá fornecer aos utilizadores com acesso de palavras-passe alteradas as respectivas chaves.

Nota Se resolver este problema editando o registo, só pode alterar o comportamento descrito na secção Sintomas da vez que efectuar o registo alterar. As alterações de palavra-passe que foram efectuadas antes da alteração ao registo não ser anulada e ainda receberá uma mensagem de erro "acesso negado" quando abre o ficheiro de EFS.

Implicações de segurança importante

Utilizar esta entrada de registo substancialmente diminui a segurança de um computador fisicamente comprometida. Um intruso com acesso físico ao computador poderia aceder a alguns ou todos os ficheiros encriptados de EFS e qualquer certificado chaves privadas no mesmo.

Recuperar acesso aos ficheiros depois de uma alteração de palavra-passe

Para recuperar o acesso a funcionalidade de certificado numa estação de trabalho individual após uma alteração de palavra-passe, altere a palavra-passe novamente para a palavra-passe que foi utilizada quando os ficheiros tenham sido encriptados pela última vez.

Nota Estes passos apenas alteram a palavra-passe que utiliza para iniciar sessão computador. Não altere a palavra-passe de domínio.

1. Inicie sessão no computador como utilizador com a palavra-passe actual.
2. Clique em Iniciar e, em seguida, clique em Painel de controlo .
3. Faça duplo clique em contas de utilizador .
4. Clique para seleccionar o nome de utilizador.
5. Clique em Repor palavra-passe .
6. Escreva a palavra-passe original na caixa de texto nova palavra-passe e, em seguida, escreva a palavra-passe na caixa de texto Confirmar nova palavra-passe . Clique em OK .
7. Reinicie o computador.

Este comportamento ocorre por predefinição.

O comportamento descrito na secção "Sintomas" deste artigo aplicam-se apenas aos utilizadores que façam parte de um domínio do Windows NT 4.0 e que iniciar sessão em computadores que executam o Windows XP. O comportamento de clientes do Windows XP Professional que sejam membros do grupo de trabalho ou de um domínio do Active Directory do Windows 2000 difere significativamente a descrição neste artigo.

Para obter mais informações sobre DPAPI no Windows XP, visite o seguinte Web site da Microsoft: Para obter mais informações sobre como resolver problemas DPAPI, incluindo a perda de acesso a uma chave privada ou ficheiros do EFS, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: