O algoritmo para a implementação de certificados de smart card de sistema de encriptação de ficheiros (EFS) no Windows Vista poderá perda de dados

Traduções de Artigos Traduções de Artigos
Artigo: 953152 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sintomas

A Implementação de certificados de smart card de encriptação (EFS, ENCRYPTING File System) no Windows Vista ignora a extensão de utilização avançada de chaves se a extensão não especificar o EFS. Nesta situação, um certificado pode ser seleccionado que não se destinam a encriptação de dados. Por conseguinte, dados podem ser perdidos se um desastre agente de recuperação (DRA, Recovery Agent) não está configurada ou se o BIOS não compatível com certificado tiver sido seleccionado anteriormente não é mantido depois de expirar.

Resolução

Esta correcção está agendada para ser incluída no Windows Server 2008 Service Pack 2 (SP2) e com o Windows Vista Service Pack 2 (SP2).

Informações de registo

importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
322756Como efectuar uma cópia de segurança e restaurar o registo no Windows
Depois de aplicar esta correcção, tem de efectuar as seguintes alterações ao registo:
  1. Inicie o Editor de registo. Para o fazer, clique em Iniciar , escreva regedit na caixa Iniciar procura e, em seguida, prima ENTER.
  2. Localize e, em seguida, com o botão direito do rato na seguinte subchave do registo:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS
  3. Aponte para Novo e, em seguida, clique em Valor DWORD (DWORD Value) .
  4. Escreva RequireValidEKU e, em seguida, prima ENTER.
  5. Clique com o botão direito do rato RequireValidEKU e, em seguida, clique em Modificar .
  6. Na caixa dados do valor , escreva 1 e, em seguida, clique em OK .

    Nota Defina o valor como 1 para requerer uma EKU válido.
  7. Saia do Editor de registo.

Ponto Da Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".

Mais Informação

Para suportar single sign-on (SSO) no Windows Vista para o EFS, o seguinte fluxo decisão é utilizado para localizar um certificado EFS compatível com o smart card utilizado para iniciar sessão:
  1. Se o certificado de início de sessão tem o EFS expandido utilização de chaves (EKU) (OID de "1.3.6.1.4.1.311.10.3.4"), verifique se é utilizado para o EFS e, em seguida, seleccione-a como a chave EFS actual.
  2. Enumere os certificados no smart card. (Que está a procurar um que tenha o EKU de EFS.) Se encontrar um, verifique se é utilizado para o EFS e, em seguida, seleccione-a como a chave EFS actual.
  3. Se nenhum certificado tiver EKU EFS, procure um certificado que foi uma utilização de chaves (KU) de CERT_KEY_ENCIPHERMENT_KEY_USAGE ou não KU definido. Se encontrar um, verifique se é utilizado para o EFS e, em seguida, seleccione-a como a chave EFS actual.
Se nenhum destes passos produz um certificado compatível com o EFS, o smart card de início de sessão não pode ser utilizado para SSO.

notas
  • Siga estes passos apenas se uma chave EFS actual já não está definida.
  • O significado da expressão "utilizável para EFS" depende tanto na política e as capacidades de certificados/chave. Em resumo, esta expressão faz referência a um ou mais das seguintes condições:
    • A chave é especificada para a chave privada ?s certificado tem o sinalizador AT_KEYEXCHANGE.
    • Se o modo de chaves em cache do smart card for especificado na política, a chave privada pode ser utilizada para derivar a chave em cache. Isto implica uma operação de assinatura.
    • Se o modo de chaves em cache do smart card não for especificado na política, a chave tem de conseguir efectuar uma operação de encriptação/desencriptação RSA.
    • Se smart cards forem necessários por política, o fornecedor da chave tem de ser do tipo CRYPT_IMPL_REMOVABLE.
    • O tamanho da chave RSA tem de ser, pelo menos, 1024 bits.
    • Se forem desactivados certificados auto-assinados por política, o certificado tem de ser emitido por uma AC.
    Para obter mais informações sobre o sistema de encriptação de ficheiros, visite o seguinte Web site da Microsoft:
    http://technet.microsoft.com/en-us/library/cc700811.aspx

Propriedades

Artigo: 953152 - Última revisão: 24 de março de 2009 - Revisão: 1.1
A informação contida neste artigo aplica-se a:
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
Palavras-chave: 
kbmt kbexpertiseinter kbfix kbbug kbsurveynew KB953152 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 953152

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com