كيفية استكشاف الأخطاء وإصلاحها في حماية البيانات API (DPAPI)

انتهاء دعم نظام التشغيل Windows XP

لقد أنهت شركة Microsoft دعم Windows XP في 8 أبريل، 2014. وقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

انتهي دعم Windows Server 2003 في 14 يوليو 2015!

أنهت شركة Microsoft دعم نظام التشغيل Windows Server 2003 في 14 يوليو 2015. لقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

هام: تمت ترجمة هذه المقالة باستخدام برامج مايكروسوفت للترجمة الآلية ومن المحتمل ان يتم تحريرها او تدقيقها بعد ذلك من خلال تكنولوجيا منصة مجموعات الترجمة(CTF) او من خلال مترجم بشري. تقدم لك شركة مايكروسوفت هذه المقالات المترجمة بشكل آلي او بالترجمة البشرية او بعد تحريرها وتدقيقها من قبل مجموعات الترجمة حتى تمكنكم من الوصول إلى جميع المقالات الموجودة في قواعد المعرفة لديها بلغات مختلفة. إلا أن المقالات المترجمة قد تحتوي على أخطاء في المفردات او بناء الجمل او النحو. وعليه، فإن شركة مايكروسوفت ليست مسؤولة عن اية أخطاء او عدم دقة في الترجمة او أية أضرار قد تحدث نتيجة أخطاء في ترجمة محتويات النص او استخدامه من قبل العملاء.

اضغط هنا لرابط المقالة باللغة الانجليزية309408
الموجز
يساعد حماية البيانات API (DPAPI) على حماية البيانات في Windows 2000 وأنظمة التشغيل الأحدث. يتم استخدام DPAPI للمساعدة في حماية بيانات الاعتماد المخزنة (في نظام التشغيل Windows XP والإصدارات الأحدث) والمفاتيح الخاصة أن نظام التشغيل أو برنامج تريد الاحتفاظ بسرية المعلومات السرية الأخرى.

لا تعتبر مسؤولة عن تخزين معلومات سرية وهو يحمي DPAPI. ومسؤول فقط لتشفير وفك تشفير البيانات الخاصة بالبرامج التي يطلق عليه، مثل إدارة بيانات اعتماد Windows أو إليه تخزين المفتاح الخاص أو أي برامج الجهات الأخرى التي تستدعي الدالة CryptProtectData() والداله CryptUnprotectData() في Windows 2000، نظام التشغيل Windows XP، أو في وقت لاحق.

ملاحظة: هذه الوظيفة يختلف عن الوظيفة التي توفرها مخزن Windows المحمية (مخزن P) في نظام التشغيل Windows NT 4.0. مخزن P مسؤولة عن حماية وتخزين معلومات سرية. يقدم DPAPI أية قدرات التخزين.
توضح هذه المقالة كيف DPAPI حماية البيانات على مستوى أساسي. ويتضمن أيضا معلومات تتعلق باستكشاف الأخطاء وإصلاحها فقدان إمكانية الوصول إلى البيانات المحمية DPAPI في سيناريوهات مختلفة.

لمزيد من المعلومات حول كيفية عمل DPAPI، قم بزيارة موقع Microsoft التالي على الويب: تتضمن هذه المقالة الموضوعات التالية:
معلومات أخرى
هام لاستكشاف وفقدان البيانات DPAPI، يجب جمع المعلومات التالية:
  • كيف يعمل DPAPI في بيئة أمنية معينة بما في ذلك إصدار محطة العمل المحلية؟
  • يتم ربط محطة العمل بمجال؟
  • هل كان المستخدم عضوا المجال؟
  • ما هو إصدار نظام التشغيل الذي يستضيف المجال؟
تحدث مشكلات مع DPAPI عند استخدام DPAPI في مجال Windows NT 4.0. راجع قسم "المشكلات المعروفة" لاحقاً في هذه المقالة للحصول على مزيد من المعلومات.

يتم استخدام DPAPI أساسا بميزات الأمان لنظام التشغيل للمساعدة في حماية البيانات نيابة عن المستخدم. بالإضافة إلى ذلك، أي برنامج جهة خارجية استخدام DPAPI للمساعدة في حماية بيانات المستخدم بشكل أمن.

ما الذي يمكن أن تحمي DPAPI

يساعد DPAPI حماية العناصر التالية:
  • بيانات اعتماد صفحة ويب (على سبيل المثال، كلمات المرور)
  • بيانات اعتماد مشاركة الملفات
  • المفاتيح الخاصة المقترنة بنظام تشفير الملفات (EFS) S/MIME وشهادات أخرى
  • بيانات البرنامج محمي باستخدام الدالة CryptProtectData()

على سبيل المثال: الشهادات والمفاتيح الخاصة

يصف هذا القسم الفرق بين البيانات الشخصية ومعلومات سرية حماية DPAPI. تصف القائمة التالية موضع البيانات أثناء عملية استيراد شهادة وهو وصف المفتاح الخاص المقترن بالشهادة للمخزن الشخصي للمستخدم:
  • الشهادة المشفرة ككائن ثنائي كبير وتخزينها كقيمة ثنائية في موقع الملفات التالية:
    %Userprofile%\Application Data\Microsoft\SystemCertificates\My\Certificates
  • لاحظ أن موقع مفتاح التسجيل في التشكيل الجانبي للمستخدم المحلي. هذا الوضع يجعل من المستخدم تسجيل الدخول بالوصول إلى الشهادات الخاصة بهم في الحالات النموذجية.
  • الشهادات لا يحمي DPAPI بأي آليات Windows الافتراضي. يتم استخدام قائمة التحكم بالوصول (ACL) لتحديد الذين قد يتم تحميل خلية للمستخدم والذي قد قراءة الشهادات المخزنة في الخلية.
  • تم تشفيرها بواسطة DPAPI المفتاح الخاص المقترن بالشهادة وحفظ (في نموذج مشفر) في حاوية مفاتيح كملف منفصل في التشكيل الجانبي للمستخدم في المجلدات التالية:
    • لمفاتيح RSA:
      %Userprofile%\Application Data\Microsoft\Crypto\RSA\معرف أمان المستخدم
    • لمفاتيح DSA:
      %Userprofile%\Application Data\Microsoft\Crypto\DSA\معرف أمان المستخدم
عودة إلى الأعلى

كيفية عمل DPAPI

ملاحظة: لقد تم تبسيط المصطلحات والمفاهيم الموضحة في هذا القسم لأغراض الوضوح في سياق هذه المادة. لقد تم حذف بعض مستوى من التفاصيل. على سبيل المثال، توضح هذه المقالة قيمة مشتق من المرور كلمة، ولكن لم يتم توضيح تفاصيل الخوارزمية المستخدمة لاشتقاق القيمة. للحصول على وصف تفصيلي لكيفية عمل DPAPI، عرض الورقة البيضاء حماية البيانات في Windows. لعرض هذا المستند، قم بزيارة موقع Microsoft التالي على الويب: DPAPI هي دالة المستخدمة من قبل مختلف مكونات نظام التشغيل والبرامج للمساعدة في حماية البيانات الخاصة بمستخدم. العملية DPAPI غير مرئية للمستخدم. يساعد DPAPI حماية البيانات في سياق الأمان للمستخدم الذي قام بتشغيل البرنامج.

DPAPI حماية المعلومات السرية عن طريق استخدام بيانات القيمة مشتق من اسم مفتاح رئيسي رقم 512 بت عشوائية زائفة. استخدام وحدات التحكم بالمجال Windows Server 2003 مفتاح RSA 2048 بت عند تشغيل في وضع Windows Server 2003 أو مستوى عمل المجال 2 المجال فقط. كل حساب مستخدم واحد أو أكثر إنشاء المفاتيح الرئيسية بشكل عشوائي. يعتمد عدد المفاتيح الرئيسية على عمر التشكيل الجانبي للمستخدم. يتم تجديد مفاتيح رئيسية على فترات منتظمة. بشكل افتراضي، تكون هذه القيمة كل 90 يوما.

مفاتيح رئيسية تحتوي على البيانات المطلوبة لفك تشفير المعلومات السرية على كافة المستخدمين، يجب حماية المفاتيح الرئيسية. أنها محمية باستخدام قيمة مشتق من المرور كلمة. كلمة المرور هو قيمة فريدة يعرف مستخدم فقط. لأنه يتم تشفير المفتاح الرئيسي فعلياً استخدام قيمة مشتق من المرور كلمة، يتم استخدام هذه القيمة التبادل مع المرور كلمة في وصف المعروضة في هذه المقالة.

عودة إلى الأعلى

DPAPI الاعتبارات البيئية

يصف هذا القسم التكوينات البيئية التي تؤثر على سلوك الحماية DPAPI.

تشكيلات جانبية إلزامية و DPAPI

تشكيلات جانبية إلزامية ملفات القراءة فقط. يتم حفظ لا التحديثات التي يتم إجراؤها على النسخة المحلية من التشكيل الجانبي الإلزامي. على سبيل المثال، يتم حظر إنشاء مفتاح في التشكيل جانبي إلزامي. DPAPI يخزن المفتاح الرئيسي في النسخة المحلية من ملف تعريف بشكل منتظم بإنشاء مفاتيح رئيسية جديدة وتحديث التشفير على المعلومات السرية المحمية باستخدام مفتاح رئيسي جديد.

لأن هذين الشرطين غير متوافقة، لا تعمل البرامج التي تعتمد على DPAPI للمساعدة في حماية المعلومات السرية بشكل صحيح مع التشكيلات الجانبية الإلزامية. تتضمن البرامج التي تساعد على حماية المعلومات السرية بواسطة DPAPI التي لا تعمل بشكل صحيح مع التشكيلات الجانبية الإلزامية EFS (المفاتيح الخاصة)، الشهادات باستخدام مفاتيح خاصة (المفاتيح الخاصة)، وتخزين بيانات الاعتماد في نظام التشغيل Windows XP والإصدارات الأحدث (وثائق التفويض). لا يتم اعتماد التكوينات التي تستخدم هذه أنواع البيانات أو البرامج.

عودة إلى الأعلى

التشكيلات الجانبية المتجولة و DPAPI

DPAPI يعمل كما هو متوقع مع التشكيلات الجانبية المتجولة للمستخدمين وأجهزة الكمبيوتر المرتبطة بمجال خدمة دليل "Active Directory". يتصرف DPAPI البيانات التي تم تخزينها في ملف تعريف تماما مثل أي إعداد أو ملف تم تخزينه في ملف تعريف متجول. معلومات سرية DPAPI بحماية يتم تحميلها إلى موقع التشكيل الجانبي المركزي أثناء عملية تسجيل الخروج وتم تنزيلها من موقع التشكيل الجانبي المركزي عند تسجيل دخول مستخدم.

النسبة DPAPI تعمل بشكل صحيح عندما يستخدم التشكيلات الجانبية المتجولة، مستخدم المجال يجب أن فقط يمكن تسجيل الدخول على جهاز كمبيوتر واحد في المجال. إذا أراد المستخدم لتسجيل الدخول إلى كمبيوتر آخر في المجال، المستخدم يجب تسجيل الخروج من الكمبيوتر الأول قبل تسجيل دخول مستخدم إلى الكمبيوتر الثاني. في حالة تسجيل المستخدم الدخول إلى أجهزة كمبيوتر متعددة في نفس الوقت، فمن المحتمل أن DPAPI لن قادراً على فك تشفير البيانات المشفرة الموجودة بشكل صحيح.

يمكن فك تشفير DPAPI على كمبيوتر المفتاح الرئيسي (والبيانات) على كمبيوتر آخر. يتم توفير هذه الوظيفة عن طريق متناسقة كلمة المرور المستخدم التي تم تخزينها ويتم التحقق من قبل وحدة تحكم المجال. في حالة حدوث انقطاع غير متوقعة من عملية نموذجية، DPAPI استخدام العملية الموضحة في القسم "إعادة تعيين كلمة المرور" لاحقاً في هذه المقالة.

يوجد تحديد الحالي باستخدام التشكيلات الجانبية المتجولة بين أجهزة الكمبيوتر المستندة إلى Windows Server 2003 أو نظام التشغيل Windows xp وأجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows 2000. إذا كان يتم إنشاء مفاتيح أو استيرادها على جهاز كمبيوتر يستند إلى نظام التشغيل Windows XP أو Windows Server 2003-تعتمد وثم تخزينها في ملف تعريف متجول، DPAPI يتعذر فك تشفير هذه المفاتيح على جهاز كمبيوتر يستند إلى نظام التشغيل Windows 2000 إذا قمت بتسجيل الدخول باستخدام ملف تعريف مستخدم متجول. ومع ذلك، جهاز كمبيوتر يستند إلى نظام التشغيل Windows XP أو Windows Server 2003 تعتمد يمكن فك تشفير المفاتيح التي تم إنشاؤها على كمبيوتر يستند إلى نظام التشغيل Windows 2000.

عودة إلى الأعلى

DPAPI وتغيير كلمة المرور

من المتوقع المستخدمين في بيئة أمنية محسنة لتغيير كلمات المرور الخاصة بهم على فترات منتظمة. وكنتيجة لذلك، يجب أن تكون DPAPI قادرة على الحفاظ على نفس مستوى الوصول إلى المستخدم حماية البيانات بعد تغيير كلمة المرور. يتم استخدام الأساليب التالية لتغيير كلمات مرور المستخدمين في بيئة Windows:
تغيير كلمة المرور
في هذا الأسلوب، هناك استمرارية للوصول إلى المفاتيح الرئيسية للمستخدم أثناء تغيير كلمة مرور. يتم استدعاء DPAPI بالمكون Winlogon أثناء عمليات تغيير كلمة المرور في مجال "Active Directory":
  • DPAPI إشعارا من Winlogon أثناء عملية تغيير كلمة مرور.
  • DPAPI فك تشفير كافة المفاتيح الرئيسية التي تم تشفيرها باستخدام كلمات مرور المستخدم القديم.
  • DPAPI إعادة تشفير كافة المفاتيح الرئيسية باستخدام المرور كلمة الجديدة.
إعادة تعيين كلمة المرور (مجموعة)
في هذا الأسلوب، مسؤول قسراً بإعادة تعيين كلمة مرور مستخدم. إعادة تعيين كلمة مرور أكثر تعقيداً من تغيير كلمة مرور. أن لم يتم تسجيل الدخول كالمستخدم المسؤول ولم يكن الوصول إلى المرور كلمة القديمة، لا يمكن استخدام كلمة المرور القديمة لفك تشفير المفتاح الرئيسي القديم وإعادة تشفير باستخدام كلمة المرور الجديدة.

في جميع حالات إعادة تعيين كلمة المرور، إذا كان للمستخدم تغيير كلمة المرور مرة أخرى إلى آخر كلمة المرور قبل تم إعادة تعيين، ويتم استعادة الوصول إلى المفتاح الرئيسي، وكنتيجة لذلك، يتم استعادة الوصول إلى المعلومات السرية من حماية. يحدث هذا السلوك لأن المفاتيح الرئيسية يتم حذف ابدأ، حتى عندما لا يمكن فك تشفير. ومع ذلك، قد يكون هذا حلاً لا يمكن الاعتماد عليها لأنه لا يمكنك أن تتوقع المستخدم ليتمكن من تذكر كلمة المرور القديمة دائماً. على سبيل المثال، المرور كلمة قد تمت إعادة تعيين لأنه نسي المستخدم كلمة المرور هذه.

تعتمد طريقة DPAPI إلى حل مشكلة إعادة تعيين كلمة المرور على الوضع الأمني حيث تم مصادقة المستخدم.

إعادة تعيين كلمة المرور: مستخدمي المجال في نظام التشغيل Windows 2000 أو الأحدث في مجال

عند استخدام DPAPI في بيئة مجال "Active Directory"، يتم إنشاء نسختين من المفتاح الرئيسي وتحديث عند تنفيذ عملية على المفتاح الرئيسي. النسخة الأولى محمي بكلمة مرور المستخدم كما هو موضح سابقا في هذه المقالة. يتم تشفير النسخة الثانية باستخدام مفتاح عمومي المقترن بوحدات تحكم المجال في المجال. المفتاح الخاص المقترن بالمفتاح العمومي هذا معروف لدى الجميع من نظام التشغيل Windows 2000 ووحدات تحكم المجال لاحقاً. استخدام وحدات تحكم مجال Windows 2000 مفتاح متماثل لتشفير وفك تشفير النسخة الثانية من المفتاح الرئيسي.

إذا تم إعادة تعيين كلمة مرور المستخدم ويتم تقديم المفتاح الرئيسي الأصلي غير قابلة للوصول للمستخدم، يتم تلقائياً استعادة للمستخدم حق الوصول إلى المفتاح الرئيسي استخدام المفتاح الرئيسي النسخ الاحتياطي في العملية التالية:
  • محطة العمل يرسل المفتاح الرئيسي النسخ الاحتياطي المشفر لنظام التشغيل Windows 2000 أو الأحدث من وحدة تحكم المجال عبر RPC محمية.
  • وحدة تحكم المجال يستخدم المفتاح الخاص لفك تشفير المفتاح الرئيسي للمستخدم.
  • إرجاع وحدة تحكم المجال دون تشفير المفتاح الرئيسي لمحطة العمل.
  • محطة العمل إعادة تشفير المفتاح الرئيسي باستخدام المرور كلمة الجديدة.
إعادة تعيين كلمة المرور: مجال Windows NT 4.0

لا توصي Microsoft باستخدام DPAPI تمكين ميزات (على سبيل المثال، EFS أو المفتاح الخاص التخزين) للمستخدمين في مجال Windows NT 4.0. راجع قسم "المشكلات المعروفة" من هذه المقالة للحصول على مزيد من المعلومات.

بعد إعادة تعيين كلمة مرور، كمبيوتر عميل يستند إلى نظام التشغيل Windows 2000 استعادة وصول المستخدم إلى المعلومات السرية المحمية DPAPI تلقائياً باستخدام المفتاح الرئيسي النسخ الاحتياطي في نفس الشكل الذي يظهر إذا كان المستخدم في مجموعة العمل. راجع المقطع "كلمة مرور إعادة تعيين: Windows 2000 محطة العمل في مجموعة العمل" في هذه المقالة لمزيد من المعلومات حول هذا الإجراء والمعلومات حول المخاطر الأمنية.

لا يحتفظ نظام التشغيل Windows XP في مجال Windows NT 4.0 نسخة احتياطية من المفتاح الرئيسي. لمزيد من المعلومات، راجع قسم "المشكلات المعروفة" في هذه المقالة

إعادة تعيين كلمة المرور: 2000 محطة عمل Windows في مجموعة العمل

إذا كنت تستخدم DPAPI على كمبيوتر مستقل, يتم إنشاء نسختين من المفتاح الرئيسي وتحديث عند تنفيذ عملية على المفتاح الرئيسي. النسخة الأولى محمي بكلمة مرور المستخدم كما هو موضح سابقا في هذه المقالة. يتم تشفير النسخة الثانية بقيمة سرية تعرف فقط لحساب الكمبيوتر المحلي.

بعد أن تم إعادة فرض تعيين كلمة مرور المستخدم والمستخدم بتسجيل الدخول باستخدام كلمة المرور الجديدة، يفك تشفير الكمبيوتر نسخة المفتاح الرئيسي Windows 2000 تلقائياً وإعادة تشفير بالقيمة مشتق من كلمة المرور الجديدة للمستخدم. من وجهة المستخدم، يتم المستخدم الوصول إلى معلومات سرية محمي بواسطة DPAPI تماما دون انقطاع.

هام قد يؤثر هذا السلوك على الأمان. تنصح Microsoft استخدام DPAPI في تكوين افتراضي كما يلي. توصي Microsoft باستخدام إحدى الطرق التالية لنظام التشغيل Windows 2000 أجهزة الكمبيوتر المستقلة التي تحتوي على بيانات هامة يمكن أن يتعرض فعلياً:
  • الترقية إلى نظام التشغيل Windows XP
  • استخدام وضع سيسكي 2 أو 3 على كمبيوتر محمول يستند إلى نظام التشغيل Windows 2000

  • للحصول على معلومات إضافية حول سيسكي، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
    143475 يسمح مفتاح النظام في نظام التشغيل Windows NT تشفير قوي ل SAM
إعادة تعيين كلمة المرور: Windows XP محطة العمل في مجموعة العمل

بشكل افتراضي، نظام التشغيل Window XP لا إنشاء نسخ احتياطية من المفتاح الرئيسي. تقوم بذلك للمساعدة في منع هجوم حاليا ذاكرة التخزين المؤقت للمفتاح الرئيسي. في نظام التشغيل Windows XP، يمكنك إنشاء قرص إعادة تعيين كلمة مرور حيث أن المستخدم قد استرداد كلمة المرور إذا كانت نسيتها. إذا كنت تستخدم Windows XP Service Pack 1 (SP1) أو الإصدار الأحدث، يمكنك تكوين السجل حتى ذلك يحتفظ Windows بإنشاء نسخة احتياطية من المفتاح الرئيسي.
للحصول على معلومات إضافية حول تأثيرات تغيير كلمة المرور قسراً والاسترداد المحتملة، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
290260 المفاتيح الخاصة من الشهادات وبيانات الاعتماد EFS غير متوفرة بعد إعادة تعيين كلمة مرور
أقراص إعادة تعيين كلمة المرور

أقراص إعادة تعيين كلمة المرور متوفرة فقط على أجهزة الكمبيوتر المستندة إلى أحدث المنضمة إلى مجموعات العمل أو نظام التشغيل Windows XP. استرداد كلمة المرور تصاريح القرص لاستعادة الوصول إلى حساباتهم وجميع المعلومات السرية التي محمي بواسطة DPAPI في التشكيل الجانبي للمستخدم.

للحصول على معلومات إضافية حول كلمة المرور قرص إعادة تعيين، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
321305 كيفية تسجيل الدخول إلى نظام التشغيل Windows XP في حالة نسيان كلمة المرور الخاصة بك أو انتهاء صلاحيتها
عودة إلى الأعلى

المشكلات المعروفة

لا يمكنك الوصول إلى معلومات سرية DPAPI في مجال Windows NT 4.0

هام تنصح Microsoft استخدام DPAPI في بيئة مجال Windows NT 4.0.

في مجال Windows NT 4.0، نظام التشغيل Windows XP بإنشاء نسخة احتياطية من المفتاح الرئيسي المستخدم لا. هذا هو السلوك الافتراضي. في حالة تغيير أو إعادة تعيين كلمة المرور، قد رفض المستخدم الوصول إلى المعلومات السرية الموجودة في التشكيل الجانبي. يتم استعادة الوصول فقط عندما يقوم المستخدم بتغيير كلمة المرور إلى كلمة المرور جيدة معروفة الأخير.

تتضمن الأسباب الأكثر شيوعاً لمشاكل DPAPI في مجال Windows NT 4.0 التشكيلات الجانبية المتجولة أو إعادة تعيين كلمة المرور. تحدث مشكلات مع التشكيلات الجانبية المتجولة إذا قام المستخدم بتغيير كلمة المرور الخاصة بهم مؤخرا. تبعاً لمختلف العوامل التي قد تقاطع النموذجية عمليات التشكيل الجانبي للمستخدم المتجول، الشخصية التي قام المستخدم بتسجيل الدخول إلى قد لم يتم تحديث باستخدام كلمة المرور الجديدة (تشفير المفتاح الرئيسي).

لحل هذه المشكلة، قم بتثبيت وحدة تحكم مجال Windows 2000 أو Windows Server 2003 في مجال المستخدم. DPAPI تلقائياً في العثور على وحدة تحكم المجال هذه لإجراء نسخ احتياطي واستعادة عمليات باستخدام زوج المفاتيح العامة/الخاصة DPAPI وحدة تحكم المجال.

إذا كنت تستخدم Windows SP1 وفيما بعد، يمكنك فرض DPAPI عمل نسخ احتياطية محلية من المفتاح الرئيسي أثناء المنضمة إلى مجال Windows NT4. ومع ذلك، لا تنصح Microsoft هذا الإجراء لأنه يؤثر على أمان الكمبيوتر الذي يتم تطبيق التغيير.

للحصول على معلومات إضافية، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
331333 المستخدم لا يمكن الوصول إلى ملفات EFS المشفرة بعد تغيير كلمة المرور أو عند استخدام تشكيل جانبي متجول
عودة إلى الأعلى

لا يمكنك الوصول إلى معلومات سرية DPAPI بعد إعادة تثبيت Windows على كمبيوتر مستقل

وفقا للتصميم، لا يمكن الوصول إلى معلومات سرية DPAPI بعد تثبيت Windows على كمبيوتر مستقل. يتم إتلاف مثيل المستخدم الذي كان موجوداً في النسخة الأصلية من Windows بعد إعادة تثبيت نظام التشغيل دون ترقية. يحتوي أي مستخدم جديد تم إنشاؤه باستخدام نفس اسم أساس أمان مختلفة في قاعدة بيانات أمان مختلفة. لم يتم الوصول إلى فك تشفير معلومات سرية DPAPI المستخدم الأصلي المستخدم الجديد. لا يمكن للمستخدم الوصول الخاصة بها معلومات سرية باستخدام المفتاح الرئيسي المستخدم.

حماية نسخة Windows الأصلية نسخة المفتاح الرئيسي بسرية البيانات التي تعرف فقط على هذه النسخة من Windows. إذا قمت باستبدال نظام التشغيل، لا يمكن الوصول إلى هذه البيانات السرية. لا يمكن للمستخدم الوصول الخاصة بها معلومات سرية باستخدام المفتاح الرئيسي النسخ الاحتياطي.

عودة إلى الأعلى

لا يمكنك إضافة أو الوصول إلى معلومات سرية DPAPI مع التشكيلات الجانبية الإلزامية

وفقا للتصميم، نظام التشغيل Windows 2000 و Windows XP لا تسمح لك بكتابة النسخة المحلية من التشكيل الجانبي الإلزامي سبب حفظ البيانات بعد الدورة الأولى. وكنتيجة لذلك، DPAPI لا تخزين مفاتيح رئيسية جديدة أو تحديث المفاتيح الرئيسية على تغيير كلمة المرور أو إضافة البيانات المحمية إلى تشكيل جانبي إلزامي.

لا يمكنك الوصول إلى معلومات سرية DPAPI بعد الانضمام إليها أو قطع انضمام مجال

إذا انضموا كمبيوتر مستقل إلى مجال وفقدت الوصول إلى البيانات DPAPI، يمكنك استعادة الوصول بتسجيل الدخول كمستخدم محلي. لتسجيل الدخول كمستخدم محلي على جهاز كمبيوتر متصل بمجال، انقر فوق اسم الكمبيوتر المحلي في مربع القائمة المنسدلة في مربع حوار تسجيل الدخول ، وقم بإدخال اسم مستخدم محلي وكلمة المرور.

إذا كان لديك إلغاء انضمام كمبيوتر من مجال، يجب الانضمام إلى المجال وقم بتسجيل الدخول كمستخدم مجال نفس لاستعادة الوصول إلى الملفات الخاصة بك.

عودة إلى الأعلى

المبادئ التوجيهية وأفضل الممارسات

  • توصي Microsoft باستخدام كلمات مرور قوية. استخدام كلمة مرور معقدة أصعب يمكنك تذكرها بشكل يعتمد عليه. ملاحظة: عوامل تصفية كلمة المرور حاليا لا تدعمها DPAPI.
  • تصدير واحتياطي أهمية الشهادات والمفاتيح الخاصة إلى مكان أمن.
عودة إلى الأعلى
إعادة إنشاء

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 309408 - آخر مراجعة: 04/04/2016 01:47:00 - المراجعة: 5.0

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows XP Professional, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition

  • kbinfo kbmt KB309408 KbMtar
تعليقات