Версия этой статьи для Microsoft Windows NT приведена в статье 143475.
Аннотация
В базе данных управления учетными записями безопасности Microsoft Windows 2000, Microsoft Windows XP и Microsoft Windows 2003 (SAM) хранятся хешированные копии паролей пользователей. Эта база данных зашифрована с помощью локально хранимого системного ключа. Для обеспечения безопасности базы данных SAM Windows требует, чтобы хэши пароля были зашифрованы. Windows предотвращает использование сохраненных и незашифрованных хэшей паролей. Вы можете использовать служебную программу SysKey, чтобы дополнительно защитить базу данных SAM, переместив ключ шифрования базы данных SAM с компьютера под управлением Windows. Служебная программа SysKey также может быть использована для настройки пароля запуска, который должен быть введен для расшифровки системного ключа, чтобы Windows мог получить доступ к базе данных SAM. В этой статье описано, как с помощью служебной программы SysKey защитить базу данных Windows SAM.
Дополнительная информация
Настройка защиты системного ключа Windows
Чтобы настроить защиту системного ключа Windows, выполните указанные ниже действия.
-
В командной строке введите SYSKEYи нажмите клавишу ВВОД.
-
В диалоговом окне Защита базы данных учетных записей Windows Обратите внимание на то, что выбран параметр Шифрование включена и является единственным доступным вариантом. Если выбран этот параметр, Windows будет всегда шифровать базу данных SAM.
-
Нажмите кнопку Обновить.
-
Нажмите кнопку Запуск пароля , если требуется пароль для запуска Windows. Используйте сложный пароль, который состоит из комбинации прописных и строчных букв, цифр и символов. Пароль для запуска должен состоять не менее чем из 12 символов и не может содержать более 128 символов.Примечание. Если вы должны выполнить удаленную перезагрузку компьютера, для которого требуется пароль (если вы используете параметр запуска пароля ), то во время перезапуска пользователь должен находиться в локальной консоли. Используйте этот параметр только в том случае, если для ввода пароля при запуске будет доступен доверенный администратор безопасности.
-
Щелкните сгенерированный системой пароль , если вы не хотите требовать пароль для запуска. Выберите один из указанных ниже вариантов.
-
Нажмите кнопку сохранить ключ запуска на дискете , чтобы сохранить пароль запуска системы на дискете. Для этого вам потребуется вставить дискету для запуска операционной системы.
-
Нажмите кнопку сохранить ключ запуска локально , чтобы сохранить ключ шифрования на жестком диске локального компьютера. Этот вариант используется по умолчанию.
Нажмите кнопку ОК два значения, чтобы завершить процедуру. Для обеспечения оптимальной безопасности удалите ключ шифрования SAM с локального жесткого диска с помощью ключа запуска в магазине Store на дискете . Это обеспечивает наивысший уровень защиты для базы данных SAM. Всегда создавайте резервные дискеты при использовании ключа запуска магазина на дискете . Вы можете перезапустить систему удаленно, если кто-то сможет вставить дискету во время перезапуска компьютера.
-
Примечание. База данных SAM Microsoft Windows NT 4,0 по умолчанию не зашифрована. Вы можете зашифровать базу данных SAM для Windows NT 4,0 с помощью служебной программы SysKey.