Usuário não pode obter acesso a funcionalidade de certificado após a alteração de senha ou ao usar um perfil móvel

Traduções deste artigo Traduções deste artigo
ID do artigo: 331333 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Quando um usuário tenta usar a funcionalidade de certificado após eles alterarem sua senha ou quando eles usam um perfil móvel, eles poderão perder acesso à funcionalidade certificado. Funcionalidade de certificado que pode não funcionar como antes inclui o seguinte:
  • Acessar arquivos criptografados com o arquivo com criptografia EFS (sistema)
  • Acessando uma página da Web segura que requer autenticação de certificado
  • Assinatura de email com o Secure/Multipurpose Internet Mail (S/MIME) Extensions
Quando tentar acessar um site seguro, a seguinte mensagem de erro é registrada:
Eventos Schannel: 36870
Ocorreu um erro fatal ao tentar acessar a chave particular de credencial do cliente do SSL. O código de erro retornado pelo módulo de criptografia é 0x80090016.

Causa

Esse problema ocorre apenas se a conta de usuário do cliente estiver em um domínio Microsoft Windows NT 4.0 e se estiverem conectados a uma estação de trabalho Microsoft Windows XP Professional. A versão da função DPAPI (Data Protection API) do Windows XP ajuda a proteger chaves particulares do EFS e outros dados que você deseja proteger. A funcionalidade de recuperação do DPAPI não é com suporte para os usuários são membros de domínios que estão executando o Microsoft Windows NT 4.0 e anteriores.

Resolução

Para manter o acesso do cliente ao certificado funcionalidade depois que os usuários alterem suas senhas ou quando usarem perfis móveis, atualizar o domínio para serviço de diretório do Active Directory. Domínios do Active Directory fornecem um mecanismo que ajuda a proteger a chave mestre DPAPI com um par de chaves pública/particular. (A chave de mestre DPAPI é usada para ajudar a proteger EFS chaves particulares e outras funções com base em certificado.)

Em um domínio do Windows NT 4.0, a capacidade de restaurar o acesso às chaves de certificado e os dados está localizada na estação de trabalho. Isso não é o caso em um domínio do Microsoft Windows 2000. Porque o mecanismo de recuperação não está localizado na estação de trabalho, o domínios do Windows 2000 fornecem um nível adicional significativo de proteção para certificados se a estação de trabalho for fisicamente comprometida.

Embora você tenha apenas atualizar um controlador de domínio único para aproveitar o mecanismo de recuperação do domínio DPAPI, considere a atualização de pelo menos dois controladores de domínio para fins de tolerância a falhas.

É altamente recomendável que você planeja seu Active Directory antes de implementá-lo. Para obter mais informações sobre o design do Active Directory, visite o seguinte site:
http://technet.microsoft.com/en-us/library/bb727085.aspx

Como Contornar

Para contornar esse problema, instale o Windows XP Service Pack 1 (SP1) ou posterior na estação de trabalho cliente e crie a seguinte entrada do Registro para emular o comportamento do Windows 2000.

importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Por isso, certifique-se que você execute essas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756Como fazer backup e restaurar o registro no Windows
Siga estas etapas e feche o Editor do Registro:
  1. Clique em Iniciar , clique em Executar , digite regedit e, em seguida, clique em OK .
  2. Localize e, em seguida, clique na seguinte chave no Registro:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
  3. No menu Editar , aponte para novo e, em seguida, clique em valor DWORD .
  4. Digite MasterKeyLegacyNt4Domain e, em seguida, pressione ENTER.
  5. No menu Editar , clique em Modificar .
  6. Digite 1 e, em seguida, clique em OK .
Depois de criar esta entrada, o cliente irá determinar se o usuário é um membro de um domínio Windows NT 4.0. Se estiverem um membro, o cliente Windows XP irá emular o comportamento do Windows 2000 e DPAPI oferece aos usuários com senhas alteradas acesso às suas chaves.

Observação Se você solucionar esse problema editando o registro, você só alterar o comportamento descrito na seção Sintomas do momento em que você fizer a alteração no registro. Quaisquer alterações de senha que foram feitas antes da alteração no Registro não ser desfeita e você ainda receberá uma mensagem de erro "acesso negado" quando você abrir o arquivo do EFS.

Implicações de segurança importantes

Usar essa entrada do Registro substancialmente reduz a segurança de um computador fisicamente comprometido. Um invasor com acesso físico ao computador poderá acessar alguns ou todos os arquivos criptografados com EFS e qualquer certificado chaves particulares sobre ele.

Recuperar acesso aos arquivos após uma alteração de senha

Para obter novamente acesso à funcionalidade certificado em uma estação de trabalho individual após uma alteração de senha, altere a senha novamente para a senha que foi usada quando os arquivos foram criptografados por último.

Observação Estas etapas só alteram a senha que você usa para fazer logon no seu computador. Eles não alteram sua senha de domínio.
  1. Fazer logon no computador como usuário com a senha atual.
  2. Clique em Iniciar e em seguida, clique em Painel de controle .
  3. Clique duas vezes em contas de usuário .
  4. Clique para selecionar seu nome de usuário.
  5. Clique em Redefinir senha .
  6. Digite sua senha original na caixa de texto nova senha e, em seguida, digite a senha na caixa de texto Confirmar nova senha . Clique em OK .
  7. Reinicie o computador.

Situação

Esse comportamento é por design.

Mais Informações

O comportamento descrito na seção "Sintomas" deste artigo se aplica somente a usuários que são membros de um domínio Windows NT 4.0 e que faz logon computadores que executam o Windows XP. O comportamento dos clientes Windows XP Professional que são membros de um grupo de trabalho ou de um domínio do Active Directory do Windows 2000 difere significativamente a descrição deste artigo.

Para obter mais informações sobre DPAPI no Windows XP, visite o seguinte site:
http://msdn2.microsoft.com/en-us/library/ms995355.aspx
Para obter mais informações sobre problemas de DPAPI, incluindo perda de acesso a uma chave particular ou arquivos do EFS, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
309408Solução de problemas do Data Protection API (DPAPI)

Propriedades

ID do artigo: 331333 - Última revisão: sexta-feira, 14 de setembro de 2007 - Revisão: 4.6
A informação contida neste artigo aplica-se a:
  • Microsoft Windows XP Professional
Palavras-chave: 
kbmt kbprb KB331333 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 331333

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com