O algoritmo para a implementação de certificados de smart card de sistema de encriptação de ficheiros (EFS) no Windows Vista poderá perda de dados

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 953152
Este artigo foi arquivado. Este artigo é oferecido "tal como está" e deixará de ser actualizado.
Sintomas
A Implementação de certificados de smart card de encriptação (EFS, ENCRYPTING File System) no Windows Vista ignora a extensão de utilização avançada de chaves se a extensão não especificar o EFS. Nesta situação, um certificado pode ser seleccionado que não se destinam a encriptação de dados. Por conseguinte, dados podem ser perdidos se um desastre agente de recuperação (DRA, Recovery Agent) não está configurada ou se o BIOS não compatível com certificado tiver sido seleccionado anteriormente não é mantido depois de expirar.
Resolução
Esta correcção está agendada para ser incluída no Windows Server 2008 Service Pack 2 (SP2) e com o Windows Vista Service Pack 2 (SP2).

Informações de registo

importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
322756Como efectuar uma cópia de segurança e restaurar o registo no Windows
Depois de aplicar esta correcção, tem de efectuar as seguintes alterações ao registo:
  1. Inicie o Editor de registo. Para o fazer, clique em Iniciar , escreva regedit na caixa Iniciar procura e, em seguida, prima ENTER.
  2. Localize e, em seguida, com o botão direito do rato na seguinte subchave do registo:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS
  3. Aponte para Novo e, em seguida, clique em Valor DWORD (DWORD Value) .
  4. Escreva RequireValidEKU e, em seguida, prima ENTER.
  5. Clique com o botão direito do rato RequireValidEKU e, em seguida, clique em Modificar .
  6. Na caixa dados do valor , escreva 1 e, em seguida, clique em OK .

    Nota Defina o valor como 1 para requerer uma EKU válido.
  7. Saia do Editor de registo.
Ponto Da Situação
A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".
Mais Informação
Para suportar single sign-on (SSO) no Windows Vista para o EFS, o seguinte fluxo decisão é utilizado para localizar um certificado EFS compatível com o smart card utilizado para iniciar sessão:
  1. Se o certificado de início de sessão tem o EFS expandido utilização de chaves (EKU) (OID de "1.3.6.1.4.1.311.10.3.4"), verifique se é utilizado para o EFS e, em seguida, seleccione-a como a chave EFS actual.
  2. Enumere os certificados no smart card. (Que está a procurar um que tenha o EKU de EFS.) Se encontrar um, verifique se é utilizado para o EFS e, em seguida, seleccione-a como a chave EFS actual.
  3. Se nenhum certificado tiver EKU EFS, procure um certificado que foi uma utilização de chaves (KU) de CERT_KEY_ENCIPHERMENT_KEY_USAGE ou não KU definido. Se encontrar um, verifique se é utilizado para o EFS e, em seguida, seleccione-a como a chave EFS actual.
Se nenhum destes passos produz um certificado compatível com o EFS, o smart card de início de sessão não pode ser utilizado para SSO.

notas
  • Siga estes passos apenas se uma chave EFS actual já não está definida.
  • O significado da expressão "utilizável para EFS" depende tanto na política e as capacidades de certificados/chave. Em resumo, esta expressão faz referência a um ou mais das seguintes condições:
    • A chave é especificada para a chave privada ’s certificado tem o sinalizador AT_KEYEXCHANGE.
    • Se o modo de chaves em cache do smart card for especificado na política, a chave privada pode ser utilizada para derivar a chave em cache. Isto implica uma operação de assinatura.
    • Se o modo de chaves em cache do smart card não for especificado na política, a chave tem de conseguir efectuar uma operação de encriptação/desencriptação RSA.
    • Se smart cards forem necessários por política, o fornecedor da chave tem de ser do tipo CRYPT_IMPL_REMOVABLE.
    • O tamanho da chave RSA tem de ser, pelo menos, 1024 bits.
    • Se forem desactivados certificados auto-assinados por política, o certificado tem de ser emitido por uma AC.
    Para obter mais informações sobre o sistema de encriptação de ficheiros, visite o seguinte Web site da Microsoft:

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 953152 - Última Revisão: 01/16/2015 10:34:54 - Revisão: 1.1

Windows Vista Business, Windows Vista Enterprise, Windows Vista Home Basic, Windows Vista Home Premium, Windows Vista Ultimate, Windows Vista Business 64-bit edition, Windows Vista Enterprise 64-bit edition, Windows Vista Home Basic 64-bit edition, Windows Vista Home Premium 64-bit edition, Windows Vista Ultimate 64-bit edition, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 for Itanium-Based Systems

  • kbnosurvey kbarchive kbmt kbexpertiseinter kbfix kbbug kbsurveynew KB953152 KbMtpt
Comentários