Windows NT システム キーによって提供される、SAM の強力な暗号化機能

概要

Windows NT Server 4.0 のシステム キーの修正プログラムは、セキュリティ アカウント マネージャ (SAM) によってレジストリに格納されているアカウント パスワード情報の保護を増大させる強力な暗号化技術を使用する機能を提供します。Windows NT Server は、ユーザー アカウント パスワードの派生物を含むユーザー アカウント情報を、アクセス制御および難読化機能によって保護されたレジストリの安全な部分に格納します。レジストリのアカウント情報は、Administrators グループのメンバのみがアクセスすることができます。Windows NT Server は、ほかのオペレーティング システムと同様に、管理者である特権ユーザーがシステムのすべてのリソースにアクセスすることを許可しています。高度なセキュリティを必要とするインストールに対しては、アカウント パスワードの派生物情報を強力に暗号化することにより、さらに上のセキュリティ レベルを提供し、パスワードの派生物に対して、レジストリのプログラミング インターフェイスを経由する Administrator からの意図的な、または意図しないアクセスが行われないようにします。


このファイルは、次の場所に置かれています。

: SYSKEY キーが格納される場所を変更する場合は、レジストリを SYSKEY ツールで直接変更しないようにします。レジストリを変更しても SYSKEY は正常に動作しますが、そうではない印象を与えます。


重要 : Syskey ツールのセキュリティ問題に関する重要情報については、「サポート技術情報」 (Microsoft Knowledge Base) の次の資料を参照してください。
248183 Syskey Tool Reuses Keystream

詳細

Windows NT 4.0 のシステム キーの修正プログラムの強力な暗号化機能はオプション機能です。管理者は、Windows NT に対してシステム キーを定義することによって強力な暗号化を実装するように選択することができます。強力な暗号化は、パスワード暗号化キーとして知られている 128 ビットの暗号化されたランダム キーを使用してパスワード データを暗号化することにより、プライベートなアカウント情報を保護します。


データベースのうち、強力に暗号化されているのはプライベートなパスワード情報の部分のみであり、データベース全体ではありません。強力な暗号化オプションを使用しているすべてのシステムは、固有のパスワード暗号化キーを持っています。パスワード暗号化キーは、それ自体がシステム キーで暗号化されます。強力なパスワードの暗号化は、アカウント情報が格納されている Windows NT Server と Workstation の両方で使用することができます。アカウント パスワードの強力な暗号化を使用することにより、レジストリの SAM 部分のコンテンツと、RDISK コマンドを使用して作成された %systemroot%\repair ディレクトリとシステム バックアップ テープのレジストリ情報のその後のバックアップ コピーに対する追加の保護が追加されます。


システム キーは、Syskey.exe コマンドを使用して定義されます。Administrators グループのメンバのみが Syskey.exe コマンドを実行することができます。このユーティリティは、システム キーを初期化または変更するために使用されます。システム キーはパスワード暗号化キーを保護するために使用される "マスタ キー" であり、したがって、システム キーの保護は重要なシステム セキュリティ操作です。


システム キーを管理する 3 つのオプションがあり、さまざまな Windows NT 環境のニーズを満たすように設計されています。システム キー オプションは以下のとおりです。

  • 自動生成されたランダム キーをシステム キーとして使用し、高度な難読化アルゴリズムを使用してローカル システムにキーを格納します。このオプションによってレジストリのパスワード情報が強力に暗号化され、システムを無人で再起動することができるようになります。
  • 自動生成されたランダム キーを使用して、フロッピー ディスクにキーを格納します。システム キーが保存されたフロッピー ディスクはシステムを起動するために必要であり、Windows NT がスタートアップ シーケンスを開始してから、ユーザーがシステムにログオンできるようになる前に、指示に従って挿入する必要があります。この場合システム キーはローカル システムには格納されません。
  • Administrator によって選択されたパスワードを使用して、システム キーを生成します。Windows NT は、システムが最初にスタートアップ シーケンスを実行してから、ユーザーがシステムにログオンできるようになる前に、システム キー パスワードの入力を要求します。この場合、システム キー パスワードはシステムには格納されません。パスワードの MD5 ダイジェストは、パスワード暗号化キーを保護するためにマスタ キーとして使用されます。
パスワードを使用する、またはフロッピー ディスクを必要とするシステム キー オプションを使用する場合、Windows NT オペレーティング システムの初期化中に新しくプロンプトが表示されます。これらの方法を使用する場合、マスタ キー マテリアルがシステムに格納されず、キーの制御を少数のユーザーに制限することができるため、使用可能な保護オプションのうちで最も強力です。この場合、システムの起動にはシステム キー パスワードを知っているか、またはシステム キー ディスクを用意する必要があります。システム キーをフロッピー ディスクに保存する場合、システム キー ディスクのバックアップ コピーをお勧めします。システムを無人で再起動するには、Administrator の応答なしでシステム キー マテリアルをシステムで使用できるようにする必要がある場合があります。高度な難読化アルゴリズムを使用してシステム キーをローカル システムに格納することにより、キーがコア オペレーティング システム セキュリティ コンポーネントでのみ使用可能になります。後から、専用の改ざん防止ハードウェア コンポーネントからキー マテリアルを取得するようにシステム キーを設定し、これによってセキュリティを最大限に高めることができます。


警告 : システム キー パスワードを忘れるか、またはシステム キー フロッピー ディスクをなくした場合、システムを起動できないことがあります。緊急の事態に備えて、システム キー情報をバックアップ コピーし、安全に保護された状態で保存してください。システム キーが失われた場合にシステムを回復する唯一の方法は、修復ディスクを使用して、強力な暗号化を有効にする前の状態にレジストリを復元することです。以下の「問題の修復」を参照してください。


強力な暗号化は、プライマリ ドメイン コントローラと各バックアップ ドメイン コントローラ (DC) で別々に設定することができます。各ドメイン コントローラは、固有のパスワード暗号化キーと固有のシステム キーを持っています。たとえば、プライマリ DC は、ディスクに格納されている自動生成システム キーを使用するように設定し、バックアップ DC は、ローカル システムに格納されている別の自動生成システム キーをそれぞれ使用することができます。プライマリ ドメイン コントローラにローカルに格納されている自動生成システム キーは複製されません。


プライマリ ドメイン コントローラに対して強力な暗号化を有効にする前に、プライマリ ドメインへの変更が完了して確認されるまで、完全に更新されたバックアップ ドメイン コントローラがバックアップ システムとして使用できることを確認する必要がある場合があります。システムで強力な暗号化を有効にする前に、コマンドの RDISK /S を使用して、レジストリのセキュリティ情報を含むシステム修復ディスクの新しいコピーを作成することをお勧めします。RDISK /S を使用する前に、「サポート技術情報」 (Microsoft Knowledge Base) の次の資料を参照してください。

文書番号 :
122857
タイトル : RDISK /S and RDISK /S- Options in Windows NT

SYSKEY コマンドは、システム キー オプションを選択して最初のキーの値を生成するために使用されます。キーの値は、自動生成されたキーまたはパスワードから生成したキーである場合があります。SYSKEY コマンドは、強力な暗号化を有効にするかまたは無効にするかを示すダイアログを最初に表示します。強力な暗号化機能を有効にした後で無効にすることはできません。アカウント データベースの強力な認証を有効にするには、オプションの "暗号化を有効にする" を選択して [OK] をクリックします。次に、管理者に最新のシステム修復ディスクを作成するように指摘する確認ダイアログが表示され、アカウント データベース キーのオプションを示す新しいダイアログが表示されます。[アカウント データベース キー] ダイアログで使用可能なオプションを使用して、システム キーを選択してください。


システム キー オプションを選択した後で、Windows NT を再起動してシステム キー オプションを有効にする必要があります。システムを再起動するときに、管理者は、選択したオプションに応じてシステム キーを入力するように要求されることがあります。Windows NT は、システム キーの最初の使用を検出して、新しいランダム パスワード暗号化キーを生成します。パスワード暗号化キーはシステム キーで保護され、すべてのアカウント パスワード情報が強力に暗号化されます。


SYSKEY コマンドは、アカウント パスワード情報の強力な暗号化が必要なシステムで個別に実行する必要があります。SYSKEY は、マスタ キーを生成してキーをシステムにローカルで格納する "-l" コマンド オプションをサポートします。このオプションは、レジストリの強力なパスワードの暗号化を有効にして、対話型のダイアログなしでコマンドを実行できるようにします。SYSKEY コマンドは、システム キー オプションをある方法から別の方法に変更するために、またはシステム キーを新しいキーに変更するために、後で使用することができます。システム キーを変更するには、現在のシステム キーについての知識があるか、またはシステム キーを所有している必要があります。パスワードから生成したシステム キー オプションを使用する場合、SYSKEY は最小のパスワードの長さを強制しませんが、長いパスワード (12 文字より長い) をお勧めします。システム キーのパスワードの長さは最大 128 文字です。


すべてのドメイン コントローラに対して SYSKEY を適用する必要があります。SYSKEY が適用されない場合、バックアップ ドメイン コントローラ (BDC) の SAM は、プライマリ ドメイン コントローラ (PDC) の SAM と比較して安全性が低下し、SYSKEY をインストールする効果がなくなります。

問題の修復

アカウント パスワード情報の強力な暗号化の導入によってレジストリの SYSTEM および SAM が変更され、Windows NT システムの回復に使用可能な修復オプションに影響が生じます。RDISK コマンドを常に /S オプションと一緒に使用するようにし、\Repair フォルダにレジストリの SYSTEM と SAM の部分のバックアップ コピーを含む、新しいシステム修復ディスクを作成してください。


完全な回復オプションのためには、次のシステム修復ディスクが使用可能でなければなりません。

  • システム キーの修正プログラムをインストールする前に、新しい修復ディスクを作成してください。このディスクを、修正プログラムをインストールする前のシステム構成とアカウント情報のコピーを含んでいる "修正プログラム前" の修復ディスクとします。"修正プログラム前" の修復ディスクは、Windows NT の CDROM を使用して、レジストリとシステム ファイルを回復するために必要となる場合があります。
  • システム キーの修正プログラムをインストールした後で、SYSKEY コマンドを使用して強力な暗号化を有効にする前に、修復ディスクを作成してください。この修復ディスクを、"修正プログラム - 暗号化前" とします。この修復ディスクは、レジストリを強力な暗号化が有効になる前の状態に修復するために必要となる場合があります。たとえば、Windows NT システム キーを失ったか、または忘れた場合に、システムを回復するために使用することができます。
  • SYSKEY を実行して強力な暗号化を有効にした後で、修復ディスクを作成してください。この修復ディスクを "修正プログラム - 暗号化後" とします。この修復ディスク、およびこの修復ディスクへのその後の更新は、修復ディスクが最後に更新されたときに有効だったシステム キーを使用して、強力な暗号化のままレジストリを回復するために必要となる場合があります。
強力な暗号化のためのシステム キーの修正プログラムがサポートされていることにより、次のシステム コンポーネントに影響が生じます。

  • SYSTEM と SAM のレジストリ ハイブ
  • 次の 3 つのシステム セキュリティ コンポーネント ファイル : Winlogon.exe、Samsrv.dll、Samlib.dll
通常、修復処理では、これらのコンポーネントの一致するバージョンを使用する必要があります。いずれの修復オプションを選択しても、バージョンが一致するシステム ファイルを使用してレジストリ ハイブの修復処理が調整されます。


次の表は、使用可能な回復オプションの一覧です。



修復後の 適用する修復ディスク 修復されたシステム
システム構成
------------------------------------------------------------------------------

修正プログラムを "修正プログラム前" レジストリは、修正プログラムがイン
インストールする前の の修復ディスクを使用して ストールされる前のシステムに一致
Windows NT 4.0 ください。 します。3 つのシステム セキュリティ
コンポーネント ファイルを
Windows NT 4.0 CD から修復して
修正プログラム前のレジストリ形式に
一致させる必要があります。

修正プログラムを "修正プログラム - 暗号化 レジストリは、強力な暗号化前の
インストールしたが、 前" の修復ディスクを使用 システムと一致します。システム
強力な暗号化は してください。 キーは有効ではなく、強力な
有効になっていない 暗号化は有効になっていません。
Windows NT 4.0 システム セキュリティ ファイルを、
Windows NT 4.0 CD から修復
する必要はありません。

修正プログラムを "修正プログラム - 暗号化 レジストリは、強力な暗号化が
インストールし、 後" の修復ディスクを使用 有効なシステムと一致します。
強力な暗号化が してください。 有効なシステム キーは、修復
有効になっている ディスクが作成されたときに使用
Windows NT 4.0 されていたシステム キーです。


システム キーの修正プログラムをインストールした後で Administrator がシステムを修復する必要がある場合には、レジストリの SYSTEM と SAM の部分の両方を同時に修復する必要があります。レジストリの SYSTEM 部分のシステム キー オプションは、レジストリの SAM 部分に使用されている強力な暗号化キーと一致しなければなりません。1 つのレジストリ ハイブを修正してもう一方を修正しないと、システムが、アカウント パスワード情報で使用されている強力な暗号化キーと一致しない (パスワードから生成、または自動生成された) 別のシステム キー オプションを使用しようとする可能性があります。


システム キーの修正プログラムのインストールにより、System.log ファイルのシステム セキュリティ コンポーネント (Winlogon.exe、Samsrv.dll、Samlib.dll) のチェックサムが更新されます。System.log ファイルは、システム修復ディスクに保存されます。System.log ファイルは、回復中にそれらのファイルを Windows NT Server 4.0 CD-ROM から更新し、修正プログラム前のレジストリ構成に一致させる必要があるかどうかを判定するために使用されます。回復後のシステム構成を、Windows NT Server 4.0 にシステム キーの修正プログラムをインストールした状態にする場合は、これらのシステム セキュリティ ファイルの修復は要求されません。


システム キーの修正プログラムをインストールした後に、強力な暗号化を有効にせず、システム キーの修正プログラムをインストールする前に作成した修復ディスクを使用して (つまり、"修正プログラム前" の修復ディスクを使用して) システム ファイルを修復しようとする場合は、SYSTEM と SAM のレジストリも修復しなければなりません。レジストリを修復しないと、システム ファイルおよびレジストリ形式は一致しません。ログオンしようとするときに、エラー (エラー番号 C00000DF) が表示されます。レジストリとシステム ファイルが一致しない場合、回復処理を実行して、一致するシステムおよびレジストリ ファイルを修復する必要があります。上と同じ "修正プログラム前" の修復ディスクからレジストリ ハイブを修復してください。または、システム キー修正プログラムのシステム ファイルと一致するレジストリ形式を持つ "修正プログラム - 暗号化前" の修復ディスクを使用してください。


最後に、システム セキュリティ ファイル (Winlogon、Samsrv.dll、Samlib.dll) が壊れている状況では、"修正プログラム前" の修復ディスクを使用してシステムを回復し、Windows NT Server 4.0 CD-ROM から壊れたファイルを修復しなければなりません。また、SYSTEM および SAM のレジストリ ハイブを修復して、"修正プログラム前" の修復ディスクからのシステム ファイルと一致させなければなりません。


現在の米国における輸出規制では、パスワードのような認証データを保護するために 128 ビットの暗号化キーを使用することが許可されています。Syskey に使用される暗号化キーは、レジストリの SAM と Security の部分に格納されるパスワードの保護に固有です。一般目的のデータ保護のための 128 ビットの Syskey 暗号化を使用するために使用できるアプリケーション API はありません。


Windows 2000 以降のオペレーティング システムでは、Syskey は自動的に有効になり、無効にすることはできません。変更に使用できる唯一のオプションは、ローカル記憶域にスタートアップ キーを保存するかわりにフロッピー ディスクに移動することです。

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID
143475 (最終更新日 2001-10-04) をもとに作成したものです。


プロパティ

文書番号:143475 - 最終更新日: 2003/07/22 - リビジョン: 1

フィードバック