Начиная с Windows NT4.0 в состав Windows XP входит программа syskey. Это служебная программа, для усиления защиты учетных записей путем дополнительного шифрования хеша паролей.

По умолчанию эта функция включена в Windows XP и отключить эту защиту невозможно. При этом сам ключ, с помощью которого шифруются хеши паролей, хранится на локальном компьютере. При загрузке система находит этот ключ и расшифровывает учетные данные. Но предусмотрены и другие варианты хранения ключа — ключ хранится на дискете и при входе такая дискета должна быть вставлена в дисковод, или для получения ключа используется пароль, установленный администратором, который необходимо будет ввести при загрузке. Рассмотрим подробнее эти варианты: (Для запуска программы syskey требуются административные права)

Хранение ключа на дискете — запустите программу syskey (Пуск — Выполнить — syskey.exe). Нажмите кнопку «Обновить» и выберите вариант «Хранить ключ запуска на дискете». После дополнительного запроса и вставки дискеты ключ запуска будет сохранен на дискете. Желательно сделать несколько копий этой дискеты. Теперь при загрузке Windows XP до появления экрана выбора пользователей будет выведено сообщение: «В данной конфигурации для запуска Windows требуется ключевая дискета. Вставьте эту дискету и нажмите кнопку OK. Если ключевая дискета отсутствует, обратитесь к системному администратору». Если вы решите отказаться от хранения ключа на дискете и вернуться к привычному способу входа в Windows XP, то для изменения способа хранения ключа вновь потребуется вставить дискету.

Установка пароля запуска — запустите программу syskey (Пуск — Выполнить — syskey.exe). Нажмите кнопку «Обновить» и выберите вариант «Пароль запуска». После установки пароля при при загрузке Windows XP до появления экрана выбора пользователей будет выведено сообщение: «В данной конфигурации для запуска Windows требуется ввести пароль» При изменении способа хранения ключа потребуется ввести установленный пароль.

Важно! Если вы решили воспользоваться возможностями программы syskey, помните — если вы забудете установленный пароль или утратите дискету с записанным ключом, загрузить систему будет невозможно. Вы также не сможете загрузить консоль восстановления. Microsoft рекомендует перед переходом на альтернативные варианты хранения ключа запуска создать диск аварийного восстановления (ASR) — только этим способом возможно восстановить нормальный запуск системы при утерянном ключе.

Дополнительную информацию о программе syskey можно найти в базе знаний Microsoft в статье приведённой ниже (перевод оригинального текста ).

Windows NT System Key Permits Strong Encryption of the SAM

Система Windows NT надежное шифрование базы данных SAM Windows NT Server 4.0 Система Ключ (Syskey.exe) предоставляет возможность использования методов шифрования для защиты данных о паролях учетных записей, хранящихся в реестре Security Account Manager (SAM). Windows NT Server хранит информацию о пользователях, в том числе производные от пароля учетной записи пользователя, в закрытой части реестра, защищенной системами контроля доступа и шифрования кода. Учетные записи в реестре, доступны только членам группы администраторов. Windows NT Server, как и другие операционные системы, позволяет пользователям, имеющим права администратора, доступ ко всем ресурсам системы. Для установок, которые требуют повышенный уровень безопасности, надежное шифрование пароля учетной записи производной информации обеспечивает дополнительный уровень безопасности, чтобы предотвратить Администраторы случайный или намеренный доступ к паролю производных с использованием программных интерфейсов реестра.

Надежного шифрования с Windows NT 4.0 исправления системного ключа не является обязательным. Администраторы могут выбрать надежного шифрования с помощью определения системного ключа для Windows NT. Надежное шифрование защищает данные учетных записей, шифрование данных с помощью пароля 128-битным криптографическим произвольный ключ, называемый ключом шифрования паролем. Только сведения о паролях сильно в зашифрованном виде в базе данных, а не по всей базе данных учетной записи. Все системы, использующие надежное шифрование, имеют уникальные ключи шифрования паролем. Ключ шифрования паролем в свою очередь шифруется с помощью системного ключа. Сильное шифрование может использоваться на Windows NT Server и рабочих станций, где внимание информация хранится. Использование надежного шифрования паролей учетных записей добавляет дополнительную защиту содержимого часть SAM реестра и последующие резервные копии информации из реестра в папке% SystemRoot% \\ каталог ремонт создан с помощью команды RDISK и лент резервного копирования системы.

Основные системы определяется с помощью Syskey.exe. Только члены группы Администраторы могут выполнить Syskey.exe. Утилита, используемая для инициализации или изменения системного ключа. Системный ключ \u0026quot;мастер-ключ\u0026quot;, используемого для защиты ключа шифрования пароля и, следовательно, защиты системного ключа является одним из важнейших операции по обеспечению безопасности системы. Существуют три варианта управления системного ключа предназначены для удовлетворения потребностей различных средах Windows NT. Основные параметры системы являются следующие: использование сформированного компьютером случайный ключ системного ключа и хранение ключа на локальном компьютере с применением алгоритма шифрования кода. Эта опция обеспечивает надежное шифрование пароля в реестре и позволяет автоматической перезагрузке системы. Использование сформированного компьютером случайный ключ и хранение ключа на дискете. Дискету с системным ключом требуется, чтобы система начала и должны быть включены, когда будет предложено после Windows NT начинается последовательность запуска, но прежде, чем система доступна для пользователей для входа. Системный ключ не хранится на локальном компьютере. Используйте пароль, выбранный администратором для получения системного ключа. Windows NT запросит пароль системного ключа, когда система находится в исходной последовательности запуска, но прежде, чем система доступна для пользователей для входа. Пароль системного ключа не хранится в системе. MD5 дайджест пароля используется в качестве мастер-ключа для защиты ключа шифрования пароля. Системы ключа с помощью пароля или требовать дискету ввести новые строки во время инициализации операционной системы Windows NT. Они предлагают сильнейших защиты вариантом, поскольку основной ключ не хранится в системе и контроль над ключевыми может быть сведена к нескольким лицам. С другой стороны, знание пароль системного ключа или владение Системный ключ, необходимые для загрузки системы. (Если системный ключ сохраняется на дискете, резервных копий и восстановления Системный ключ рекомендуется.) Автоматический перезапуск системы может потребовать, чтобы система ключу быть доступны для системы без вмешательства администратора. Хранение ключей системы на локальном компьютере с применением алгоритма шифрования кода дает ключ доступен только для основных компонентов системы безопасности. В будущем, можно будет настроить системный ключ для получения ключа от несанкционированного вскрытия и аппаратных компонентов для обеспечения максимальной безопасности.

ПРЕДУПРЕЖДЕНИЕ: Если пароль системного ключа забыли или дискета с системным ключом теряется, оно не может быть предусмотрена возможность пуска системы. Защита и хранение информации системного ключа безопасно с резервной копии в случае чрезвычайной ситуации. Единственный способ восстановить систему, если система потеряла ключ используется диска аварийного восстановления для восстановления реестра до состояния, предшествовавшего включению надежного шифрования. См. раздел Вопросы ремонта ниже. Сильное шифрование может настраиваться независимо от первичного и каждый резервного контроллера домена (РС). Каждый контроллер домена будет уникальный ключ шифрования паролем и уникальный системный ключ. Например, первичный DC может быть настроен на использование машины системный ключ, хранящийся на диске, а резервные контроллеры домена могут каждого использования различных компьютером системный ключ, хранящиеся на локальном компьютере. Компьютером системный ключ, хранящийся на основном контроллере домена, не реплицируется. Перед включением надежного шифрования на основном контроллере домена, вы можете обеспечить полное обновление Резервный контроллер домена можно использовать в качестве резервной системы, пока изменения в Основной домен являются полными и проверить. Перед включением надежного шифрования на любой операционной системе, Microsoft рекомендует сделать новую копию диска аварийного восстановления, в том числе сведения о безопасности в реестре, используя команду, RDISK / S. Пожалуйста, обратитесь к следующей статье Microsoft базы знаний до использования RDISK / S: СТАТЬЯ-ID: 122857 TITLE: RDISK / S и RDISK / S-Options в Windows NT

Команда SYSKEY используется для выбора опции системного ключа и создания первоначального значения ключа. Ключевое значение может быть либо машина сгенерированный ключ или пароль, полученные ключ. Команда SYSKEY первым отображает диалоговое указывающий сильное шифрование, включен или выключен. После надежного шифрования включен, она не может быть отключена. Чтобы включить надежное шифрование базы данных учетных записей, выберите опцию — Шифрование включено и нажмите кнопку ОК. Подтвердить выбор и появляется напоминание о необходимости создания диска аварийного восстановления. В следующем окне требуется указать режим использования системного ключа. Используйте параметры базы данных учетных записей Ключевые диалоговое окно для выбора системного ключа. После выбора ключевых вариант системы, Windows NT, необходимо перезапустить Основные опции системы вступили в силу. Когда система перезагружается, администратор может ввести системный ключ, в зависимости от ключом. Windows NT обнаруживает первый использования системного ключа и генерирует случайный ключ шифрования паролем. Ключ шифрования паролем защищен системного ключа, а затем всю информацию, пароль учетной записи сильно зашифрованном виде. Команда SYSKEY должна быть запущена на каждом компьютере, надежное шифрование данных учетных записей не требуется. При запуске программы \u0026quot;л\u0026quot; параметр команды для создания мастер-ключа, и хранение ключа на локальном компьютере. Эта опция включает надежное шифрование пароля в реестре и позволяет команде работать без интерактивного диалога. Команда SYSKEY может использоваться в позднее время, чтобы изменить системного ключа от одного метода к другому, или для изменения системного ключа на новый ключ. Изменение системного ключа требует знания или владения, текущего системного ключа. Если пароль, полученные системного ключа, модуль SYSKEY не накладывает ограничения на минимальную длину пароля, однако длинные пароли (более 12 символов), рекомендуется. Максимальная длина пароля системного ключа составляет 128 символов. SYSKEY должна применяться на всех контроллерах домена. Если это не будет сделано, SAM на резервные контроллеры домена (BDC) не будет столь же безопасным, как и на основной контроллер домена (PDC). Таким образом, точка установки SYSKEY будет побежден. Перейти к началу страницы

ВОПРОСЫ сильного шифрования пароля учетной информации изменения системы и SAM разделы реестра таким образом, чтобы повлиять на ремонт имеющихся вариантов для восстановления системы Windows NT. Всегда используйте RDISK команду с параметром / S параметр для создания диска аварийного восстановления, включая резервную копию системы и SAM часть реестра Ремонт \\ папку. Для полного восстановления параметров, следующих дисков аварийного восстановления должны быть доступны: Перед установкой исправления системного ключа, создать диск аварийного восстановления. Этот диск \u0026quot;пре-диска аварийного восстановления, который содержит копию конфигурации системы и данные аккаунта до установки исправления. \u0026quot;Пре-диска аварийного восстановления, могут быть использованы для восстановления реестра и системных файлов с помощью распределения Windows NT CDROM. После установки исправления системного ключа, но перед включением надежного шифрования с помощью команды SYSKEY, создание диска аварийного восстановления. Это ремонт диск \u0026quot;исправления — Перед шифрования\u0026quot;. Это ремонт диск может быть использован для восстановления реестра в состояние, предшествовавшее надежное шифрование включено, например, он может быть использован для восстановления системы в случае Windows NT системный ключ утерян или забыт. После запуска программы SYSKEY, чтобы сильное шифрование, создание ремонт диска. Это ремонт диск \u0026quot;исправления — После шифрования\u0026quot;. Этот диск аварийного восстановления, а также последующие обновления этого диска аварийного восстановления, может быть использован для восстановления реестра с помощью стойкого шифрования нетронутыми использованием системного ключа в действие во время ремонта диска была обновлена. Основные исправления системы поддержки надежного шифрования влияет на следующие компоненты системы: SYSTEM и SAM кусты реестра три компонента системы безопасности файлов: Winlogon.exe, Samsrv.dll, Samlib.dll В целом, в процессе восстановления должны использоваться соответствующие версии этих компонентов . Независимо от ремонта вариант вы ни выбрали, процесс восстановления будет согласовывать восстановление реестра с версиями этих файлов. В следующей таблице перечислены возможные режимы восстановления.

Desired System Repair disk to Repaired System

Configuration apply

after Repair

—————————————————————————

Windows NT 4.0, Use the «Pre-hotfix» Registry matches system before

prior to hotfix repair disk hotfix installed; the three

installation system security component

files need to be repaired from

the Windows NT 4.0 compact

disc to match the pre-hotfix

registry format.

Windows NT 4.0 Use the «hotfix — Registry matches the system

with hotfix installed,Before Encryption» before strong encryption.

but strong repair disk System Key is not in effect;

encryption is not strong encryption not enabled.

enabled System security files do not

need to be repaired from the

Windows NT 4.0 compact disc.

Windows NT 4.0 with Use the «hotfix — Registry matches the system

hotfix installed, After Encryption» with strong encryption

and strong repair disk enabled; the System Key in

encryption is effect is the System Key used

enabled at the time the repair disk

was made.

В случае, если Администратор необходимо восстановить систему после исправления системного ключа установлен, как в системе и SAM разделы реестра должны быть отремонтированы в то же время. Параметры системного ключа в части СИСТЕМЫ реестра должно соответствовать ключу надежного шифрования для части SAM реестра. Если один реестра восстановлен без другого, это может быть возможным для системы, чтобы попытаться использовать различные системы Основные опции (пароль, полученные или приобретенные машины порожденный), который не соответствует ключу надежного шифрования используется для учетных записей. Установка исправлений системы будут изменены контрольные суммы для компонента системы безопасности (Winlogon.exe, Samsrv.dll, Samlib.dll) в файле System.log. Данный файл сохраняется на диске аварийного восстановления. Данный файл используется при восстановлении, чтобы определить, файлы должны быть обновлены с Windows NT Server 4.0 CD-ROM в соответствии с реестра до установки обновления конфигурации. Если требуемая конфигурация системы после восстановления Windows NT Server 4.0 с исправлением системный ключ, вы не будете попросил восстановить эти файлы системы безопасности. После установки исправления системного ключа, и вы не включили сильное шифрование, если вы пытаетесь восстановить системные файлы использование диска аварийного восстановления, созданные до установки исправления системного ключа (то есть, используя \u0026quot;пре-диска аварийного восстановления), вы также ДОЛЖНЫ восстановления системы и реестра SAM. Если вы не восстановите реестр, системные файлы и реестр формат не будет совпадать. Вы получите ошибку (ошибка номер C00000DF) при попытке войти в систему. Когда реестра и системных файлов не совпадают, процедура взыскания является ремонт соответствия системы и файлы реестра. Любой ремонт кусты реестра из того же \u0026quot;до-диска аварийного восстановления, или использовать\u0026quot; исправления — Перед Шифрование \u0026quot;диска аварийного восстановления, который реестра формате, который соответствует системе ключей исправления системных файлов. Наконец, если у вас есть ситуации, когда система безопасности файлов (Winlogon, Samsrv.dll, Samlib.dll) повреждены, то вы должны восстановить систему с использованием \u0026quot;Предварительное технико-диска аварийного восстановления и ремонта поврежденных файлов из Windows NT Server 4.0 CD-ROM. Кроме того, необходимо восстановить систему и кусты реестра SAM, чтобы соответствовать системные файлы \u0026quot;Предварительное технико-диска аварийного восстановления. Текущий Соединенных Штатов в отношении экспорта позволяют использовать 128-битные ключи шифрования, которые будут использоваться для защиты данных аутентификации, такие как пароли . Ключи шифрования, используемые для Syskey являются специфическими для защиты паролей, хранящихся в SAM, и части безопасности реестра. Есть ни одно из приложений API, доступных для использования 128-битного шифрования для Syskey назначения защиты данных вообще.

Относится к следующи продуктам:

Microsoft Windows NT Workstation 4.0 Developer Edition

Microsoft Windows NT Server 4.0 Standard Edition

Keywords: kbenv kbinfo kbnetwork KB143475

Читайте ранее:
Windows XP меняем права запускаемого приложения.

Стремясь к повышению уровня информационной защиты своих продуктов Microsoft, ввела в операционных системах Windows XP Professional и Windows Server 2003...

Закрыть