O algoritmo para a implementação de certificado de cartão inteligente do sistema de arquivos com criptografia (EFS) no Windows Vista pode causar perda de dados

Traduções deste artigo Traduções deste artigo
ID do artigo: 953152 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

A Implementação de certificado de cartão inteligente de sistema de arquivos com criptografia (EFS) no Windows Vista ignora a extensão EKU se a extensão não especificar o EFS. Nessa situação, um certificado pode estar selecionado que não se destina a criptografia de dados. Portanto, dados podem ser perdidos se um agente de recuperação de desastres (DRA) não está configurado ou se o certificado incompatível que anteriormente foi selecionado não é mantido depois que ela expire.

Resolução

Esse hotfix está programado para ser incluído no Windows Server 2008 Service Pack 2 (SP2) e no Windows Vista Service Pack 2 (SP2).

Informações do registro

importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Por isso, certifique-se que você execute essas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756Como fazer backup e restaurar o registro no Windows
Depois de aplicar esse hotfix, você deve fazer as seguintes alterações no Registro:
  1. Inicie o Editor do Registro. Para fazer isso, clique em Iniciar , digite regedit na caixa Iniciar procura e, em seguida, pressione ENTER.
  2. Localize e, em seguida, com o botão direito do rato na seguinte subchave do Registro:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS
  3. Aponte para novo e, em seguida, clique em Valor DWORD .
  4. Digite RequireValidEKU e, em seguida, pressione ENTER.
  5. Clique com o botão direito do mouse RequireValidEKU e, em seguida, clique em Modificar .
  6. Na caixa dados do valor , digite 1 e, em seguida, clique em OK .

    Observação Defina o valor como 1 para exigir um EKU válido.
  7. Feche o Editor do Registro.

Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na seção "Aplica-se a".

Mais Informações

Para suportar logon único (SSO) no Windows Vista para o EFS, o seguinte fluxo decisão é usado para localizar um certificado EFS compatível com o cartão inteligente usado para fazer logon:
  1. Se o certificado de logon tiver o EFS estendido uso da chave (EKU) (OID de "1.3.6.1.4.1.311.10.3.4"), verifique se está utilizável para o EFS e selecione-o como a chave EFS atual.
  2. Enumere os certificados no cartão inteligente. (Você está procurando uma que tenha o EKU de EFS.) Se você encontrar um, verifique se que seja utilizável para o EFS e selecione-o como a chave EFS atual.
  3. Se nenhum certificado tiver EKU EFS, procure um certificado que foi um uso de chave (KU) de CERT_KEY_ENCIPHERMENT_KEY_USAGE ou não KU definido. Se você encontrar um, verifique se que seja utilizável para o EFS e selecione-o como a chave EFS atual.
Se nenhuma dessas etapas gera um certificado compatível com o EFS, o cartão inteligente de logon não pode ser usado para SSO.

anotações
  • Siga estas etapas somente se uma chave EFS atual já não estiver definida.
  • O significado da frase "pode ser usado para o EFS" depende tanto na diretiva e os recursos de certificado/chave. Em resumo, essa frase se refere a uma ou mais das seguintes condições:
    • A chave for especificada para a chave particular ?s certificado tem o sinalizador AT_KEYEXCHANGE.
    • Se o modo de chave em cache do cartão inteligente é especificado na diretiva, a chave particular pode ser usada para derivar a chave armazenada em cache. Isso envolve uma operação de assinatura.
    • Se o modo de chave em cache do cartão inteligente não for especificado na diretiva, a chave deve poder executar uma operação de criptografia/descriptografia RSA.
    • Se forem necessário cartões inteligentes por diretiva, o provedor de chave deve ser do tipo CRYPT_IMPL_REMOVABLE.
    • O tamanho de chave RSA deve ser pelo menos de 1024 bits.
    • Se certificados auto-assinados são desabilitados por diretiva, o certificado deve ser emitido por uma autoridade de certificação.
    Para obter mais informações sobre o EFS, visite o seguinte site:
    http://technet.microsoft.com/en-us/library/cc700811.aspx

Propriedades

ID do artigo: 953152 - Última revisão: terça-feira, 24 de março de 2009 - Revisão: 1.1
A informação contida neste artigo aplica-se a:
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
Palavras-chave: 
kbmt kbexpertiseinter kbfix kbbug kbsurveynew KB953152 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 953152

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com