Utilizador não tem acesso certificado funcionalidade após alteração de palavra-passe ou quando utilizar um perfil guardado no servidor

Traduções de Artigos Traduções de Artigos
Artigo: 331333 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sintomas

Quando um utilizador tenta utilizar a funcionalidade certificado depois alteram as respectivas palavras-passe nem quando utilizam um perfil guardado no servidor, poderão perder acesso a esta funcionalidade de certificado. Funcionalidade de certificado que poderá não funcionar como anteriormente inclui o seguinte:
  • Aceder a ficheiros encriptados com ficheiros de sistema de encriptação de ficheiros (EFS)
  • Aceder a uma página Web segura que requer autenticação de certificados
  • Assinatura de correio electrónico com Secure/Multipurpose Internet Mail Extensions (S/MIME)
Quando tentam aceder a um Web site seguro, é registada a seguinte mensagem de erro:
Eventos Schannel: 36870
Ocorreu um erro fatal ao tentar aceder a chave privada de credencial de cliente do SSL. O código de erro devolvido do módulo criptográfico é 0x80090016.

Causa

Este problema ocorre apenas se a conta de utilizador de cliente estiver num domínio do Microsoft Windows NT 4.0 e se tiverem sessão iniciada para uma estação de trabalho do Microsoft Windows XP Professional. A versão a função de API de protecção de dados (DPAPI, Data Protection API) para o Windows XP ajuda a proteger chaves privadas EFS e outros dados que pretende proteger. A funcionalidade de recuperação do DPAPI não é suportada para utilizadores que são membros de domínios que estiverem a utilizar o Microsoft Windows NT 4.0 e anteriores.

Resolução

Para manter o acesso de cliente a funcionalidade de certificado depois dos utilizadores alterar as respectivas palavras-passe ou quando utilizarem perfis guardados no servidor, actualize o domínio de serviço de directório do Active Directory. Domínios do Active Directory fornecem um mecanismo que ajuda a proteger a chave principal DPAPI com um par de chave públicas/privadas. (A chave de principal DPAPI é utilizada para ajudar a proteger o EFS outras funções baseada em certificados e chaves privadas.)

Num domínio do Windows NT 4.0, a capacidade de repor o acesso às chaves de certificados e os dados está localizada na estação de trabalho. Não for este o caso num domínio do Microsoft Windows 2000. Uma vez que o mecanismo de recuperação não está localizado na estação de trabalho, o domínios do Windows 2000 forneçam um nível adicional significativo de protecção para certificados se a estação de trabalho fisicamente for comprometida.

Apesar de apenas ter de actualizar um controlador de domínio único para tirar partido o mecanismo de recuperação do domínio DPAPI, considere actualizar pelo menos dois controladores de domínio para fins de tolerância a falhas.

Recomenda-se que planeie o Active Directory antes de implementá-la. Para mais informações sobre a estrutura do Active Directory, visite o seguinte Web site da Microsoft:
http://technet.microsoft.com/en-us/library/bb727085.aspx

Como contornar

Para contornar este problema, instale o Windows XP Service Pack 1 (SP1) ou posterior nos estação de trabalho cliente e, em seguida, criar a seguinte entrada de registo para emular o comportamento do Windows 2000.

importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
322756Como efectuar uma cópia de segurança e restaurar o registo no Windows
Siga estes passos e, em seguida, saia do Editor de registo:
  1. Clique em Iniciar , clique em Executar , escreva regedit e, em seguida, clique em OK .
  2. Localize e, em seguida, clique a seguinte chave no registo:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
  3. No menu Editar , aponte para Novo e, em seguida, clique em valor DWORD .
  4. Escreva MasterKeyLegacyNt4Domain e, em seguida, prima ENTER.
  5. No menu Editar , clique em Modificar .
  6. Escreva 1 e, em seguida, clique em OK .
Depois de criar esta entrada, o cliente irá determinar se o utilizador for membro de um domínio do Windows NT 4.0. Se forem um membro, o cliente Windows XP irá emular o comportamento do Windows 2000 e DPAPI irá fornecer aos utilizadores com acesso de palavras-passe alteradas as respectivas chaves.

Nota Se resolver este problema editando o registo, só pode alterar o comportamento descrito na secção Sintomas da vez que efectuar o registo alterar. As alterações de palavra-passe que foram efectuadas antes da alteração ao registo não ser anulada e ainda receberá uma mensagem de erro "acesso negado" quando abre o ficheiro de EFS.

Implicações de segurança importante

Utilizar esta entrada de registo substancialmente diminui a segurança de um computador fisicamente comprometida. Um intruso com acesso físico ao computador poderia aceder a alguns ou todos os ficheiros encriptados de EFS e qualquer certificado chaves privadas no mesmo.

Recuperar acesso aos ficheiros depois de uma alteração de palavra-passe

Para recuperar o acesso a funcionalidade de certificado numa estação de trabalho individual após uma alteração de palavra-passe, altere a palavra-passe novamente para a palavra-passe que foi utilizada quando os ficheiros tenham sido encriptados pela última vez.

Nota Estes passos apenas alteram a palavra-passe que utiliza para iniciar sessão computador. Não altere a palavra-passe de domínio.
  1. Inicie sessão no computador como utilizador com a palavra-passe actual.
  2. Clique em Iniciar e, em seguida, clique em Painel de controlo .
  3. Faça duplo clique em contas de utilizador .
  4. Clique para seleccionar o nome de utilizador.
  5. Clique em Repor palavra-passe .
  6. Escreva a palavra-passe original na caixa de texto nova palavra-passe e, em seguida, escreva a palavra-passe na caixa de texto Confirmar nova palavra-passe . Clique em OK .
  7. Reinicie o computador.

Ponto Da Situação

Este comportamento ocorre por predefinição.

Mais Informação

O comportamento descrito na secção "Sintomas" deste artigo aplicam-se apenas aos utilizadores que façam parte de um domínio do Windows NT 4.0 e que iniciar sessão em computadores que executam o Windows XP. O comportamento de clientes do Windows XP Professional que sejam membros do grupo de trabalho ou de um domínio do Active Directory do Windows 2000 difere significativamente a descrição neste artigo.

Para obter mais informações sobre DPAPI no Windows XP, visite o seguinte Web site da Microsoft:
http://msdn2.microsoft.com/en-us/library/ms995355.aspx
Para obter mais informações sobre como resolver problemas DPAPI, incluindo a perda de acesso a uma chave privada ou ficheiros do EFS, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
309408Resolução de problemas a Data Protection API (DPAPI, Data Protection)

Propriedades

Artigo: 331333 - Última revisão: 14 de setembro de 2007 - Revisão: 4.6
A informação contida neste artigo aplica-se a:
  • Microsoft Windows XP Professional Edition
Palavras-chave: 
kbmt kbprb KB331333 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 331333

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com