SysKey ユーティリティを使用して Windows セキュリティ アカウント マネージャ データベースをセキュリティで保護する方法


Microsoft Windows NT については、次の資料を参照してください。143475

概要


Microsoft Windows 2000、Microsoft Windows XP、および Microsoft Windows Server 2003 のセキュリティ アカウント マネージャ (SAM) データベースには、ユーザー パスワードのハッシュされたコピーが格納されています。このデータベースは、ローカルに格納されたシステム キーで暗号化されています。SAM データベースをセキュリティで保護するために、Windows ではパスワード ハッシュの暗号化が必須です。Windows では、格納された暗号化されていないパスワード ハッシュは使用できません。


SAM データベースのセキュリティを強化するために、SysKey ユーティリティを使用して、Windows ベースのコンピュータとは別の場所に SAM データベースの暗号化キーを保存することができます。また、SysKey ユーティリティを使用して、Windows による SAM データベースへのアクセスでシステム キーの解読に必要なスタートアップ パスワードを構成することもできます。この資料では、SysKey ユーティリティを使用して Windows SAM データベースをセキュリティで保護する方法について説明します。

詳細


Windows システム キー保護を構成する

Windows システム キー保護を構成するには、次の手順を実行します。
  1. コマンド プロンプトで syskey と入力し、Enter キーを押します。
  2. [Windows アカウント データベースのセキュリティ保護] ダイアログ ボックスで、[暗号化を有効にする] が選択されていて、このオプションのみが使用可能になっていることを確認します。このオプションが選択されている場合、Windows は常に SAM データベースを暗号化します。
  3. [更新] をクリックします。
  4. Windows を起動するためのパスワードが必要な場合は、[パスワード スタートアップ] をクリックします。大文字と小文字、数字、および記号を組み合わせた複雑なパスワードを使用してください。スタートアップ パスワードとして、12 ~ 128 文字を指定できます。


    : パスワードが必要なコンピュータ ([パスワード スタートアップ] オプションを使用している場合) をリモートで再起動する必要がある場合、再起動時にローカル コンソールを操作可能な人が必要です。このオプションは、信頼されたセキュリティ管理者によるスタートアップ パスワードの入力が可能な場合にのみ使用してください。
  5. スタートアップ パスワードが必要でない場合は、[システムによって自動生成されるパスワード] をクリックします。


    次のオプションのいずれかを選択します。
    • システムのスタートアップ パスワードをフロッピー ディスクに保存する場合は、[フロッピー ディスクにスタートアップ キーを保存する] をクリックします。この場合、オペレーティング システムを起動するには、だれかがフロッピー ディスクを挿入する必要があります。
    • ローカル コンピュータのハード ディスクに暗号化キーを保存するには、[ローカルにスタートアップ キーを保存する] をクリックします。これは、デフォルトのオプションです。
    [OK] を 2 回クリックして操作を完了します。


    最適なセキュリティにするには、[フロッピー ディスクにスタートアップ キーを保存する] オプションを使用して、ローカル ハード ディスクから SAM 暗号化キーを削除します。これにより、SAM データベースに対する最高レベルの保護が提供されます。


    [フロッピー ディスクにスタートアップ キーを保存する] オプションを使用する場合は、必ずバックアップ フロッピー ディスクを作成します。コンピュータの再起動時にフロッピー ディスクを挿入可能な人がいる場合は、システムをリモートで再起動できます。
: Microsoft Windows NT 4.0 SAM データベースは、デフォルトでは暗号化されません。Windows NT 4.0 SAM データベースは、SysKey ユーティリティを使用して暗号化できます。