Usuário não pode obter acesso a funcionalidade de certificado após a alteração de senha ou ao usar um perfil móvel

Quando um usuário tenta usar a funcionalidade de certificado após eles alterarem sua senha ou quando eles usam um perfil móvel, eles poderão perder acesso à funcionalidade certificado. Funcionalidade de certificado que pode não funcionar como antes inclui o seguinte:

• Acessar arquivos criptografados com o arquivo com criptografia EFS (sistema)
• Acessando uma página da Web segura que requer autenticação de certificado
• Assinatura de email com o Secure/Multipurpose Internet Mail (S/MIME) Extensions

Quando tentar acessar um site seguro, a seguinte mensagem de erro é registrada:

Esse problema ocorre apenas se a conta de usuário do cliente estiver em um domínio Microsoft Windows NT 4.0 e se estiverem conectados a uma estação de trabalho Microsoft Windows XP Professional. A versão da função DPAPI (Data Protection API) do Windows XP ajuda a proteger chaves particulares do EFS e outros dados que você deseja proteger. A funcionalidade de recuperação do DPAPI não é com suporte para os usuários são membros de domínios que estão executando o Microsoft Windows NT 4.0 e anteriores.

Para manter o acesso do cliente ao certificado funcionalidade depois que os usuários alterem suas senhas ou quando usarem perfis móveis, atualizar o domínio para serviço de diretório do Active Directory. Domínios do Active Directory fornecem um mecanismo que ajuda a proteger a chave mestre DPAPI com um par de chaves pública/particular. (A chave de mestre DPAPI é usada para ajudar a proteger EFS chaves particulares e outras funções com base em certificado.)

Em um domínio do Windows NT 4.0, a capacidade de restaurar o acesso às chaves de certificado e os dados está localizada na estação de trabalho. Isso não é o caso em um domínio do Microsoft Windows 2000. Porque o mecanismo de recuperação não está localizado na estação de trabalho, o domínios do Windows 2000 fornecem um nível adicional significativo de proteção para certificados se a estação de trabalho for fisicamente comprometida.

Embora você tenha apenas atualizar um controlador de domínio único para aproveitar o mecanismo de recuperação do domínio DPAPI, considere a atualização de pelo menos dois controladores de domínio para fins de tolerância a falhas.

É altamente recomendável que você planeja seu Active Directory antes de implementá-lo. Para obter mais informações sobre o design do Active Directory, visite o seguinte site:

Para contornar esse problema, instale o Windows XP Service Pack 1 (SP1) ou posterior na estação de trabalho cliente e crie a seguinte entrada do Registro para emular o comportamento do Windows 2000.

importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Por isso, certifique-se que você execute essas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: Siga estas etapas e feche o Editor do Registro:

1. Clique em Iniciar , clique em Executar , digite regedit e, em seguida, clique em OK .
2. Localize e, em seguida, clique na seguinte chave no Registro:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
3. No menu Editar , aponte para novo e, em seguida, clique em valor DWORD .
4. Digite MasterKeyLegacyNt4Domain e, em seguida, pressione ENTER.
5. No menu Editar , clique em Modificar .
6. Digite 1 e, em seguida, clique em OK .

Depois de criar esta entrada, o cliente irá determinar se o usuário é um membro de um domínio Windows NT 4.0. Se estiverem um membro, o cliente Windows XP irá emular o comportamento do Windows 2000 e DPAPI oferece aos usuários com senhas alteradas acesso às suas chaves.

Observação Se você solucionar esse problema editando o registro, você só alterar o comportamento descrito na seção Sintomas do momento em que você fizer a alteração no registro. Quaisquer alterações de senha que foram feitas antes da alteração no Registro não ser desfeita e você ainda receberá uma mensagem de erro "acesso negado" quando você abrir o arquivo do EFS.

Implicações de segurança importantes

Usar essa entrada do Registro substancialmente reduz a segurança de um computador fisicamente comprometido. Um invasor com acesso físico ao computador poderá acessar alguns ou todos os arquivos criptografados com EFS e qualquer certificado chaves particulares sobre ele.

Recuperar acesso aos arquivos após uma alteração de senha

Para obter novamente acesso à funcionalidade certificado em uma estação de trabalho individual após uma alteração de senha, altere a senha novamente para a senha que foi usada quando os arquivos foram criptografados por último.

Observação Estas etapas só alteram a senha que você usa para fazer logon no seu computador. Eles não alteram sua senha de domínio.

1. Fazer logon no computador como usuário com a senha atual.
2. Clique em Iniciar e em seguida, clique em Painel de controle .
3. Clique duas vezes em contas de usuário .
4. Clique para selecionar seu nome de usuário.
5. Clique em Redefinir senha .
6. Digite sua senha original na caixa de texto nova senha e, em seguida, digite a senha na caixa de texto Confirmar nova senha . Clique em OK .
7. Reinicie o computador.

Esse comportamento é por design.

O comportamento descrito na seção "Sintomas" deste artigo se aplica somente a usuários que são membros de um domínio Windows NT 4.0 e que faz logon computadores que executam o Windows XP. O comportamento dos clientes Windows XP Professional que são membros de um grupo de trabalho ou de um domínio do Active Directory do Windows 2000 difere significativamente a descrição deste artigo.

Para obter mais informações sobre DPAPI no Windows XP, visite o seguinte site: Para obter mais informações sobre problemas de DPAPI, incluindo perda de acesso a uma chave particular ou arquivos do EFS, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: