Das Dienstprogramm Syskey.exe wird in Windows 10, Windows Server 2016 und Windows Server 2019 nicht mehr unterstützt.

Gilt für: Windows 10, version 1903Windows Server 2016 Version 1803Windows Server 2016 Version 1709

Zusammenfassung


Windows 10, Version 1709, Windows Server 2016 Version 1709 und spätere Versionen von Windows unterstützen das Dienstprogramm syskey.exe nicht mehr.

Änderungsdetail


Folgende Änderungen werden vorgenommen:

  • Das Dienstprogramm syskey.exe ist nicht mehr in Windows enthalten.
  • Windows fragt beim Start nie nach einem Syskey-Passwort.
  • Windows unterstützt die Installation eines Active Directory-Domänencontrollers nicht mehr mithilfe von IFM-Dateien (Install-From-Media), die extern mit dem Dienstprogramm syskey.exe verschlüsselt wurden.

Wenn ein Betriebssystem (OS) extern mit dem Dienstprogramm syskey.exe verschlüsselt wurde, können Sie dieses Betriebssystem nicht auf Windows 10, Version 1709 oder Windows Server, Version 1709 aktualisieren.

Problemumgehung


Wenn Sie Boot-Time-Betriebssystemsicherheit verwenden möchten, empfehlen wir Ihnen, Bitlocker oder ähnliche Technologien anstelle desDienstprogramms syskey.exe zu verwenden.

Für IT-Administratoren, die Active Directory IFM-Medien verwenden, um Replikate von Active Directory-Domänencontrollern zu installieren, wird empfohlen, Bitlocker oder andere Dateiverschlüsselungsprogramme zum Schutz aller IFM-Medien zu verwenden.

Um ein Betriebssystem zu aktualisieren, das durch das Dienstprogramm syskey.exeauf Windows 10 RS3 oder Windows Server 2016 RS3 verschlüsselt wird, sollte das Betriebssystem nicht für die Verwendung eines externen syskey-Kennworts konfiguriert werden. Weitere Informationen finden Sie in Schritt 5 in Wie verwende ich das Programm „SysKey“ zum Sichern der Windows SAM-Datenbank.

Weitere Informationen


Syskey ist ein interner Windows-Stammverschlüsselungsschlüssel, der zum Verschlüsseln anderer sensibler Betriebssystemstatusdaten wie zum Beispiel Kennworthashes für Benutzerkonten verwendet wird. Das Dienstprogramm SysKey kann verwendet werden, um einen zusätzlichen Schutz hinzuzufügen, indem der Syskey für die Verwendung eines externen Kennworts verschlüsselt wird. In diesem Zustand wird der Startvorgang vom Betriebssystem blockiert und der Benutzer zur Eingabe des Kennworts aufgefordert (entweder interaktiv oder durch Lesen einer Diskette).
 
Leider werden der Syskey-Verschlüsselungsschlüssel und die Verwendung von syskey.exe nicht mehr als sicher angesehen. Syskey basiert auf einer schwachen Kryptografie, die in modernen Zeiten wie heute, leicht durchbrochen werden kann. Die Daten, die durch Syskey geschützt werden, sind sehr begrenzt und decken nicht alle Dateien oder Daten auf dem Betriebssystem ab. Das Dienstprogramm syskey.exe wurde auch von Hackern als Teil von Ransomware-Scams verwendet.
 
Active Directory unterstützte zuvor die Verwendung eines extern verschlüsselten Syskeys für IFM-Medien. Wenn ein Domänencontroller mithilfe von IFM-Medien installiert wird, muss auch das externe Syskey-Kennwort angegeben werden. Leider leidet dieser Schutz unter denselben Sicherheitsmängeln. 

Verweis


Das Dienstprogramm syskey.exe und seine zugrunde liegende Unterstützung im Windows-Betriebssystem wurden erstmals mit Windows 2000 eingeführt und nach Windows NT 4.0 rückportiert.  Weitere Informationen finden Sie unter Verwenden des SysKey-Dienstprogramms zum Sichern der Windows-Sicherheitskonten-Manager-Datenbank.