更改密码后或使用漫游配置文件时,用户无法访问 EFS 加密文件

文章翻译 文章翻译
文章编号: 331333 - 查看本文应用于的产品

重要说明:本文包含有关修改注册表的信息。修改注册表之前,一定要备份注册表,并且一定要知道在发生问题时如何还原注册表。有关如何备份、还原和编辑注册表的信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986 Description of the Microsoft Windows Registry
展开全部 | 关闭全部

本文内容

症状

如果用户使用加密文件系统 (EFS) 将文件加密,在他们更改密码后或者使用漫游配置文件时,可能会失去对 EFS 文件的访问权。只有在客户端用户帐户位于 Microsoft Windows NT 4.0 域中并且该用户登录到基于 Windows XP Professional 的工作站时,才会发生此问题。

原因

Windows XP 版的数据保护 API (DPAPI) 功能可保护 EFS 私钥和其他安全数据。如果用户是 Windows NT 4.0 或更早版本的域中的成员,则不支持他们使用 DPAPI 的恢复功能。

解决方案

如要在更改密码后或使用漫游配置文件时仍可保持对 EFS 文件的访问权,请将该域更新到 Active Directory。Active Directory 域提供了一种安全机制,可使用公钥/私钥对保护 DPAPI 主密钥。(DPAPI 主密钥是用来保护 EFS 私钥的。)

在 Windows NT 4.0 域中,只有在工作站上才能还原对 EFS 密钥和数据的访问权。在 Windows 2000 域中则不是这样。因为恢复机制不在工作站上,所以当工作站实际被挟制时,Windows 2000 域为 EFS 文件提供了更多的有效保护。

尽管您只需要升级单个域控制器就可以利用 DPAPI 域恢复机制,但是出于容错目的,应考虑至少升级两个域控制器。

强烈建议您在实施前对您的 Active Directory 做出计划。有关 Active Directory 设计的更多信息,请访问下面的 Microsoft Web 站点:
http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx

替代方法

警告:“注册表编辑器”使用不当可造成严重问题,这些问题可能需要重新安装操作系统。Microsoft 不保证能够解决因为“注册表编辑器”使用不当而产生的问题。使用“注册表编辑器”需要您自担风险。

若要变通解决此问题,请在客户机工作站上安装 Windows XP Service Pack 1 (SP1) 或更高版本,然后创建以下注册表项以模拟 Windows 2000 行为:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb Value Name: MasterKeyLegacyNt4Domain

数值类型:REG_DWORD
数值:00000001
在您创建此项后,客户机将确定该用户是否 Windows NT 4.0 域的成员。如果是,Windows XP 客户机将模拟 Windows 2000 的行为,并且 DPAPI 将让那些改变了密码的用户能够访问到其密钥。

重要安全说明

使用此注册表项将严重降低被挟制的计算机的安全性。实际接触该计算机的攻击者将可以访问计算机上的部分或全部 EFS 加密文件。

密码更改后恢复文件

若要在更改密码后恢复某一工作站上的文件,请将密码更改为文件最后一次加密时使用的那个密码。

状态

这种现象是设计使然。

更多信息

本文“症状”部分描述的行为仅适用于那些作为 Windows NT 4.0 域成员并登录到运行 Windows XP 计算机的用户。作为工作组或 Windows 2000 Active Directory 域成员的 Windows XP Professional 客户机的行为与本文所述行为有很大差异。

有关 Windows XP 中 DPAPI 的更多信息,请访问下面的 Microsoft Web 站点:
http://msdn2.microsoft.com/en-us/library/ms995355.aspx

属性

文章编号: 331333 - 最后修改: 2007年9月14日 - 修订: 2.2
这篇文章中的信息适用于:
  • Microsoft Windows XP Professional Edition
关键字:?
kbprb KB331333
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com