Come risolvere i problemi del provider di servizi Internet (DPAPI, Data Protection API)

Riepilogo

Il provider di servizi Internet (DPAPI, Data Protection API) consente di proteggere i dati in Windows 2000 e versioni successive. DPAPI è utilizzato per proteggere le chiavi private, le credenziali archiviate (in Windows XP e versioni successive) e altre informazioni riservate che il sistema operativo o un programma intende mantenere riservate.

DPAPI è responsabile per l'archiviazione delle informazioni riservate da esso protetti. È responsabile solo per crittografare e decrittografare i dati per i programmi che lo chiamano, ad esempio i programmi di terze parti che chiamano la funzione CryptProtectData() e CryptUnprotectData() in Windows 2000, Windows XP, Gestione credenziali Windows o il meccanismo di archiviazione della chiave privata o versione successiva.

Nota: Questa funzionalità è diversa dalla funzionalità offerta da archivio di Windows protetti (P-archivio) in Windows NT 4.0. Archiviazione protetta è responsabile della protezione e archiviazione delle informazioni riservate. DPAPI non offre Nessuna funzionalità di archiviazione.
In questo articolo viene descritto l'utilizzo DPAPI per la protezione dei dati a livello di base. Include inoltre informazioni relative alla risoluzione dei problemi di perdita di accesso ai dati protetto da DPAPI in scenari diversi.

Per ulteriori informazioni sul funzionamento di DPAPI, visitare il seguente sito Web Microsoft:In questo articolo include i seguenti argomenti:

Ulteriori informazioni

Importante Per risolvere la perdita di dati DPAPI, è necessario raccogliere le seguenti informazioni:
  • Come funziona DPAPI nell'ambiente di protezione tra la versione di workstation locale?
  • È che la workstation fa parte di un dominio?
  • È che l'utente è un membro del dominio?
  • Qual è la versione del sistema operativo che ospita il dominio?

Molti problemi con DPAPI quando si utilizza DPAPI in un dominio Windows NT 4.0. Vedere la sezione "Problemi noti" più avanti in questo articolo per ulteriori informazioni.

DPAPI è utilizzato principalmente dalle funzionalità di protezione del sistema operativo per proteggere i dati per conto dell'utente. Inoltre, qualsiasi programma di terze parti può utilizzare DPAPI per proteggere in modo sicuro i dati utente.

Che cosa è possibile proteggere DPAPI

DPAPI consente di proteggere gli elementi seguenti:
  • Credenziali di pagine Web (ad esempio le password)
  • Credenziali di condivisione file
  • Chiavi private associate a crittografia File System (EFS), S/MIME e altri certificati
  • Dati che sono protetti mediante la funzione CryptProtectData()

Esempio: I certificati e chiavi Private

In questa sezione viene descritta la differenza tra i dati personali e DPAPI consente di proteggere informazioni riservate. Nell'elenco seguente descrive la posizione dei dati durante un'operazione di importazione di un certificato e che descrive la chiave privata associata al certificato per l'archivio personale dell'utente:
  • Il certificato è codificato come un oggetto binario di grandi dimensioni e memorizzato come valori binari nel percorso seguente:
    %Userprofile%\Application Data\Microsoft\SystemCertificates\My\Certificates
  • Si noti che il percorso della chiave del Registro di sistema nel profilo dell'utente locale. Questo posizionamento garantisce che solo l'utente di accesso e l'accesso ai propri certificati in circostanze normali.
  • I certificati non sono protette da DPAPI da eventuali meccanismi di Windows predefinito. Un elenco di controllo di accesso (ACL) viene utilizzato per definire chi può caricare l'hive dell'utente e che può leggere i certificati che sono memorizzati nell'hive.
  • La chiave privata associata al certificato è crittografata con DPAPI e salvata (in forma crittografata) in un contenitore come un singolo file nel profilo dell'utente nelle seguenti cartelle:
    • Per le chiavi RSA:
      %USERPROFILE%\Application Data\Microsoft\Crypto\RSA\SID utente
    • Per le chiavi DSA:
      %USERPROFILE%\Application Data\Microsoft\Crypto\DSA\SID utente
Torna all'inizio

Funzionamento di DPAPI

Nota: I termini e concetti descritti in questa sezione sono stati semplificati ai fini di chiarezza nel contesto di questo articolo. È stato omesso un certo livello di dettaglio. Ad esempio, in questo articolo viene descritto un valore che è derivato dalla password dell'utente, ma non descrive i dettagli dell'algoritmo utilizzato per derivare il valore. Per una descrizione dettagliata del funzionamento di DPAPI, vedere il white paper Windows Data Protection. Per visualizzare questo white paper, visitare il seguente sito Web Microsoft:DPAPI è una funzione che viene utilizzata da diversi componenti del sistema operativo e programmi per la protezione dati per un utente. L'operazione di DPAPI non è visibile all'utente. DPAPI consente di proteggere i dati nel contesto di protezione dell'utente che esegue il programma.

DPAPI consente di proteggere informazioni riservate utilizzando i dati di valore derivati da un numero pseudo-casuale di 512 bit denominato una chiave master. Il controller di dominio di Windows Server 2003 utilizzano una chiave RSA 2048 bit, ma solo quando il dominio è in esecuzione in modalità Windows Server 2003 o di livello funzionale del dominio 2. Ogni account utente dispone di uno o più generato casualmente le chiavi master. Il numero di chiavi master dipende dall'età di profilo dell'utente. Le chiavi master vengono rinnovate periodicamente. Per impostazione predefinita, questo valore è ogni 90 giorni.

Poiché le chiavi master contengono i dati necessari per decrittografare le informazioni riservate dell'utente, è necessario proteggere le chiavi master. Sono protetti mediante un valore che è derivato dalla password dell'utente. La password è un valore univoco che conosca solo un utente. Poiché la chiave master è crittografata utilizzando un valore che è derivato dalla password dell'utente, questo valore viene utilizzato in modo intercambiabile con la password dell'utente nelle descrizioni presentato in questo articolo.

Torna all'inizio

Considerazioni ambientali DPAPI

In questa sezione vengono descritte le configurazioni ambientali che influenzano il comportamento di protezione DPAPI.

DPAPI e profili obbligatori

Profili obbligatori sono i profili di sola lettura. Nessun aggiornamento apportate alla copia locale di un profilo bloccato vengono salvato. Ad esempio, la generazione delle chiavi è bloccata in un profilo obbligatorio. DPAPI archivia la chiave master nella copia locale di un profilo e crea nuove chiavi master e regolarmente aggiornato la crittografia di informazioni riservate protette con la nuova chiave master.

Poiché queste due condizioni non sono compatibili, i programmi che dipendono da DPAPI per proteggere informazioni riservate non funzionano correttamente con i profili obbligatori. I programmi che consentono di proteggere informazioni riservate con DPAPI che non funzionano correttamente con i profili obbligatori sono EFS (chiavi private), i certificati con chiavi Private (chiavi private) e memorizzate le credenziali in Windows XP e versioni successive (credenziali). Non sono supportate le configurazioni che utilizzano questi tipi di dati o programmi.

Torna all'inizio

DPAPI e i profili

DPAPI funziona come previsto con i profili per utenti e computer che fanno parte di un dominio del servizio directory di Active Directory. DPAPI i dati memorizzati nel profilo funziona esattamente come qualsiasi altra impostazione o file memorizzato in un profilo comune. DPAPI consente di proteggere informazioni riservate vengano caricate nel percorso del profilo centrale durante il processo di disconnessione e vengono scaricati dal percorso del profilo centrale quando un utente accede al sistema.

Per DPAPI funzionare correttamente quando utilizza i profili comuni, l'utente di dominio deve solo avere accesso a un singolo computer nel dominio. Se l'utente desidera accedere a un computer nel dominio, l'utente deve disconnettersi il primo computer prima che l'utente acceda al secondo computer. Se l'utente è connesso a più computer contemporaneamente, è probabile che DPAPI non sarà possibile decrittografare i dati crittografati esistenti in modo corretto.

DPAPI in un computer in grado di decrittografare la chiave master (e i dati) in un altro computer. Questa funzionalità viene fornita per la password dell'utente coerenti che verrà memorizzata e verificata dal controller di dominio. Se si verifica un'interruzione imprevista del processo tipico, DPAPI può utilizzare la procedura descritta nella sezione "Reimpostazione Password" più avanti in questo articolo.




È presente una limitazione corrente con i profili comuni tra computer basati su Windows Server 2003 o Windows XP e i computer basati su Windows 2000. Se i tasti vengono generati o importati in un computer basato su Windows Server 2003 o Windows XP e quindi archiviati in un profilo comune, DPAPI Impossibile decrittografare queste chiavi su un computer basato su Windows 2000 se è connessi con un profilo utente comune. Tuttavia, un computer basato su Windows Server 2003 o Windows XP in grado di decrittografare le chiavi che vengono generate in un computer basato su Windows 2000.

Torna all'inizio

DPAPI e la modifica della Password

Gli utenti in un ambiente di protezione avanzata si prevede di modificare le password a intervalli regolari. Di conseguenza, DPAPI deve essere in grado di mantenere che lo stesso livello di accesso all'utente i dati protetti dopo la modifica della password. Per modificare le password degli utenti in un ambiente Windows vengono utilizzati i metodi riportati di seguito:
Modifica della password
In questo metodo, è la continuità di accesso alle chiavi master dell'utente durante la modifica della password. L'interfaccia DPAPI viene richiamata dal componente Winlogon durante le operazioni di modifica password in un dominio Active Directory:
  • DPAPI riceve notifica da Winlogon durante un'operazione di modifica della password.
  • DPAPI consente di decrittografare tutte le chiavi master che sono state crittografate con le vecchie password dell'utente.
  • DPAPI crittografa nuovamente tutte le chiavi master con la nuova password.
Reimpostazione della password (Set)
In questo metodo, un amministratore reimposta forzatamente una password utente. Reimpostazione della password è più complessa la modifica della password. Poiché l'amministratore non è connesso come utente e non ha accesso alla vecchia password dell'utente, è Impossibile utilizzare la vecchia password per decrittografare la chiave master precedente e ricodificarli con la nuova password.

In tutti i casi di reimpostazione della password, se la password dell'utente viene modificata nuovamente l'ultima password prima che esso è stato reimpostato, viene ripristinato l'accesso alla chiave master e, di conseguenza, viene ripristinato l'accesso a tutte le informazioni riservate consente di proteggere. Questo comportamento si verifica perché le chiavi master non vengono mai eliminate, anche quando essi non possono essere decrittografati. Tuttavia, è possibile una soluzione affidabile che non le all'utente di essere in grado di ricordare sempre la vecchia password. Ad esempio, la password dell'utente che sono stata reimpostata perché dimenticata l'utente.

Il modo in cui DPAPI consente di risolvere il problema di reimpostazione password dipende dall'ambiente di protezione in cui l'utente è autenticato.

Reimpostazione della password: Gli utenti del dominio in un dominio Windows 2000 o versione successiva

Se DPAPI viene eseguito in un ambiente di dominio Active Directory, due copie della chiave master vengono create e aggiornate ogni volta che viene eseguita un'operazione sulla chiave master. La prima copia è protetto dalla password utente come descritto in precedenza in questo articolo. La seconda copia viene crittografata con una chiave pubblica associata al controller di dominio nel dominio. La chiave privata associata a questa chiave pubblica è noto a tutti i Windows 2000 e il secondo controller di dominio. Controller di dominio di Windows 2000 utilizzano una chiave simmetrica per crittografare e decrittografare la seconda copia della chiave master.

Se viene reimpostata la password dell'utente e la chiave master originale viene eseguito il rendering non accessibile all'utente, l'accesso dell'utente per la chiave master vengono ripristinato automaticamente utilizzando la chiave master di backup durante il processo seguente:
  • La workstation invia la chiave master di backup crittografata a un secondo controller di dominio Windows 2000 su RPC protetto.
  • Il controller di dominio utilizza la chiave privata per decrittografare una chiave principale dell'utente.
  • Il controller di dominio restituisce la chiave master non crittografata per la workstation.
  • La workstation consente di crittografare nuovamente la chiave master utilizzando la nuova password.
Di reimpostazione della password: dominio di Windows NT 4.0

Microsoft non consiglia l'utilizzo della funzionalità DPAPI (ad esempio, EFS o chiavi Private storage) per gli utenti in un dominio Windows NT 4.0. Vedere la sezione "Problemi noti" di questo articolo per ulteriori informazioni.

Dopo la reimpostazione della password, un computer client basato su Windows 2000 consente di ripristinare l'accesso dell'utente alle informazioni riservate protette da DPAPI automaticamente utilizzando la chiave master di backup nello stesso modo che viene eseguita se l'utente è un gruppo di lavoro. Vedere la sezione "Password Reset: Windows 2000 Workstation in un gruppo di lavoro" in questo articolo per ulteriori informazioni su questa procedura e per informazioni sui rischi di protezione.

Windows XP in un dominio Windows NT 4.0 non conserva una copia di backup della chiave master. Per ulteriori informazioni, vedere la sezione "Problemi noti" in questo articolo

Reimpostazione della password: Workstation Windows 2000 in un gruppo di lavoro

Se si utilizza DPAPI in un computer autonomo, due copie della chiave master vengono create e aggiornate ogni volta che viene eseguita un'operazione sulla chiave master. La prima copia è protetto dalla password utente come descritto in precedenza in questo articolo. La seconda copia viene crittografata con un valore riservato noto solo all'account di computer locale.

Dopo che l'utente accede con la nuova password reimpostata forzatamente una password e Windows 2000 automaticamente consente di decrittografare la copia della chiave master crittografati al computer e crittografa nuovamente con il valore derivato dalla nuova password dell'utente. Dal punto di vista dell'utente, l'accesso dell'utente alle informazioni riservate che sono protetto da DPAPI è completamente senza interruzione.

Importante Questo comportamento può influire sulla sicurezza. Microsoft consiglia di non utilizzare DPAPI in una configurazione predefinita di questo. Microsoft consiglia di utilizzare uno dei metodi seguenti per i computer autonomi Windows 2000 che contengono dati sensibili che possono essere fisicamente compromesso:
  • Aggiornamento a Windows XP
  • Utilizzare la modalità SYSKEY 2 o 3 sul notebook basato su Windows 2000

  • Per ulteriori informazioni su SYSKEY, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base riportato di seguito:
    143475 chiave di sistema di Windows NT consente la crittografia avanzata di SAM
Reimpostazione della password: Workstation Windows XP in un gruppo di lavoro

Per impostazione predefinita, Windows XP non crea copie di backup della chiave master. Questa operazione consente di impedire un attacco offline della cache della chiave master. In Windows XP, è possibile creare un disco di reimpostazione password in modo che l'utente può recuperare la password se venisse dimenticata. Se si utilizza Windows XP Service Pack 1 (SP1) o versioni successive, è possibile configurare il Registro di sistema in modo che Windows tiene una copia di backup della chiave master.
Per ulteriori informazioni sugli effetti di una modifica della password in Gigabit e di ripristino, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:

290260 EFS, credenziali e chiavi private da certificati non sono disponibili dopo la reimpostazione della password

Dischi di reimpostazione password

I dischi di reimpostazione password disponibili solo su Windows XP o versione successiva-che fanno parte di gruppi di lavoro. La password ripristino disco consente all'utente di accedere al proprio account e tutte le informazioni riservate nel profilo sono protetto da DPAPI.

Per ulteriori informazioni sulla password disco di ripristino, fare clic sul numero seguente per visualizzare l'articolo della Microsoft Knowledge Base:

321305 modalità di accesso a Windows XP se si dimentica la password o la password scade

Torna all'inizio

Problemi noti

Non è possibile accedere a informazioni riservate di DPAPI in un dominio Windows NT 4.0

Importante Microsoft consiglia di non utilizzare DPAPI in un ambiente di dominio di Windows NT 4.0.

In un dominio Windows NT 4.0, Windows XP non crea una copia di backup della chiave principale dell'utente. Si tratta del comportamento predefinito. Se modificare o reimpostare la password, l'utente venga negato l'accesso alle informazioni riservate contenute nel profilo. Quando l'utente modifica la password all'ultima password corretta noti verrà ripristinato solo l'accesso.

Le cause più frequenti di problemi con DPAPI in un dominio Windows NT 4.0 riguardano la reimpostazione della password e profili. Se l'utente ha recentemente cambiato la propria password, si verificano problemi con i profili comuni. In base a vari fattori che potrebbero interrompere operazioni profilo utente comune tipiche, il profilo in cui è connesso l'utente potrebbe non sono stato con la nuova password (crittografia chiave master)


Per risolvere questo problema, installare un controller di dominio Windows 2000 o Windows Server 2003 nel dominio utente. DPAPI Trova automaticamente questo controller di dominio per eseguire il backup e ripristino utilizzando una coppia di chiavi pubblica/privata DPAPI del controller di dominio.

Se si utilizza Windows SP1 e versioni successive, è possibile forzare DPAPI per effettuare backup locali della chiave master mentre si è connessi a un dominio di Windows NT4. Tuttavia, Microsoft sconsiglia questa procedura perché riguarda la protezione del computer in cui viene applicata la modifica.

Per ulteriori informazioni, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base riportato di seguito:

331333 utente non può accedere ai file crittografati EFS dopo la modifica della password o quando si utilizza un profilo comune

Torna all'inizio

Non è possibile accedere a informazioni riservate di DPAPI dopo la reinstallazione di Windows in un Computer autonomo

Per impostazione predefinita, Impossibile accedere a informazioni riservate DPAPI dopo l'installazione di Windows in un computer autonomo. L'istanza dell'utente che era presente nella copia originale di Windows viene eliminato dopo la reinstallazione del sistema operativo senza l'aggiornamento. Ogni nuovo utente creato con lo stesso nome è un'identità di protezione diverse in un database di protezione diversi. Il nuovo utente non ha accesso per decrittografare le informazioni riservate DPAPI dell'utente originale. L'utente non può accedere alle informazioni riservate utilizzando la chiave master utente.

La copia originale di Windows consente di proteggere la propria copia della chiave master con dati riservati che sono noto solo alla copia di Windows. Se si sostituisce il sistema operativo, i dati riservati non sono accessibili. L'utente non può accedere alle informazioni riservate utilizzando la chiave master di backup.

Torna all'inizio

È possibile aggiungere o accedere a informazioni riservate di DPAPI con profili obbligatori

Per impostazione predefinita, Windows 2000 e Windows XP non consentono di scrivere la copia locale di un profilo obbligatorio in quanto i dati vengono salvati dopo la sessione iniziale. Di conseguenza, non può memorizzare nuove chiavi master, aggiornare le chiavi master al cambio di password o aggiungere dati protetti in un profilo obbligatorio DPAPI.

Non è possibile accedere a informazioni riservate di DPAPI dopo unire o separare un dominio

Se un computer autonomo si è aggiunti a un dominio e si è più possibile accedere ai dati DPAPI, è possibile ripristinare l'accesso accedendo come utente locale. Per accedere come utente locale in un computer appartenente al dominio, fare clic sul nome del computer locale nella casella a discesa nella finestra di dialogo di accesso e quindi immettere il nome utente locale e la password.

Se si hanno separato un computer da un dominio, è necessario ricollegarsi al dominio e quindi eseguire l'accesso con lo stesso account di dominio per accedere ai file.

Torna all'inizio

Indicazioni e procedure consigliate

  • Microsoft consiglia di utilizzare password complesse. Utilizzare la password complessa più difficile da ricordare in modo affidabile. Nota: Filtri di password non sono attualmente supportati da DPAPI.
  • Esportare e salvare importanti certificati e chiavi private in un luogo sicuro.
Torna all'inizio
Proprietà

ID articolo: 309408 - Ultima revisione: 30 gen 2017 - Revisione: 1

Feedback