كيفية استكشاف الأخطاء وإصلاحها في حماية البيانات API (DPAPI)

ملخص

يساعد حماية البيانات API (DPAPI) على حماية البيانات في Windows 2000 وأنظمة التشغيل الأحدث. يتم استخدام DPAPI للمساعدة في حماية بيانات الاعتماد المخزنة (في نظام التشغيل Windows XP والإصدارات الأحدث) والمفاتيح الخاصة أن نظام التشغيل أو برنامج تريد الاحتفاظ بسرية المعلومات السرية الأخرى.

لا تعتبر مسؤولة عن تخزين معلومات سرية وهو يحمي DPAPI. ومسؤول فقط لتشفير وفك تشفير البيانات الخاصة بالبرامج التي يطلق عليه، مثل إدارة بيانات اعتماد Windows أو إليه تخزين المفتاح الخاص أو أي برامج الجهات الأخرى التي تستدعي الدالة CryptProtectData() والداله CryptUnprotectData() في Windows 2000، نظام التشغيل Windows XP، أو في وقت لاحق.

ملاحظة: هذه الوظيفة يختلف عن الوظيفة التي توفرها مخزن Windows المحمية (مخزن P) في نظام التشغيل Windows NT 4.0. مخزن P مسؤولة عن حماية وتخزين معلومات سرية. يقدم DPAPI أية قدرات التخزين.
توضح هذه المقالة كيف DPAPI حماية البيانات على مستوى أساسي. ويتضمن أيضا معلومات تتعلق باستكشاف الأخطاء وإصلاحها فقدان إمكانية الوصول إلى البيانات المحمية DPAPI في سيناريوهات مختلفة.

لمزيد من المعلومات حول كيفية عمل DPAPI، قم بزيارة موقع Microsoft التالي على الويب:تتضمن هذه المقالة الموضوعات التالية:

مزيد من المعلومات

هام: لاستكشاف وفقدان البيانات DPAPI، يجب جمع المعلومات التالية:
  • كيف يعمل DPAPI في بيئة أمنية معينة بما في ذلك إصدار محطة العمل المحلية؟
  • يتم ربط محطة العمل بمجال؟
  • هل كان المستخدم عضوا المجال؟
  • ما هو إصدار نظام التشغيل الذي يستضيف المجال؟

تحدث مشكلات مع DPAPI عند استخدام DPAPI في مجال Windows NT 4.0. راجع قسم "المشكلات المعروفة" لاحقاً في هذه المقالة للحصول على مزيد من المعلومات.

يتم استخدام DPAPI أساسا بميزات الأمان لنظام التشغيل للمساعدة في حماية البيانات نيابة عن المستخدم. بالإضافة إلى ذلك، أي برنامج جهة خارجية استخدام DPAPI للمساعدة في حماية بيانات المستخدم بشكل أمن.

ما الذي يمكن أن تحمي DPAPI

يساعد DPAPI حماية العناصر التالية:
  • بيانات اعتماد صفحة ويب (على سبيل المثال، كلمات المرور)
  • بيانات اعتماد مشاركة الملفات
  • المفاتيح الخاصة المقترنة بنظام تشفير الملفات (EFS) S/MIME وشهادات أخرى
  • بيانات البرنامج محمي باستخدام الدالة CryptProtectData()

على سبيل المثال: الشهادات والمفاتيح الخاصة

يصف هذا القسم الفرق بين البيانات الشخصية ومعلومات سرية حماية DPAPI. تصف القائمة التالية موضع البيانات أثناء عملية استيراد شهادة وهو وصف المفتاح الخاص المقترن بالشهادة للمخزن الشخصي للمستخدم:
  • الشهادة المشفرة ككائن ثنائي كبير وتخزينها كقيمة ثنائية في موقع الملفات التالية:
    %Userprofile%\Application Data\Microsoft\SystemCertificates\My\Certificates
  • لاحظ أن موقع مفتاح التسجيل في التشكيل الجانبي للمستخدم المحلي. هذا الوضع يجعل من المستخدم تسجيل الدخول بالوصول إلى الشهادات الخاصة بهم في الحالات النموذجية.
  • الشهادات لا يحمي DPAPI بأي آليات Windows الافتراضي. يتم استخدام قائمة التحكم بالوصول (ACL) لتحديد الذين قد يتم تحميل خلية للمستخدم والذي قد قراءة الشهادات المخزنة في الخلية.
  • تم تشفيرها بواسطة DPAPI المفتاح الخاص المقترن بالشهادة وحفظ (في نموذج مشفر) في حاوية مفاتيح كملف منفصل في التشكيل الجانبي للمستخدم في المجلدات التالية:
    • لمفاتيح RSA:
      Data\Microsoft\Crypto\RSA\ %Userprofile%\Applicationمعرف أمان المستخدم
    • لمفاتيح DSA:
      Data\Microsoft\Crypto\DSA\ %Userprofile%\Applicationمعرف أمان المستخدم
العودة إلى أعلى

كيفية عمل DPAPI

ملاحظة: لقد تم تبسيط المصطلحات والمفاهيم الموضحة في هذا القسم لأغراض الوضوح في سياق هذه المادة. لقد تم حذف بعض مستوى من التفاصيل. على سبيل المثال، توضح هذه المقالة قيمة مشتق من المرور كلمة، ولكن لم يتم توضيح تفاصيل الخوارزمية المستخدمة لاشتقاق القيمة. للحصول على وصف تفصيلي لكيفية عمل DPAPI، عرض الورقة البيضاء حماية البيانات في Windows. لعرض هذا المستند، قم بزيارة موقع Microsoft التالي على الويب:DPAPI هي دالة المستخدمة من قبل مختلف مكونات نظام التشغيل والبرامج للمساعدة في حماية البيانات الخاصة بمستخدم. العملية DPAPI غير مرئية للمستخدم. يساعد DPAPI حماية البيانات في سياق الأمان للمستخدم الذي قام بتشغيل البرنامج.

DPAPI حماية المعلومات السرية عن طريق استخدام بيانات القيمة مشتق من اسم مفتاح رئيسي رقم 512 بت عشوائية زائفة. استخدام وحدات التحكم بالمجال Windows Server 2003 مفتاح RSA 2048 بت عند تشغيل في وضع Windows Server 2003 أو مستوى عمل المجال 2 المجال فقط. كل حساب مستخدم واحد أو أكثر إنشاء المفاتيح الرئيسية بشكل عشوائي. يعتمد عدد المفاتيح الرئيسية على عمر التشكيل الجانبي للمستخدم. يتم تجديد مفاتيح رئيسية على فترات منتظمة. بشكل افتراضي، تكون هذه القيمة كل 90 يوما.

مفاتيح رئيسية تحتوي على البيانات المطلوبة لفك تشفير المعلومات السرية على كافة المستخدمين، يجب حماية المفاتيح الرئيسية. أنها محمية باستخدام قيمة مشتق من المرور كلمة. كلمة المرور هو قيمة فريدة يعرف مستخدم فقط. لأنه يتم تشفير المفتاح الرئيسي فعلياً استخدام قيمة مشتق من المرور كلمة، يتم استخدام هذه القيمة التبادل مع المرور كلمة في وصف المعروضة في هذه المقالة.

العودة إلى أعلى

DPAPI الاعتبارات البيئية

يصف هذا القسم التكوينات البيئية التي تؤثر على سلوك الحماية DPAPI.

تشكيلات جانبية إلزامية و DPAPI

تشكيلات جانبية إلزامية ملفات القراءة فقط. يتم حفظ لا التحديثات التي يتم إجراؤها على النسخة المحلية من التشكيل الجانبي الإلزامي. على سبيل المثال، يتم حظر إنشاء مفتاح في التشكيل جانبي إلزامي. DPAPI يخزن المفتاح الرئيسي في النسخة المحلية من ملف تعريف بشكل منتظم بإنشاء مفاتيح رئيسية جديدة وتحديث التشفير على المعلومات السرية المحمية باستخدام مفتاح رئيسي جديد.

لأن هذين الشرطين غير متوافقة، لا تعمل البرامج التي تعتمد على DPAPI للمساعدة في حماية المعلومات السرية بشكل صحيح مع التشكيلات الجانبية الإلزامية. تتضمن البرامج التي تساعد على حماية المعلومات السرية بواسطة DPAPI التي لا تعمل بشكل صحيح مع التشكيلات الجانبية الإلزامية EFS (المفاتيح الخاصة)، الشهادات باستخدام مفاتيح خاصة (المفاتيح الخاصة)، وتخزين بيانات الاعتماد في نظام التشغيل Windows XP والإصدارات الأحدث (وثائق التفويض). لا يتم اعتماد التكوينات التي تستخدم هذه أنواع البيانات أو البرامج.

العودة إلى أعلى

التشكيلات الجانبية المتجولة و DPAPI

DPAPI يعمل كما هو متوقع مع التشكيلات الجانبية المتجولة للمستخدمين وأجهزة الكمبيوتر المرتبطة بمجال خدمة دليل "Active Directory". يتصرف DPAPI البيانات التي تم تخزينها في ملف تعريف تماما مثل أي إعداد أو ملف تم تخزينه في ملف تعريف متجول. معلومات سرية DPAPI بحماية يتم تحميلها إلى موقع التشكيل الجانبي المركزي أثناء عملية تسجيل الخروج وتم تنزيلها من موقع التشكيل الجانبي المركزي عند تسجيل دخول مستخدم.

النسبة DPAPI تعمل بشكل صحيح عندما يستخدم التشكيلات الجانبية المتجولة، مستخدم المجال يجب أن فقط يمكن تسجيل الدخول على جهاز كمبيوتر واحد في المجال. إذا أراد المستخدم لتسجيل الدخول إلى كمبيوتر آخر في المجال، المستخدم يجب تسجيل الخروج من الكمبيوتر الأول قبل تسجيل دخول مستخدم إلى الكمبيوتر الثاني. في حالة تسجيل المستخدم الدخول إلى أجهزة كمبيوتر متعددة في نفس الوقت، فمن المحتمل أن DPAPI لن قادراً على فك تشفير البيانات المشفرة الموجودة بشكل صحيح.

يمكن فك تشفير DPAPI على كمبيوتر المفتاح الرئيسي (والبيانات) على كمبيوتر آخر. يتم توفير هذه الوظيفة عن طريق متناسقة كلمة المرور المستخدم التي تم تخزينها ويتم التحقق من قبل وحدة تحكم المجال. في حالة حدوث انقطاع غير متوقعة من عملية نموذجية، DPAPI استخدام العملية الموضحة في القسم "إعادة تعيين كلمة المرور" لاحقاً في هذه المقالة.




يوجد تحديد الحالي باستخدام التشكيلات الجانبية المتجولة بين أجهزة الكمبيوتر المستندة إلى Windows Server 2003 أو نظام التشغيل Windows xp وأجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows 2000. إذا كان يتم إنشاء مفاتيح أو استيرادها على جهاز كمبيوتر يستند إلى نظام التشغيل Windows XP أو Windows Server 2003-تعتمد وثم تخزينها في ملف تعريف متجول، DPAPI يتعذر فك تشفير هذه المفاتيح على جهاز كمبيوتر يستند إلى نظام التشغيل Windows 2000 إذا قمت بتسجيل الدخول باستخدام ملف تعريف مستخدم متجول. ومع ذلك، جهاز كمبيوتر يستند إلى نظام التشغيل Windows XP أو Windows Server 2003 تعتمد يمكن فك تشفير المفاتيح التي تم إنشاؤها على كمبيوتر يستند إلى نظام التشغيل Windows 2000.

العودة إلى أعلى

DPAPI وتغيير كلمة المرور

من المتوقع المستخدمين في بيئة أمنية محسنة لتغيير كلمات المرور الخاصة بهم على فترات منتظمة. وكنتيجة لذلك، يجب أن تكون DPAPI قادرة على الحفاظ على نفس مستوى الوصول إلى المستخدم حماية البيانات بعد تغيير كلمة المرور. يتم استخدام الأساليب التالية لتغيير كلمات مرور المستخدمين في بيئة Windows:
تغيير كلمة المرور
في هذا الأسلوب، هناك استمرارية للوصول إلى المفاتيح الرئيسية للمستخدم أثناء تغيير كلمة مرور. يتم استدعاء DPAPI بالمكون Winlogon أثناء عمليات تغيير كلمة المرور في مجال "Active Directory":
  • DPAPI إشعارا من Winlogon أثناء عملية تغيير كلمة مرور.
  • DPAPI فك تشفير كافة المفاتيح الرئيسية التي تم تشفيرها باستخدام كلمات مرور المستخدم القديم.
  • DPAPI إعادة تشفير كافة المفاتيح الرئيسية باستخدام المرور كلمة الجديدة.
إعادة تعيين كلمة المرور (مجموعة)
في هذا الأسلوب، مسؤول قسراً بإعادة تعيين كلمة مرور مستخدم. إعادة تعيين كلمة مرور أكثر تعقيداً من تغيير كلمة مرور. أن لم يتم تسجيل الدخول كالمستخدم المسؤول ولم يكن الوصول إلى المرور كلمة القديمة، لا يمكن استخدام كلمة المرور القديمة لفك تشفير المفتاح الرئيسي القديم وإعادة تشفير باستخدام كلمة المرور الجديدة.

في جميع حالات إعادة تعيين كلمة المرور، إذا كان للمستخدم تغيير كلمة المرور مرة أخرى إلى آخر كلمة المرور قبل تم إعادة تعيين، ويتم استعادة الوصول إلى المفتاح الرئيسي، وكنتيجة لذلك، يتم استعادة الوصول إلى المعلومات السرية من حماية. يحدث هذا السلوك لأن المفاتيح الرئيسية يتم حذف ابدأ، حتى عندما لا يمكن فك تشفير. ومع ذلك، قد يكون هذا حلاً لا يمكن الاعتماد عليها لأنه لا يمكنك أن تتوقع المستخدم ليتمكن من تذكر كلمة المرور القديمة دائماً. على سبيل المثال، المرور كلمة قد تمت إعادة تعيين لأنه نسي المستخدم كلمة المرور هذه.

تعتمد طريقة DPAPI إلى حل مشكلة إعادة تعيين كلمة المرور على الوضع الأمني حيث تم مصادقة المستخدم.

إعادة تعيين كلمة المرور: مستخدمي المجال في نظام التشغيل Windows 2000 أو الأحدث في مجال

عند استخدام DPAPI في بيئة مجال "Active Directory"، يتم إنشاء نسختين من المفتاح الرئيسي وتحديث عند تنفيذ عملية على المفتاح الرئيسي. النسخة الأولى محمي بكلمة مرور المستخدم كما هو موضح سابقا في هذه المقالة. يتم تشفير النسخة الثانية باستخدام مفتاح عمومي المقترن بوحدات تحكم المجال في المجال. المفتاح الخاص المقترن بالمفتاح العمومي هذا معروف لدى الجميع من نظام التشغيل Windows 2000 ووحدات تحكم المجال لاحقاً. استخدام وحدات تحكم مجال Windows 2000 مفتاح متماثل لتشفير وفك تشفير النسخة الثانية من المفتاح الرئيسي.

إذا تم إعادة تعيين كلمة مرور المستخدم ويتم تقديم المفتاح الرئيسي الأصلي غير قابلة للوصول للمستخدم، يتم تلقائياً استعادة للمستخدم حق الوصول إلى المفتاح الرئيسي استخدام المفتاح الرئيسي النسخ الاحتياطي في العملية التالية:
  • محطة العمل يرسل المفتاح الرئيسي النسخ الاحتياطي المشفر لنظام التشغيل Windows 2000 أو الأحدث من وحدة تحكم المجال عبر RPC محمية.
  • وحدة تحكم المجال يستخدم المفتاح الخاص لفك تشفير المفتاح الرئيسي للمستخدم.
  • إرجاع وحدة تحكم المجال دون تشفير المفتاح الرئيسي لمحطة العمل.
  • محطة العمل إعادة تشفير المفتاح الرئيسي باستخدام المرور كلمة الجديدة.
إعادة تعيين كلمة المرور: مجال Windows NT 4.0

لا توصي Microsoft باستخدام DPAPI تمكين ميزات (على سبيل المثال، EFS أو المفتاح الخاص التخزين) للمستخدمين في مجال Windows NT 4.0. راجع قسم "المشكلات المعروفة" من هذه المقالة للحصول على مزيد من المعلومات.

بعد إعادة تعيين كلمة مرور، كمبيوتر عميل يستند إلى نظام التشغيل Windows 2000 استعادة وصول المستخدم إلى المعلومات السرية المحمية DPAPI تلقائياً باستخدام المفتاح الرئيسي النسخ الاحتياطي في نفس الشكل الذي يظهر إذا كان المستخدم في مجموعة العمل. راجع المقطع "كلمة مرور إعادة تعيين: Windows 2000 محطة العمل في مجموعة العمل" في هذه المقالة لمزيد من المعلومات حول هذا الإجراء والمعلومات حول المخاطر الأمنية.

لا يحتفظ نظام التشغيل Windows XP في مجال Windows NT 4.0 نسخة احتياطية من المفتاح الرئيسي. لمزيد من المعلومات، راجع قسم "المشكلات المعروفة" في هذه المقالة

إعادة تعيين كلمة المرور: 2000 محطة عمل Windows في مجموعة العمل

إذا كنت تستخدم DPAPI على كمبيوتر مستقل, يتم إنشاء نسختين من المفتاح الرئيسي وتحديث عند تنفيذ عملية على المفتاح الرئيسي. النسخة الأولى محمي بكلمة مرور المستخدم كما هو موضح سابقا في هذه المقالة. يتم تشفير النسخة الثانية بقيمة سرية تعرف فقط لحساب الكمبيوتر المحلي.

بعد أن تم إعادة فرض تعيين كلمة مرور المستخدم والمستخدم بتسجيل الدخول باستخدام كلمة المرور الجديدة، يفك تشفير الكمبيوتر نسخة المفتاح الرئيسي Windows 2000 تلقائياً وإعادة تشفير بالقيمة مشتق من كلمة المرور الجديدة للمستخدم. من وجهة المستخدم، يتم المستخدم الوصول إلى معلومات سرية محمي بواسطة DPAPI تماما دون انقطاع.

هام: قد يؤثر هذا السلوك على الأمان. تنصح Microsoft استخدام DPAPI في تكوين افتراضي كما يلي. توصي Microsoft باستخدام إحدى الطرق التالية لنظام التشغيل Windows 2000 أجهزة الكمبيوتر المستقلة التي تحتوي على بيانات هامة يمكن أن يتعرض فعلياً:
  • الترقية إلى نظام التشغيل Windows XP
  • استخدام وضع سيسكي 2 أو 3 على كمبيوتر محمول يستند إلى نظام التشغيل Windows 2000

  • للحصول على معلومات إضافية حول سيسكي، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
    يسمح مفتاح النظام في نظام التشغيل Windows NT 143475 تشفير قوي ل SAM
إعادة تعيين كلمة المرور: Windows XP محطة العمل في مجموعة العمل

بشكل افتراضي، نظام التشغيل Window XP لا إنشاء نسخ احتياطية من المفتاح الرئيسي. تقوم بذلك للمساعدة في منع هجوم حاليا ذاكرة التخزين المؤقت للمفتاح الرئيسي. في نظام التشغيل Windows XP، يمكنك إنشاء قرص إعادة تعيين كلمة مرور حيث أن المستخدم قد استرداد كلمة المرور إذا كانت نسيتها. إذا كنت تستخدم Windows XP Service Pack 1 (SP1) أو الإصدار الأحدث، يمكنك تكوين السجل حتى ذلك يحتفظ Windows بإنشاء نسخة احتياطية من المفتاح الرئيسي.
للحصول على معلومات إضافية حول تأثيرات تغيير كلمة المرور قسراً والاسترداد المحتملة، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

290260 EFS وبيانات الاعتماد والمفاتيح الخاصة من الشهادات غير متوفرة بعد إعادة تعيين كلمة مرور

أقراص إعادة تعيين كلمة المرور

أقراص إعادة تعيين كلمة المرور متوفرة فقط على أجهزة الكمبيوتر المستندة إلى أحدث المنضمة إلى مجموعات العمل أو نظام التشغيل Windows XP. استرداد كلمة المرور تصاريح القرص لاستعادة الوصول إلى حساباتهم وجميع المعلومات السرية التي محمي بواسطة DPAPI في التشكيل الجانبي للمستخدم.

للحصول على معلومات إضافية حول كلمة المرور قرص إعادة تعيين، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

انتهاء صلاحية كيفية تسجيل الدخول إلى نظام التشغيل Windows XP في حالة نسيان كلمة المرور الخاصة بك أو 321305

العودة إلى أعلى

المشكلات المعروفة

لا يمكنك الوصول إلى معلومات سرية DPAPI في مجال Windows NT 4.0

هام: تنصح Microsoft استخدام DPAPI في بيئة مجال Windows NT 4.0.

في مجال Windows NT 4.0، نظام التشغيل Windows XP بإنشاء نسخة احتياطية من المفتاح الرئيسي المستخدم لا. هذا هو السلوك الافتراضي. في حالة تغيير أو إعادة تعيين كلمة المرور، قد رفض المستخدم الوصول إلى المعلومات السرية الموجودة في التشكيل الجانبي. يتم استعادة الوصول فقط عندما يقوم المستخدم بتغيير كلمة المرور إلى كلمة المرور جيدة معروفة الأخير.

تتضمن الأسباب الأكثر شيوعاً لمشاكل DPAPI في مجال Windows NT 4.0 التشكيلات الجانبية المتجولة أو إعادة تعيين كلمة المرور. تحدث مشكلات مع التشكيلات الجانبية المتجولة إذا قام المستخدم بتغيير كلمة المرور الخاصة بهم مؤخرا. تبعاً لمختلف العوامل التي قد تقاطع النموذجية عمليات التشكيل الجانبي للمستخدم المتجول، الشخصية التي قام المستخدم بتسجيل الدخول إلى قد لم يتم تحديث باستخدام كلمة المرور الجديدة (تشفير المفتاح الرئيسي).


لحل هذه المشكلة، قم بتثبيت وحدة تحكم مجال Windows 2000 أو Windows Server 2003 في مجال المستخدم. DPAPI تلقائياً في العثور على وحدة تحكم المجال هذه لإجراء نسخ احتياطي واستعادة عمليات باستخدام زوج المفاتيح العامة/الخاصة DPAPI وحدة تحكم المجال.

إذا كنت تستخدم Windows SP1 وفيما بعد، يمكنك فرض DPAPI عمل نسخ احتياطية محلية من المفتاح الرئيسي أثناء المنضمة إلى مجال Windows NT4. ومع ذلك، لا تنصح Microsoft هذا الإجراء لأنه يؤثر على أمان الكمبيوتر الذي يتم تطبيق التغيير.

للحصول على معلومات إضافية، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":

331333 المستخدم لا يمكن الوصول إلى ملفات EFS المشفرة بعد تغيير كلمة المرور أو عند استخدام تشكيل جانبي متجول

العودة إلى أعلى

لا يمكنك الوصول إلى معلومات سرية DPAPI بعد إعادة تثبيت Windows على كمبيوتر مستقل

وفقا للتصميم، لا يمكن الوصول إلى معلومات سرية DPAPI بعد تثبيت Windows على كمبيوتر مستقل. يتم إتلاف مثيل المستخدم الذي كان موجوداً في النسخة الأصلية من Windows بعد إعادة تثبيت نظام التشغيل دون ترقية. يحتوي أي مستخدم جديد تم إنشاؤه باستخدام نفس اسم أساس أمان مختلفة في قاعدة بيانات أمان مختلفة. لم يتم الوصول إلى فك تشفير معلومات سرية DPAPI المستخدم الأصلي المستخدم الجديد. لا يمكن للمستخدم الوصول الخاصة بها معلومات سرية باستخدام المفتاح الرئيسي المستخدم.

حماية نسخة Windows الأصلية نسخة المفتاح الرئيسي بسرية البيانات التي تعرف فقط على هذه النسخة من Windows. إذا قمت باستبدال نظام التشغيل، لا يمكن الوصول إلى هذه البيانات السرية. لا يمكن للمستخدم الوصول الخاصة بها معلومات سرية باستخدام المفتاح الرئيسي النسخ الاحتياطي.

العودة إلى أعلى

لا يمكنك إضافة أو الوصول إلى معلومات سرية DPAPI مع التشكيلات الجانبية الإلزامية

وفقا للتصميم، نظام التشغيل Windows 2000 و Windows XP لا تسمح لك بكتابة النسخة المحلية من التشكيل الجانبي الإلزامي سبب حفظ البيانات بعد الدورة الأولى. وكنتيجة لذلك، DPAPI لا تخزين مفاتيح رئيسية جديدة أو تحديث المفاتيح الرئيسية على تغيير كلمة المرور أو إضافة البيانات المحمية إلى تشكيل جانبي إلزامي.

لا يمكنك الوصول إلى معلومات سرية DPAPI بعد الانضمام إليها أو قطع انضمام مجال

إذا انضموا كمبيوتر مستقل إلى مجال وفقدت الوصول إلى البيانات DPAPI، يمكنك استعادة الوصول بتسجيل الدخول كمستخدم محلي. لتسجيل الدخول كمستخدم محلي على جهاز كمبيوتر متصل بمجال، انقر فوق اسم الكمبيوتر المحلي في مربع القائمة المنسدلة في مربع حوار تسجيل الدخول ، وقم بإدخال اسم مستخدم محلي وكلمة المرور.

إذا كان لديك إلغاء انضمام كمبيوتر من مجال، يجب الانضمام إلى المجال وقم بتسجيل الدخول كمستخدم مجال نفس لاستعادة الوصول إلى الملفات الخاصة بك.

العودة إلى أعلى

المبادئ التوجيهية وأفضل الممارسات

  • توصي Microsoft باستخدام كلمات مرور قوية. استخدام كلمة مرور معقدة أصعب يمكنك تذكرها بشكل يعتمد عليه. ملاحظة: عوامل تصفية كلمة المرور حاليا لا تدعمها DPAPI.
  • تصدير واحتياطي أهمية الشهادات والمفاتيح الخاصة إلى مكان أمن.
العودة إلى أعلى
خصائص

رقم الموضوع: 309408 - آخر مراجعة: 18‏/01‏/2017 - المراجعة: 1

تعليقات