Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Làm thế nào để gỡ rối các API bảo vệ dữ liệu (DPAPI)

Support for Windows XP has ended

Microsoft ended support for Windows XP on April 8, 2014. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:309408
TÓM TẮT
API bảo vệ dữ liệu (DPAPI) sẽ giúp bảo vệ dữ liệu trong Windows 2000 và hệ điều hành sau này. DPAPI được sử dụng để bảo vệ riêng tư phím, thông tin đăng nhập được lưu trữ (trong Windows XP và sau đó) và thông tin bí mật là hệ điều hành hoặc một chương trình muốn giữ bí mật.

DPAPI là không chịu trách nhiệm để lưu trữ các thông tin bí mật nó bảo vệ. Nó chỉ chịu trách nhiệm cho việc mật mã hóa và giải mã dữ liệu cho các chương trình gọi nó, chẳng hạn như Windows ủy nhiệm quản lý, cơ chế lưu trữ Private Key hoặc bất kỳ bên thứ ba chương trình gọi đó các CryptProtectData() chức năng và các CryptUnprotectData() chức năng trong Windows 2000, Windows XP, hoặc sau đó.

Chú ý Chức năng này là khác nhau từ các chức năng được cung cấp bởi cửa hàng cửa sổ bảo vệ (P-cửa hàng) trong Windows NT 4.0. P-cửa hàng có trách nhiệm bảo vệ và lưu trữ các thông tin bí mật. DPAPI cung cấp không có khả năng lưu trữ.
Bài viết này mô tả cách DPAPI giúp bảo vệ dữ liệu ở mức cơ bản. Nó cũng bao gồm các thông tin có liên quan đến giải đáp thắc mắc mất quyền truy cập vào dữ liệu DPAPI được bảo vệ trong kịch bản khác nhau.

Để biết thêm chi tiết về cách thức hoạt động DPAPI, ghé thăm Web site sau của Microsoft: Bài viết này bao gồm các chủ đề sau:
THÔNG TIN THÊM
Quan trọng Để khắc phục mất dữ liệu DPAPI, bạn phải thu thập các thông tin sau:
  • DPAPI nào trong môi trường bảo mật cụ thể của bạn bao gồm cả các phiên bản máy trạm địa phương?
  • Là các máy trạm là tham gia vào một vùng?
  • Là người dùng là thành viên của tên miền?
  • Các phiên bản hệ điều hành được lưu trữ tên miền là gì?
Nhiều vấn đề với DPAPI xảy ra khi DPAPI được sử dụng trong một tên miền Windows NT 4.0. Hãy xem phần "biết đến các vấn đề" sau này trong bài viết này cho biết thêm thông tin.

DPAPI được sử dụng chủ yếu là do tính năng bảo mật của hệ điều hành để bảo vệ dữ liệu trên danh nghĩa của người dùng. Ngoài ra, bất kỳ chương trình bên thứ ba có thể sử dụng DPAPI để giúp một cách an toàn bảo vệ dữ liệu người dùng.

Những gì DPAPI có thể bảo vệ

DPAPI giúp bảo vệ các mục sau đây:
  • Trang web thông tin đăng nhập (ví dụ, mật khẩu)
  • Tập tin chia sẻ thông tin đăng nhập
  • Riêng phím kết hợp với việc mật mã hóa tệp hệ thống (EFS), S/MIME và giấy chứng nhận khác
  • Chương trình dữ liệu được bảo vệ bằng cách sử dụng các CryptProtectData() chức năng

Ví dụ: Chứng chỉ và tư nhân phím

Phần này mô tả sự khác biệt giữa các dữ liệu cá nhân và thông tin bí mật DPAPI giúp bảo vệ. Danh sách sau đây mô tả các vị trí của dữ liệu trong một thao tác nhập khẩu của một giấy chứng nhận và nó mô tả khóa riêng gắn liền với rằng giấy chứng nhận đến cửa hàng cá nhân của người sử dụng:
  • Chứng chỉ mã hóa như là một đối tượng lớn nhị phân và lưu trữ như là một giá trị nhị phân ở vị trí tệp sau:
    %UserProfile%\Application Data\Microsoft\SystemCertificates\My\Certificates
  • Lưu ý rằng vị trí khóa registry trong hồ sơ người dùng cục bộ. Vị trí này làm cho chắc chắn rằng chỉ có người dùng đăng nhập có quyền truy cập vào chứng chỉ của họ trong trường hợp điển hình.
  • Chứng chỉ không được bảo vệ bởi DPAPI bởi bất kỳ cơ chế Windows mặc định. Một danh sách điều khiển truy nhập (ACL) được sử dụng để xác định những người có thể tải của người sử dụng hive và những người có thể đọc các giấy chứng nhận được lưu trữ trong hive.
  • Khóa riêng gắn liền với chứng chỉ được mã hóa bởi DPAPI và lưu (trong một hình thức đã mật mã) trong một thùng chứa chính như tệp riêng lẻ trong hồ sơ của người sử dụng trong các thư mục sau đây:
    • RSA phím:
      %UserProfile%\Application Data\Microsoft\Crypto\RSA\Người dùng SID
    • DSA phím:
      %UserProfile%\Application Data\Microsoft\Crypto\DSA\Người dùng SID
Quay lại đầu trang

Cách thức hoạt động DPAPI

Chú ý Các điều khoản và khái niệm được mô tả trong phần này đã được đơn giản hóa cho mục đích rõ ràng trong bối cảnh của bài viết này. Một số mức độ chi tiết đã được bỏ qua. Ví dụ, bài viết này thảo luận về một giá trị xuất phát từ mật khẩu của người dùng, nhưng nó không mô tả chi tiết của các thuật toán được sử dụng để lấy được các giá trị. Để có một mô tả chi tiết về cách thức hoạt động DPAPI, xem giấy trắng bảo vệ dữ liệu của Windows. Để xem này giấy trắng, ghé thăm Web site sau của Microsoft: DPAPI là một chức năng được sử dụng bởi các chương trình và thành phần hệ điều hành khác nhau để bảo vệ dữ liệu cho người dùng. Hoạt động của DPAPI là không hiển thị cho người sử dụng. DPAPI giúp bảo vệ dữ liệu trong bối cảnh an ninh của người sử dụng người điều hành chương trình.

DPAPI giúp bảo vệ thông tin bí mật bằng cách sử dụng dữ liệu giá trị bắt nguồn từ một số 512-bit đựoc tên là một bậc thầy chìa khóa. Bộ kiểm soát miền Windows Server 2003 sử dụng một 2048-bit RSA chính, nhưng chỉ khi các tên miền đang chạy trong chế độ Windows Server 2003 hoặc tên miền chức năng cấp 2. Mỗi tài khoản người sử dụng có một hoặc nhiều ngẫu nhiên tạo ra phím bậc thầy. Số lượng các phím bậc thầy phụ thuộc vào độ tuổi của hồ sơ của người dùng. Master keys được gia hạn tại các khoảng thường xuyên. Theo mặc định, giá trị này là mỗi 90 ngày.

Do master keys chứa dữ liệu đó là yêu cầu để giải mã tất cả các người sử dụng thông tin bí mật, các phím bậc thầy phải được bảo vệ. Họ được bảo vệ bằng cách sử dụng một giá trị xuất phát từ mật khẩu của người dùng. Mật khẩu là một giá trị duy nhất chỉ là một người sử dụng biết. Bởi vì chìa khóa thạc sĩ thực sự được mã hóa bằng cách sử dụng một giá trị xuất phát từ người sử dụng mật khẩu, giá trị này được sử dụng thay thế nhau với mật khẩu của người dùng trong các mô tả trình bày trong bài viết này.

Quay lại đầu trang

DPAPI môi trường cân nhắc

Phần này mô tả các cấu môi trường mà ảnh hưởng đến hành vi của DPAPI bảo vệ.

DPAPI và các cấu hình bắt buộc

Cấu hình bắt buộc những hồ sơ chỉ-đọc. Không có bản Cập Nhật được thực hiện cho bản sao cục bộ của hồ sơ ủy nhiệm được lưu. Ví dụ, thế hệ chủ chốt là bị chặn tại một hồ sơ ủy nhiệm. DPAPI lưu trữ master key trong bản sao cục bộ của một hồ sơ và thường xuyên tạo mới master keys và cập nhật các mã hóa trên thông tin bí mật được bảo vệ với master key mới.

Bởi vì những điều kiện này hai không tương thích, các chương trình phụ thuộc vào DPAPI để giúp bảo vệ thông tin bí mật không làm việc một cách chính xác với cấu hình bắt buộc. Chương trình giúp bảo vệ thông tin bí mật với DPAPI không hoạt động đúng với bắt buộc hồ sơ bao gồm EFS (tư nhân phím), giấy chứng nhận với tư nhân phím (phím tư nhân), và lưu trữ chứng trong Windows XP và mới hơn (chứng). Cấu hình sử dụng các loại dữ liệu hoặc các chương trình không được hỗ trợ.

Quay lại đầu trang

DPAPI và chuyển vùng hồ sơ

DPAPI hoạt động như mong đợi với hồ sơ di động cho người sử dụng và máy vi tính đã tham gia vào một tên miền dịch vụ thư mục Active Directory. DPAPI dữ liệu được lưu trữ trong hồ sơ hành vi chính xác giống như bất kỳ cài đặt nào khác hay một tập tin được lưu trữ trong một cấu hình chuyển vùng. Thông tin bí mật mà DPAPI giúp bảo vệ được tải lên đến vị trí hồ sơ trung tâm trong quá trình đăng xuất và được tải xuống từ vị trí hồ sơ trung tâm khi người dùng đăng nhập.

Cho DPAPI làm việc chính xác khi nó sử dụng hồ sơ di động, người sử dụng tên miền phải chỉ đăng nhập vào một máy tính duy nhất trong tên miền. Nếu người dùng muốn đăng nhập vào một máy tính khác nhau ở miền, người dùng phải đăng xuất khỏi máy tính đầu tiên trước khi các bản ghi người dùng đến máy tính thứ hai. Nếu người dùng được đăng nhập vào để nhiều máy tính cùng một lúc, nó có khả năng rằng DPAPI sẽ không thể giải mã dữ liệu đã mật mã hóa hiện có một cách chính xác.

DPAPI trên một máy tính có thể giải mã master key (và dữ liệu) trên máy tính khác. Chức năng này được cung cấp bởi người sử dụng nhất quán mật khẩu được lưu giữ và xác nhận qua bộ điều khiển vùng. Nếu một gián đoạn bất ngờ của quá trình tiêu biểu diễn ra, DPAPI có thể sử dụng quy trình được mô tả trong phần "Đặt lại mật khẩu" sau này trong bài viết này.

Có là một hạn chế hiện tại với chuyển vùng hồ sơ giữa dựa trên Windows XP hoặc Windows Server 2003 dựa trên máy tính và máy tính dựa trên Windows 2000. Nếu phím là tạo ra hoặc nhập khẩu trên một máy tính dựa trên Windows XP hoặc Windows Server 2003 dựa trên và sau đó được lưu giữ trong một hồ sơ di động, DPAPI không thể giải mã những phím trên một máy tính dựa trên Windows 2000 nếu bạn đăng nhập với một hồ sơ người dùng di động. Tuy nhiên, một máy tính dựa trên Windows XP hoặc Windows Server 2003 dựa trên có thể giải mã phím được tạo ra trên một máy tính dựa trên Windows 2000.

Quay lại đầu trang

DPAPI và thay đổi mật khẩu

Người sử dụng trong một môi trường bảo mật nâng cao sẽ thay đổi mật khẩu của họ tại các khoảng thường xuyên. Do đó, DPAPI phải có khả năng duy trì cùng một mức độ truy cập của người dùng bảo vệ dữ liệu sau khi thay đổi mật khẩu. Các phương pháp sau đây được sử dụng để thay đổi mật khẩu người dùng trong một môi trường Windows:
Thay đổi mật khẩu
Trong phương pháp này, không có sự liên tục truy cập vào phím bậc thầy của người dùng trong một sự thay đổi mật khẩu. DPAPI các thành phần trình viện dẫn trong các chiến dịch thay đổi mật khẩu trong một tên miền Active Directory:
  • DPAPI nhận được thông báo từ trình trong một hoạt động thay đổi mật khẩu.
  • DPAPI decrypts tất cả các phím bậc thầy đã được mã hóa với mật khẩu cũ của người dùng.
  • DPAPI re-encrypts tất cả các phím bậc thầy với mật khẩu mới của người dùng.
Đặt lại mật khẩu (Set)
Trong phương pháp này, người quản trị buộc phải đặt lại mật khẩu người dùng. Đặt lại mật khẩu là phức tạp hơn so với một sự thay đổi mật khẩu. Bởi vì các quản trị viên không đăng nhập như người sử dụng và không có quyền truy cập vào mật khẩu cũ của người dùng, mật khẩu cũ không thể được sử dụng để giải mã cũ master key và re-encrypt nó với mật khẩu mới.

Trong mọi trường hợp của resets mật khẩu, nếu người sử dụng mật khẩu được thay đổi trở lại đến cuối mật khẩu trước khi nó đã được đặt lại, truy cập được master key và, do đó, truy cập khôi phục lại tất cả thông tin bí mật nó giúp bảo vệ. Hành vi này xảy ra vì phím bậc thầy sẽ không bao giờ bị xóa, ngay cả khi họ không thể được giải mã. Tuy nhiên, điều này có thể là một giải pháp không đáng tin cậy bởi vì bạn không thể mong đợi người sử dụng có thể luôn luôn nhớ mật khẩu cũ. Ví dụ, mật khẩu của người dùng có thể đã được đặt vì người sử dụng quên mật khẩu này.

Cách DPAPI giải quyết vấn đề đặt lại mật khẩu phụ thuộc vào môi trường an ninh nơi người sử dụng xác thực.

Đặt lại mật khẩu: Người dùng tên miền trong Windows 2000 hoặc sau này tên miền

Khi DPAPI được sử dụng trong một môi trường miền Active Directory, hai bản sao của master key được tạo ra và cập nhật bất cứ khi nào một hoạt động được thực hiện trên master key. Bản sao đầu tiên được bảo vệ bằng mật khẩu người dùng như mô tả trước đó trong bài viết này. Bản sao thứ hai được mã hóa với một khóa công khai được liên kết với bộ kiểm soát miền trong tên miền. Chìa khóa tư nhân được kết hợp với phím công cộng này được biết đến cho tất cả Windows 2000 và sau đó bộ điều khiển vùng. Bộ kiểm soát miền Windows 2000 sử dụng một khóa đối xứng để mật mã hóa và giải mã các bản sao thứ hai của master key.

Nếu khôi phục mật khẩu người dùng và master key ban đầu được kết xuất không thể tiếp cận cho người dùng, người sử dụng truy cập vào master key là tự động phục hồi bằng cách sử dụng chìa khóa thạc sĩ sao lưu trong quá trình sau đây:
  • Các máy trạm sẽ gửi được mã hóa dự phòng master key Windows 2000 hoặc sau này điều khiển vùng qua bảo vệ RPC.
  • Bộ điều khiển tên miền sử dụng khóa riêng để giải của người sử dụng master key.
  • Bộ điều khiển tên miền trả lại chìa khóa chủ không được mã hóa cho các máy trạm.
  • Các máy trạm re-encrypts chìa khóa master bằng cách sử dụng mật khẩu mới của người dùng.
Đặt lại mật khẩu: Windows NT 4.0 tên miền

Microsoft không khuyên bạn nên sử dụng DPAPI kích hoạt tính năng (ví dụ, EFS hoặc tư nhân chính lưu trữ) cho người sử dụng trong một tên miền Windows NT 4.0. Hãy xem phần "biết đến các vấn đề" của bài viết này cho biết thêm thông tin.

Sau khi đặt lại mật khẩu, một máy tính khách hàng dựa trên Windows 2000 restores của người dùng truy cập để DPAPI bảo vệ thông tin bí mật tự động bằng cách sử dụng chìa khóa thạc sĩ dự phòng trong cùng một cách nó nếu người dùng trong một nhóm làm việc. Hãy xem phần "Password Reset: Windows 2000 máy trạm trong một Workgroup", bài viết này cho biết thêm thông tin về thủ tục này và cho thông tin về rủi ro bảo mật.

Windows XP trong một tên miền Windows NT 4.0 không giữ bản sao lưu của master key. Để biết thêm chi tiết, xem phần "biết đến các vấn đề", bài viết này

Đặt lại mật khẩu: Windows 2000 máy trạm trong một nhóm làm việc

Nếu bạn đang sử dụng DPAPI trên một máy tính riêng rẽ, hai bản sao của master key được tạo ra và cập nhật bất cứ khi nào một hoạt động được thực hiện trên master key. Bản sao đầu tiên được bảo vệ bằng mật khẩu người dùng như mô tả trước đó trong bài viết này. Bản sao thứ hai được mã hóa với một giá trị bí mật chỉ biết là trương mục máy tính cục bộ.

Sau khi thiết lập mật khẩu của người dùng đã được buộc lại và người sử dụng các bản ghi với mật khẩu mới, Windows 2000 tự động decrypts bản sao máy tính mã hóa của master key và re-encrypts nó với giá trị bắt nguồn từ mật khẩu người dùng mới. Từ của người sử dụng điểm của xem, người sử dụng truy cập vào thông tin bí mật được bảo vệ bởi DPAPI là hoàn toàn không bị gián đoạn.

Quan trọng Hành vi này có thể ảnh hưởng đến bảo mật. Microsoft không khuyên bạn sử dụng DPAPI trong một cấu hình mặc định như thế này. Microsoft khuyến cáo rằng bạn sử dụng một trong những phương pháp sau đây cho Windows 2000 đứng một mình-máy tính có chứa dữ liệu nhạy cảm có thể được thỏa hiệp về thể chất:
  • Nâng cấp lên Windows XP
  • Sử dụng chế độ SYSKEY 2 hoặc 3 trên Windows 2000-dựa máy tính xách tay

  • Để biết thêm chi tiết về SYSKEY, nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
    143475Windows NT hệ thống khóa giấy phép mã hóa mạnh mẽ của SAM
Đặt lại mật khẩu: Windows XP máy trạm trong một nhóm làm việc

Theo mặc định, cửa sổ XP không tạo ra bản sao lưu của master key. Nó như vậy để giúp ngăn chặn một cuộc tấn công ngoại tuyến của bộ nhớ cache master key. Trong Windows XP, bạn có thể tạo đĩa đặt lại mật khẩu do đó người dùng có thể phục hồi mật khẩu của họ nếu họ quên nó. Nếu bạn đang sử dụng Windows XP Service Pack 1 (SP1) hoặc sau này, bạn có thể cấu hình registry cho Windows mà giữ bản sao lưu của master key.
Để thêm thông tin về tác dụng của một mật khẩu buộc thay đổi và có thể phục hồi, nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
290260EFS, chứng chỉ và phím tư nhân từ chứng chỉ là không có sẵn sau khi đặt lại mật khẩu
Đĩa đặt lại mật khẩu

Đĩa đặt lại mật khẩu chỉ có sẵn trên Windows XP hoặc sau này dựa trên máy vi tính đang gia nhập vào nhóm làm việc. Mật khẩu phục hồi đĩa giấy phép người dùng để lấy lại quyền truy cập vào tài khoản của họ và tất cả thông tin bí mật được bảo vệ bởi DPAPI trong hồ sơ.

Để thêm thông tin về mật khẩu đĩa đặt lại, hãy bấm số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
321305Làm thế nào để đăng nhập vào Windows XP nếu bạn quên mật khẩu của bạn hoặc mật khẩu của bạn hết hạn
Quay lại đầu trang

Vấn đề đã biết

Bạn không thể truy cập vào DPAPI thông tin bí mật trong một tên miền Windows NT 4.0

Quan trọng Microsoft không khuyên bạn sử dụng DPAPI trong một môi trường miền Windows NT 4.0.

Trong một tên miền Windows NT 4.0, Windows XP không tạo ra bản sao lưu của người sử dụng master key. Đây là hành vi mặc định. Nếu bạn thay đổi hoặc đặt lại mật khẩu, người dùng có thể bị từ chối truy cập vào thông tin bí mật được chứa trong tiểu sử của họ. Truy cập chỉ khôi phục khi người dùng thay đổi mật khẩu quay lại mật khẩu tốt được biết đến cuối.

Nguyên nhân thường gặp nhất của vấn đề với DPAPI trong một tên miền Windows NT 4.0 bao gồm mật khẩu resets hoặc hồ sơ di động. Vấn đề với chuyển vùng hồ sơ xảy ra nếu người dùng đã gần đây đã thay đổi mật khẩu của họ. Tùy thuộc vào các yếu tố khác nhau mà có thể làm gián đoạn điển hình các hoạt động chuyển vùng hồ sơ người dùng, hồ sơ người dùng được đăng nhập vào để có thể không có được Cập Nhật với mật khẩu mới (master key mã hóa).

Để giải quyết vấn đề này, cài đặt bộ kiểm soát miền Windows 2000 hoặc Windows Server 2003 trong vùng của người dùng. DPAPI tự động tìm thấy điều khiển vùng để thực hiện sao lưu và khôi phục lại hoạt động bằng cách sử dụng bộ điều khiển tên miền DPAPI công cộng/tư nhân chủ chốt cặp.

Nếu bạn đang sử dụng Windows SP1 và sau đó, bạn có thể lực DPAPI để thực hiện sao lưu địa phương của bậc thầy chìa khóa trong khi bạn đang tham gia vào một vùng Windows NT4. Tuy nhiên, Microsoft không khuyên bạn nên thủ tục này bởi vì nó ảnh hưởng đến bảo mật của máy tính mà thay đổi được áp dụng.

Để biết thêm thông tin, bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
331333 Người dùng không thể truy cập vào EFS đã mật mã hóa tệp sau khi thay đổi mật khẩu hoặc khi sử dụng một hồ sơ chuyển vùng
Quay lại đầu trang

Bạn không thể truy cập vào DPAPI thông tin bí mật sau khi cài đặt lại Windows trên một máy tính riêng rẽ

Bởi thiết kế, bạn không thể truy cập thông tin bí mật DPAPI sau khi bạn cài đặt Windows trên một máy tính riêng rẽ. Thể hiện của người sử dụng đã được trình bày trên bản Windows, ban đầu là bị phá hủy sau khi bạn cài đặt lại hệ điều hành mà không cần nâng cấp. Bất kỳ người dùng mới được tạo ra với tên này có một hiệu trưởng an ninh khác nhau trong cơ sở dữ liệu bảo mật khác. Người dùng mới không có quyền truy cập để giải mã DPAPI thông tin bí mật của người sử dụng gốc. Người dùng không thể truy cập thông tin bí mật của họ bằng cách sử dụng chìa khóa thạc sĩ người sử dụng.

Bản sao gốc của Windows giúp bảo vệ bản sao của master với dữ liệu bí mật được biết chỉ rằng bản sao Windows key. Nếu bạn thay thế hệ điều hành, dữ liệu bí mật này không thể được truy cập. Người dùng không thể truy cập thông tin bí mật của họ bằng cách sử dụng chìa khóa thạc sĩ sao lưu.

Quay lại đầu trang

Bạn không thể thêm hoặc truy cập vào DPAPI thông tin bí mật với cấu hình bắt buộc

Bởi thiết kế,Windows 2000 và Windows XP cho phép bạn ghi vào bản sao cục bộ của hồ sơ ủy nhiệm vì các dữ liệu được lưu sau khi phiên họp Ban đầu. Do đó, DPAPI không thể lưu trữ mới master keys, Cập Nhật phím bậc thầy về biến đổi mật khẩu, hoặc thêm bảo vệ dữ liệu vào một hồ sơ ủy nhiệm.

Bạn không thể truy cập vào DPAPI thông tin bí mật sau khi gia nhập hoặc Disjoining một tên miền

Nếu bạn đã tham gia một máy tính riêng rẽ với một tên miền và bạn mất quyền truy cập vào dữ liệu DPAPI, bạn có thể khôi phục lại truy cập của đăng nhập như là người dùng địa phương. Để đăng nhập như người dùng địa phương trên một máy tính đã gia nhập tên miền, bấm vào máy tính cục bộ tên trong hộp thả xuống trong các Đăng nhập hộp thoại hộp, và sau đó nhập tên người dùng địa phương và mật khẩu của bạn.

Nếu bạn có disjoined một máy tính từ một tên miền, bạn phải tái tham gia các tên miền và sau đó đăng nhập như là người dùng tên miền tương tự để lấy lại quyền truy cập vào các tập tin của bạn.

Quay lại đầu trang

Nguyên tắc và thực tiễn tốt nhất

  • Microsoft khuyến cáo rằng bạn sử dụng mật khẩu mạnh. Sử dụng mật khẩu phức tạp khó khăn nhất bạn đáng tin cậy có thể nhớ. Chú ý Các bộ lọc mật khẩu không hiện đang được hỗ trợ bởi DPAPI.
  • Xuất khẩu và sao lưu quan trọng giấy chứng nhận và phím tư nhân vào vị trí an toàn và an toàn.
Quay lại đầu trang
xây dựng lại

Warning: This article has been translated automatically

Thuộc tính

ID Bài viết: 309408 - Xem lại Lần cuối: 08/27/2011 17:54:00 - Bản sửa đổi: 2.0

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows XP Professional, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition

  • kbinfo kbmt KB309408 KbMtvi
Phản hồi