Пользователю удается получить доступ к функциональности сертификат после изменения пароля или при использовании перемещаемого профиля

Переводы статьи Переводы статьи
Код статьи: 331333 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Проблема

При попытке использовать функцию сертификат после При использовании перемещаемого профиля, могут быть потеряны или они изменить свой пароль доступ к функциональности данного сертификата. Сертификат функции, которые могут не рабочих до включает в себя следующее:
  • Доступ к файлам, зашифрованные с помощью шифрованной файловой Система (EFS)
  • Доступ к безопасным веб-странице необходим сертификат Проверка подлинности
  • Подпись сообщения электронной почты с протоколы почты Интернета Расширения (S/MIME)
При попытке получить доступ к безопасному веб-узлу, следующее сообщение об ошибке регистрируется:
События Schannel: 36870
Неустранимое Произошла ошибка при попытке получить доступ к закрытому ключу учетных данных клиента SSL. Код ошибки, возвращенной модулем криптографии — 0x80090016.

Причина

Эта проблема возникает только в том случае, если учетная запись пользователя клиента Домен Microsoft Windows NT 4.0 и при входе в систему корпорации Майкрософт Рабочей станции Windows XP Professional. Версия Windows XP данные Функции API (DPAPI) защита предназначено для защиты закрытых ключей EFS и другие данные, которые нужно защитить. Функции восстановления DPAPI для пользователей, являющихся членами доменов, работающих под управлением Microsoft Windows NT 4.0 и более ранних версий.

Решение

Для обеспечения доступа клиентов к функциональности сертификата После пользователи сменить свои пароли или при использовании перемещаемых профилей, обновление домен службы каталогов Active Directory. Active Directory-домены Предоставляет механизм, который помогает защитить главный ключ DPAPI с Пара открытого и закрытого ключей. (Главный ключ DPAPI используется для защиты системы EFS закрытых ключей и других функций на основе сертификата.)

В Windows NT 4.0 домена является возможность восстановить доступ к сертификатов ключей и данных расположенный на рабочей станции. Это не так в Microsoft Windows 2000 домен. Поскольку механизм восстановления расположен не на рабочей станции В доменах Windows 2000 предоставляют значительный дополнительный уровень защиты сертификаты, если физически несанкционированного доступа к рабочей станции.

Несмотря на то что необходимо обновить отдельный контроллер домена для использования преимуществ Механизм восстановления домена DPAPI, рассмотрите возможность обновления по крайней мере два домена контроллеры в целях отказоустойчивости.

Настоятельно рекомендуется Планирование Active Directory перед реализацией. Для получения дополнительных сведения о структуре Active Directory посетите следующий веб-узла корпорации Майкрософт веб-узел:
http://technet.microsoft.com/en-us/library/bb727085.aspx

Временное решение

Чтобы обойти эту проблему, установите пакет обновления для Windows XP 1 (SP1) или более поздней версии на клиентском компьютере, а затем создайте следующее параметр реестра, чтобы эмулировать поведение Windows 2000.

Важные Этот раздел, метод или задача содержит действия, о том, как внести изменения в реестр. Тем не менее при неправильном изменении реестра, могут возникнуть серьезные проблемы. Таким образом Убедитесь, что внимательно выполните следующие действия. Для дополнительной защиты резервную копию реестра перед внесением изменений. Затем при возникновении неполадок можно восстановить реестр. Для получения дополнительных сведений о том, как резервное копирование и восстановление реестра щелкните следующий номер статьи базы знаний Майкрософт:
322756 Резервное копирование и восстановление реестра Windows
Закройте редактор реестра и выполните следующие действия:
  1. Нажмите кнопку Начало, нажмите кнопку Запустить, TYPE regedit, а затем нажмите кнопку ОК.
  2. Найдите и выделите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11 d 1-8c7a-00c04fc297eb
  3. На Редактирование Выберите пункт Новый, а затем нажмите кнопку Значение типа DWORD.
  4. Тип MasterKeyLegacyNt4Domain, и Нажмите клавишу ВВОД.
  5. На Редактирование меню, нажмите кнопку Изменить.
  6. Тип 1, а затем нажмите кнопку ОК.
После создания этой записи клиента будет Определите, является ли пользователь членом домена Windows NT 4.0. Если они член, клиент Windows XP будет эмулировать поведение Windows 2000 и DPAPI дает пользователю возможность измененные пароли доступа к ключам.

Примечание Если решить проблему путем редактирования реестра, то только Измените поведение, описанное в разделе «Проблема», с момента сделать изменения в реестре. Любые изменения паролей, сделанные до не подлежат изменения в реестр и будет по-прежнему получать сообщение об ошибке «Отказано в доступе» при открытии файла EFS.

Последствия для безопасности

Использование данного параметра реестра существенно снижает безопасность физически зараженного компьютера. Злоумышленник, имеющий физический доступ к компьютер может получить доступ к некоторым или всем зашифрованным файлам и любой сертификат закрытые ключи на нем.

Восстановление после изменения пароля доступа к файлам

Чтобы восстановить доступ к функциям сертификатов на физическое рабочей станции после изменения пароля, изменить пароль на пароль который был использован при последней зашифрованных файлов.

Примечание Изменяется только пароль, который используется для входа в систему на компьютере. Они не изменяют пароль в домене.
  1. Войдите в систему как пользователь с текущим пароль.
  2. Нажмите кнопку Начало, а затем нажмите кнопкуПанель управления.
  3. Дважды щелкните значок Учетные записи пользователей.
  4. Выберите имя пользователя.
  5. Нажмите кнопку Сброс пароля.
  6. Введите пароль для исходной Новый Пароль текстовое поле, а затем введите пароль в Подтверждение новый пароль текстовое поле. Нажмите кнопку ОК.
  7. Перезагрузите компьютер.

Статус

Это поведение является особенностью.

Дополнительная информация

Поведение, описанное в разделе «Проблема» Эта статья касается только пользователи, являющиеся членами домена Windows NT 4.0 и кто войти в систему компьютера под управлением Windows XP. Поведение Windows XP Профессиональные клиенты, которые являются членами рабочей группы или Windows 2000 Домен Active Directory значительно отличается от описания в данном в статье.

Для получения дополнительных сведений о DPAPI в Windows XP, посетите следующий веб-узел корпорации Майкрософт:
http://msdn2.Microsoft.com/en-us/library/ms995355.aspx
Для получения дополнительных сведений об устранении неполадок DPAPI проблемы, включая потерю доступа к закрытым ключом или файлов EFS, нажмите кнопку следующий номер статьи базы знаний Майкрософт:
309408Устранение неполадок, связанных с данными Защита от API (DPAPI)

Свойства

Код статьи: 331333 - Последний отзыв: 14 июня 2011 г. - Revision: 3.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows XP Professional
Ключевые слова: 
kbprb kbmt KB331333 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:331333

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com