Захист входу windows xp програма syskey.

Починаючи з Windows NT4.0 до складу Windows XPвходить програма syskey. Це службова програма, для посилення захисту облікових записів шляхом додаткового шифрування хешу паролів.

Відео: Всі основні браузери працюють на Windows XP. розвію помилки

За замовчуванням ця функція включена в Windows XP і відключити цей захист неможливо. При цьому сам ключ, за допомогою якого шифруються хеші паролів, зберігається на локальному комп`ютері. При завантаженні система знаходить цей ключ і розшифровує облікові дані. Але передбачені й інші варіанти зберігання ключа - ключ зберігається на дискеті і при вході така дискета повинна бути вставлена в дисковод, або для отримання ключа використовується пароль, встановлений адміністратором, який необхідно буде ввести при завантаженні. Розглянемо докладніше ці варіанти: (Для запуску програми syskey потрібні адміністративні права)

Зберігання ключа на дискеті - запустіть програму syskey (Пуск - Виконати - syskey.exe). Натисніть кнопку «Оновити» та виберіть варіант «Зберігати ключ запуску на дискеті». Після додаткового запиту і вставки дискети ключ запуску буде збережений на дискеті. Бажано зробити кілька копій цієї дискети. Тепер при завантаженні Windows XP до появи екрану вибору користувачів буде виведено повідомлення: «У даній конфігурації для запуску Windows потрібно ключова дискета. Вставте цю дискету і натисніть кнопку OK. Якщо ключова дискета відсутня, зверніться до системного адміністратора ». Якщо ви вирішите відмовитися від зберігання ключа на дискеті і повернутися до звичного способу входу в Windows XP, то для зміни способу зберігання ключа знову буде потрібно вставити дискету.

Установка пароля запуску - запустіть програму syskey (Пуск - Виконати - syskey.exe). Натисніть кнопку «Оновити» та виберіть варіант «Пароль запуску». Після установки пароля при при завантаженні Windows XP до появи екрану вибору користувачів буде виведено повідомлення: «У даній конфігурації для запуску Windows потрібно ввести пароль» При зміні способу зберігання ключа необхідно ввести встановлений пароль.

Важливо! Якщо ви вирішили скористатися можливостями програми syskey, пам`ятайте - якщо ви забудете встановлений пароль або втратите дискету з записаним ключем, завантажити систему буде неможливо. Ви також не зможете завантажити консоль відновлення. Microsoft рекомендує перед переходом на альтернативні варіанти зберігання ключа запуску створити диск аварійного відновлення (ASR) - тільки цим способом можливо відновити нормальний запуск системи при загубленому ключі.

Додаткову інформацію про програму syskey можна знайти в базі знань Microsoft в статті наведеної нижче (переклад оригінального тексту).

Windows NT System Key Permits Strong Encryption of the SAM

система Windows NT надежноешіфрованіебазиданних SAM Windows NT Server 4.0 СістемаКлюч (Syskey.exe) предоставляетвозможностьіспользованіяметодовшіфрованіядлязащітиданнихопароляхучетнихзапісей, хранящіхсявреестре Security Account Manager (SAM). Windows NT Server зберігає інформацію про користувачів, в тому числі похідні від пароля облікового запису користувача, в закритій частині реєстру, захищеної системами контролю доступу та шифрування коду. Облікові записи в реєстрі, доступні тільки членам групи адміністраторів. Windows NT Server, як і інші операційні системи, дозволяє користувачам, які мають права адміністратора, доступ до всіх ресурсів системи. Для установок, які вимагають підвищений рівень безпеки, надійне шифрування пароля облікового запису похідної інформації забезпечує додатковий рівень безпеки, щоб запобігти Адміністратори випадковий або навмисний доступ до паролю похідних з використанням програмних інтерфейсів реєстру.

Надійного шифрування з Windows NT 4.0 виправлення системного ключа не є обов`язковим. Адміністратори можуть вибрати надійного шифрування за допомогою визначення системного ключа для Windows NT. Надійне шифрування захищає дані облікових записів, шифрування даних за допомогою пароля 128-бітовим криптографічним довільний ключ, званий ключем шифрування паролем. Тільки відомості про паролі сильно в зашифрованому вигляді в базі даних, а не по всій базі даних облікового запису. Всі системи, що використовують надійне шифрування, мають унікальні ключі шифрування паролем. Ключ шифрування паролем в свою чергу шифрується за допомогою системного ключа. Сильне шифрування може використовуватися на Windows NT Server і робочих станцій, де увагу інформація зберігається. Використання надійного шифрування паролів облікових записів додає додатковий захист вмісту частина SAM реєстру і наступні резервні копії інформації з реєстру в папці% SystemRoot% каталог ремонт створений за допомогою команди RDISK і стрічок резервного копіювання системи.

Основні системи визначається за допомогою Syskey.exe. Тільки члени групи Адміністратори можуть виконати Syskey.exe. Утиліта, яка використовується для ініціалізації або зміни системного ключа. Системний ключ u0026quot-майстер-ключ u0026quot-, використовуваного для захисту ключа шифрування пароля і, отже, захисту системного ключа є одним з найважливіших операції по забезпеченню безпеки системи. Існують три варіанти управління системного ключа призначені для задоволення потреб різних середовищах Windows NT. Основні параметри системи є наступні: використання сформованого комп`ютером випадковий ключ системного ключа і зберігання ключа на локальному комп`ютері з застосуванням алгоритму шифрування коду. Ця опція забезпечує надійне шифрування пароля в реєстрі і дозволяє автоматичної перезавантаження системи. Використання сформованого комп`ютером випадковий ключ і зберігання ключа на дискеті. Дискету з системним ключем потрібно, щоб система почала і повинні бути включені, коли буде запропоновано після Windows NT починається послідовність запуску, але перш, ніж система доступна для користувачів для входу. Системний ключ не зберігається на локальному комп`ютері. Використовуйте пароль, обраний адміністратором для отримання системного ключа. Windows NT запросить пароль системного ключа, коли система знаходиться в вихідної послідовності запуску, але перш, ніж система доступна для користувачів для входу. Пароль системного ключа не зберігається в системі. MD5 дайджест пароля використовується в якості майстер-ключа для захисту ключа шифрування пароля. Системи ключа за допомогою пароля або вимагати дискету ввести нові рядки під час ініціалізації операційної системи Windows NT. Вони пропонують найсильніших захисту варіантом, оскільки основний ключ не зберігається в системі і контроль над ключовими може бути зведена до кількох осіб. З іншого боку, знання пароль системного ключа або володіння Системний ключ, необхідні для завантаження системи. (Якщо системний ключ зберігається на дискеті, резервних копій і відновлення Системний ключ рекомендується.) Автоматичний перезапуск системи може вимагати, щоб система ключу бути доступні для системи без втручання адміністратора. Зберігання ключів системи на локальному комп`ютері з застосуванням алгоритму шифрування коду дає ключ доступний тільки для основних компонентів системи безпеки. В майбутньому, можна буде налаштувати системний ключ для отримання ключа від несанкціонованого відкривання і апаратних компонентів для забезпечення максимальної безпеки.

ПОПЕРЕДЖЕННЯ: Якщо пароль системного ключа забули або дискета з системним ключем втрачається, воно не може бути передбачена можливість пуску системи. Захист і зберігання інформації системного ключа безпечно з резервної копії в разі надзвичайної ситуації. Єдиний спосіб відновити систему, якщо система втратила ключ використовується диска аварійного відновлення для відновлення реєстру до стану, що передував включенню надійного шифрування. Див. Розділ Питання ремонту нижче. Сильне шифрування може налаштовуватися незалежно від первинного і кожен резервного контролера домену (РС). Кожен контролер домену буде унікальний ключ шифрування паролем і унікальний системний ключ. Наприклад, первинний DC може бути налаштований на використання машини системний ключ, що зберігається на диску, а резервні контролери домену можуть кожного використання різних комп`ютером системний ключ, що зберігаються на локальному комп`ютері. Комп`ютером системний ключ, що зберігається на основному контролері домену, що не реплікується. Перед включенням надійного шифрування на основному контролері домену, ви можете забезпечити повне оновлення Резервний контролер домену можна використовувати в якості резервної системи, поки зміни до Основного домен є повними і перевірити. Перед включенням надійного шифрування на будь-якій операційній системі, Microsoft рекомендує зробити нову копію диска аварійного відновлення, в тому числі відомості про безпеку в реєстрі, використовуючи команду, RDISK / S. ласка, перегляньте наступні статті Microsoft бази знань до використання RDISK / S: СТАТТЯ -ID: 122857 TITLE: RDISK / S і RDISK / S-Options в Windows NT

команда SYSKEY використовується для вибору опції системного ключа і створення початкового значення ключа. Ключове значення може бути або машина згенерований ключ або пароль, отримані ключ. Команда SYSKEY першим відображає діалогове вказує сильне шифрування, включений або вимкнений. Після надійного шифрування включений, вона не може бути відключена. Щоб включити надійне шифрування бази даних облікових записів, виберіть опцію - Шифрування включено і натисніть кнопку ОК. Підтвердити вибір і з`являється нагадування про необхідність створення диска аварійного відновлення. У наступному вікні потрібно вказати режим використання системного ключа. Використовуйте параметри бази даних облікових записів Ключові діалогове вікно для вибору системного ключа. Після вибору ключових варіант системи, Windows NT, необхідно перезапустити Основні опції системи вступили в силу. Коли система перезавантажується, адміністратор може ввести системний ключ, в залежності від ключем. Windows NT виявляє перший використання системного ключа і генерує випадковий ключ шифрування паролем. Ключ шифрування паролем захищений системного ключа, а потім всю інформацію, пароль облікового запису сильно зашифрованому вигляді. Команда SYSKEY повинна бути запущена на кожному комп`ютері, надійне шифрування даних облікових записів не потрібно. При запуску програми u0026quot-л u0026quot- параметр команди для створення майстер-ключа, і зберігання ключа на локальному комп`ютері. Ця опція включає надійне шифрування пароля в реєстрі і дозволяє команді працювати без інтерактивного діалогу. Команда SYSKEY може використовуватися в пізній час, щоб змінити системного ключа від одного методу до іншого, або для зміни системного ключа на новий ключ. Зміна системного ключа вимагає знання або володіння, поточного системного ключа. Якщо пароль, отримані системного ключа, модуль SYSKEY не накладаються обмеження на мінімальну довжину пароля, однак довгі паролі (більше 12 символів), рекомендується. Максимальна довжина пароля системного ключа становить 128 символів. SYSKEY повинна застосовуватися на всіх контролерах домену. Якщо це не буде зроблено, SAM на резервні контролери домену (BDC) не буде настільки ж безпечним, як і на основний контролер домену (PDC). Таким чином, точка установки SYSKEY буде переможений. На початок

ПИТАННЯ сильного шифрування пароля облікової інформації зміни системи і SAM розділи реєстру таким чином, щоб вплинути на ремонт наявних варіантів для відновлення системи Windows NT. Завжди використовуйте RDISK команду з параметром / S параметр для створення диска аварійного відновлення, включаючи резервну копію системи і SAM частина реєстру Ремонт папку. Для повного відновлення параметрів, таких дисків аварійного відновлення повинні бути доступні: Перед установкою виправлення системного ключа, створити диск аварійного відновлення. Цей диск u0026quot-пре-диска аварійного відновлення, який містить копію конфігурації системи і дані облікового запису до установки виправлення. U0026quot-Пре-диска аварійного відновлення, можуть бути використані для відновлення реєстру і системних файлів за допомогою розподілу Windows NT CDROM. Після установки виправлення системного ключа, але перед включенням надійного шифрування за допомогою команди SYSKEY, створення диска аварійного відновлення. Це ремонт диск u0026quot-виправлення - Перед шифрування u0026quot-. Це ремонт диск може бути використаний для відновлення реєстру в стан, що передував надійне шифрування включено, наприклад, він може бути використаний для відновлення системи в разі Windows NT системний ключ загублений або забутий. Після запуску програми SYSKEY, щоб сильне шифрування, створення ремонт диска. Це ремонт диск u0026quot-виправлення - Після шифрування u0026quot-. Цей диск аварійного відновлення, а також подальші оновлення цього диска аварійного відновлення, може бути використаний для відновлення реєстру за допомогою стійкого шифрування недоторканими використанням системного ключа в дію під час ремонту диска була оновлена. Основні виправлення системи підтримки надійного шифрування впливає на наступні компоненти системи: SYSTEM та SAM кущі реєстру три компонента системи безпеки файлів: Winlogon.exe, Samsrv.dll, Samlib.dll В цілому, в процесі відновлення повинні використовуватися відповідні версії цих компонентів. Незалежно від ремонту варіант ви не вибрали, процес відновлення буде погоджувати відновлення реєстру з версіями цих файлів. У цій таблиці наведено можливі режими відновлення.

Desired SystemRepair disk toRepaired System



Configurationapply

after Repair

-------------------------

Windows NT 4.0, Use the «Pre-hotfix» Registry matches system before

prior to hotfixrepair diskhotfix installed- the three

installationsystem security component

files need to be repaired from

the Windows NT 4.0 compact

disc to match the pre-hotfix

registry format.

Windows NT 4.0Use the «hotfix -Registry matches the system

Відео: 15. Відключення зайвих служб в Windows XP

with hotfix installed, Before Encryption »before strong encryption.

but strongrepair diskSystem Key is not in effect-

encryption is notstrong encryption not enabled.

enabledSystem security files do not

need to be repaired from the

Windows NT 4.0 compact disc.

Windows NT 4.0 withUse the «hotfix -Registry matches the system

hotfix installed, After Encryption »with strong encryption

and strongrepair diskenabled- the System Key in

encryption iseffect is the System Key used

enabledat the time the repair disk

wasmade.

У разі, якщо Адміністратор необхідно відновити систему після виправлення системного ключа встановлено, як в системі і SAM розділи реєстру повинні бути відремонтовані в той же час. Параметри системного ключа в частині СИСТЕМИ реєстру має відповідати ключу надійного шифрування для частини SAM реєстру. Якщо один реєстру відновлений без іншого, це може бути можливим для системи, щоб спробувати використовувати різні системи Основні опції (пароль, отримані або придбані машини породжений), який не відповідає ключу надійного шифрування використовується для облікових записів. Установка виправлень системи будуть змінені контрольні суми для компонента системи безпеки (Winlogon.exe, Samsrv.dll, Samlib.dll) в файлі System.log. Даний файл зберігається на диску аварійного відновлення. Цей файл використовують при відновленні, щоб визначити, файли повинні бути оновлені з Windows NT Server 4.0 CD-ROM відповідно до реєстру до установки оновлення конфігурації. Якщо необхідна конфігурація системи після відновлення Windows NT Server 4.0 з виправленням системний ключ, ви не будете попросив відновити ці файли системи безпеки. Після установки виправлення системного ключа, і ви не включили сильне шифрування, якщо ви намагаєтеся відновити системні файли використання диска аварійного відновлення, створені до установки виправлення системного ключа (тобто, використовуючи u0026quot-пре-диска аварійного відновлення), ви також ПОВИННІ відновлення системи і реєстру SAM. Якщо ви не відновите реєстр, системні файли і реєстр формат не співпадатиме. Ви отримаєте помилку (помилка номер C00000DF) при спробі увійти в систему. Коли реєстру і системних файлів не збігаються, процедура стягнення є ремонт відповідності системи і файли реєстру. Будь-який ремонт кущі реєстру з того ж u0026quot-до-диска аварійного відновлення, або використовувати u0026quot- виправлення - Перед Шифрування u0026quot-диска аварійного відновлення, який реєстру форматі, який відповідає системі ключів виправлення системних файлів. Нарешті, якщо у вас є ситуації, коли система безпеки файлів (Winlogon, Samsrv.dll, Samlib.dll) пошкоджені, то ви повинні відновити систему з використанням u0026quot-Попереднє техніко-диска аварійного відновлення і ремонту пошкоджених файлів з Windows NT Server 4.0 CD-ROM. Крім того, необхідно відновити систему і кущі реєстру SAM, щоб відповідати системні файли u0026quot-Попереднє техніко-диска аварійного відновлення. Поточний Сполучених Штатів щодо експорту дозволяють використовувати 128-бітові ключі шифрування, які будуть використовуватися для захисту даних аутентифікації, такі як паролі. Ключі шифрування, що використовуються для Syskey є специфічними для захисту паролів, що зберігаються в SAM, і частини безпеки реєстру. Є жодною програмою API, доступних для використання 128-бітного шифрування для Syskey призначення захисту даних взагалі.

Відноситься до следующи продуктам:

Microsoft Windows NT Workstation 4.0 Developer Edition

Microsoft Windows NT Server 4.0 Standard Edition

Keywords: kbenv kbinfo kbnetwork KB143475

Поділися в соц мережах:
Cхоже

Увага, тільки СЬОГОДНІ!