Der Algorithmus für die Implementierung (ENCRYPTING File System) Smartcard-Zertifikat in Windows Vista möglicherweise Datenverlust führen.

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 953152 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Die Verschlüsselnden Dateisystem (Encrypting File System, EFS) Smartcard-Zertifikatsimplementierung in Windows Vista ignoriert der erweiterte Schlüsselverwendung-Erweiterungs, wenn die Erweiterung EFS nicht angegeben wird. In diesem Fall kann ein Zertifikat ausgewählt werden, das nicht für die Datenverschlüsselung vorgesehen ist. Daher können Daten verloren wenn eine Disaster Recovery Agent (DRA) nicht konfiguriert ist oder wenn nicht beibehalten, das nicht richtlinienkonforme Zertifikat, das zuvor ausgewählt wurde nach Ablauf.

Lösung

Dieser Hotfix wird mit Windows Server 2008 Service Pack 2 (SP2) und Windows Vista Service Pack 2 (SP2) enthalten sein.

Informationen zur Registrierung

wichtig In diesem Abschnitt, Methode oder Aufgabe enthält Hinweise zum Ändern der Registrierung. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig ausführen. Für zusätzlichen Schutz sichern Sie der Registrierung, bevor Sie ihn ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756Zum Sichern und Wiederherstellen der Registrierung in Windows
Nachdem Sie diesen Hotfix angewendet haben, müssen Sie die folgenden Änderungen an der Registrierung vornehmen:
  1. Starten Sie den Registrierungseditor. Dazu klicken Sie auf Start , geben Sie Regedit im Feld Suche starten und dann die EINGABETASTE.
  2. Suchen, und klicken Sie wird mit den folgenden Unterschlüssel der Registrierung der rechten Maustaste:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS
  3. Zeigen Sie auf neu , und klicken Sie dann auf DWORD-Wert .
  4. Geben Sie RequireValidEKU , und drücken Sie anschließend die [EINGABETASTE].
  5. Klicken Sie mit der rechten Maustaste auf RequireValidEKU , und klicken Sie dann auf Ändern .
  6. Geben Sie in das Feld Wertdaten 1 ein, und klicken Sie dann auf OK .

    Hinweis: Setzen Sie den Wert auf 1 gültig als erforderlich.
  7. Beenden Sie den Registrierungs-Editor.

Status

Microsoft hat bestätigt, dass dies ein Problem in Microsoft-Produkten handelt, die im Abschnitt "Gilt für" aufgeführt sind.

Weitere Informationen

Um einmaliges Anmelden (SSO) in Windows Vista für EFS zu unterstützen, wird der folgende Ablauf Entscheidung verwendet, um ein EFS-kompatibles Zertifikat auf der Smartcard gefunden, die zum Anmelden verwendet wird:
  1. Wenn das Anmeldung Zertifikat das EFS erweiterte Schlüsselverwendung (EKU) (OID des "1.3.6.1.4.1.311.10.3.4") verfügt, stellen Sie sicher, dass für EFS verwendbar ist, und wählen Sie dann als den aktuellen EFS-Schlüssel.
  2. Auflisten der Zertifikate auf der Smartcard. (Sie sind für eine suchen, die EFS als verfügt.) Wenn Sie eine finden, stellen Sie sicher, dass für EFS verwendbar ist, und wählen Sie es als den aktuellen EFS-Schlüssel.
  3. Besitzt kein Zertifikat EFS als, Suchen nach ein Zertifikat mit entweder ein Schlüssel-Verwendung (KU) des CERT_KEY_ENCIPHERMENT_KEY_USAGE, oder keine KU definiert. Wenn Sie eine finden, stellen Sie sicher, dass für EFS verwendbar ist, und wählen Sie es als den aktuellen EFS-Schlüssel.
Wenn keines folgendermaßen ein EFS-kompatibles Zertifikat ergibt, kann die Smartcard-Anmeldung für SSO verwendet werden.

Notizen
  • Gehen Sie folgendermaßen vor nur, wenn ein aktuelle EFS-Schlüssel nicht bereits definiert ist.
  • Die Bedeutung des Ausdrucks "verwendbar für EFS" hängt sowohl als Richtlinie und die Zertifikat-Schlüssel-Funktionen ab. Zusammenfassend bezieht sich auf eine oder mehrere der folgenden Bedingungen diesem Satz:
    • Der Schlüssel, der für ?s privaten Zertifikatschlüssel AT_KEYEXCHANGE-Flag angegeben ist.
    • Wenn der Schlüssel Smartcard-Cachemodus in der Richtlinie angegeben ist, kann der private Schlüssel zum Ableiten des zwischengespeicherten Schlüssels verwendet werden. Dies umfasst ein Signaturvorgang.
    • Wenn der Schlüssel Smartcard-Cachemodus nicht in der Richtlinie angegeben ist, muss der Schlüssel einen RSA-Verschlüsselung/Entschlüsselung-Vorgang ausführen können.
    • Wenn Smartcards für Richtlinien erforderlich sind, muss der wichtige Anbieter des Typs CRYPT_IMPL_REMOVABLE sein.
    • Die RSA-Schlüssel-Größe muss mindestens 1024 Bits sein.
    • Wenn selbst signierte Zertifikate durch die Richtlinie deaktiviert sind, muss das Zertifikat von einer ZERTIFIZIERUNGSSTELLE ausgestellt.
    Weitere Informationen über das verschlüsselnde Dateisystem die folgenden Microsoft-Website:
    http://technet.microsoft.com/en-us/library/cc700811.aspx

Eigenschaften

Artikel-ID: 953152 - Geändert am: Dienstag, 24. März 2009 - Version: 1.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
Keywords: 
kbmt kbexpertiseinter kbfix kbbug kbsurveynew KB953152 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 953152
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com