Vue d’ensemble technique des utilitaires de clé système
Cette rubrique destinée aux professionnels de l’informatique décrit l’utilitaire de clé système (Syskey), qui protège la base de données du Gestionnaire des comptes de sécurité (SAM) dans les systèmes d’exploitation Windows.
Notes
L’utilitaire Syskey n’est plus pris en charge dans Windows 10, version 1607, ni Windows Server 2016 et les versions ultérieures.
Qu’est-ce que l’utilitaire de clé système ?
Les informations relatives aux mots de passe des comptes d’utilisateur sont stockées dans la base de données SAM du Registre sur les stations de travail et les serveurs membres. Sur les contrôleurs de domaine, les informations relatives aux mots de passe sont stockées dans les services d’annuaire. Il n’est pas rare que les logiciels de craquage de mot de passe ciblent la base de données SAM ou les services d’annuaire pour accéder aux mots de passe des comptes d’utilisateur. L’utilitaire de clé système (Syskey) fournit une ligne de défense supplémentaire contre les logiciels de craquage de mot de passe. Il utilise des techniques de chiffrement renforcé pour sécuriser les informations relatives aux mots de passe des comptes, stockées dans la base de données SAM ou dans les services d’annuaire. Le craquage des mots de passe de compte chiffrés est plus difficile et prend plus de temps que le craquage des mots de passe de compte non chiffrés.
Il existe trois options de clé système dans la boîte de dialogue Clé de démarrage, conçues pour répondre aux besoins de différents environnements, comme indiqué dans le tableau suivant.
| Option de clé système | Niveau de sécurité relatif | Description |
|---|---|---|
| Mot de passe généré par le système, stocker la clé de démarrage localement | + | Utilise une clé aléatoire générée par l’ordinateur en tant que clé système, et stocke une version chiffrée de la clé sur l’ordinateur local. Cette option fournit un chiffrement renforcé des informations relatives aux mots de passe dans le Registre. Elle permet à l’utilisateur de redémarrer l’ordinateur sans qu’un administrateur ait besoin d’entrer un mot de passe ou d’insérer un disque |
| Mot de passe généré par l’administrateur, démarrage par mot de passe | ++ | Utilise une clé aléatoire générée par l’ordinateur en tant que clé système, et stocke une version chiffrée de la clé sur l’ordinateur local. La clé est également protégée par un mot de passe choisi par l’administrateur. Les utilisateurs sont invités à entrer le mot de passe de la clé système quand l’ordinateur se trouve dans la séquence de démarrage initiale. Le mot de passe de la clé système n’est stocké nulle part sur l’ordinateur. |
| Mot de passe généré par le système, stocker la clé de démarrage sur une disquette | +++ | Utilise une clé aléatoire générée par l’ordinateur, et stocke la clé sur une disquette. La disquette qui contient la clé système est nécessaire au démarrage du système. Elle doit être insérée à une invite au cours de la séquence de démarrage. La clé système n’est stockée nulle part sur l’ordinateur. |
L’utilisation de l’utilitaire de clé système est facultative. Si vous perdez le disque qui contient la clé système, ou si vous oubliez le mot de passe, vous ne pouvez pas démarrer l’ordinateur sans restaurer le Registre à l’état dans lequel il se trouvait avant l’utilisation de la clé système.
Fonctionnement de l’utilitaire de clé système
Chaque fois qu’un nouvel utilisateur est ajouté à un ordinateur, l’API de protection des données (DPAPI) Windows génère une clé principale qui sert à protéger toutes les autres clés privées utilisées par les applications et services s’exécutant dans le contexte de cet utilisateur, par exemple les clés EFS (système de fichiers EFS) et les clés S/MIME. L’ordinateur dispose également de sa propre clé principale, qui protège les clés système telles que les clés IPsec, les clés d’ordinateur et les clés SSL. Toutes ces clés principales sont ensuite protégées par la clé de démarrage d’un ordinateur. Quand vous démarrez un ordinateur, la clé de démarrage déchiffre les clés principales. La clé de démarrage protège également la base de données SAM locale sur chaque ordinateur, les secrets LSA (autorité de sécurité locale) de l’ordinateur, les informations de compte stockées dans Active Directory Domain Services (AD DS) sur les contrôleurs de domaine ainsi que le mot de passe du compte Administrateur utilisé pour la récupération du système en mode sans échec.
L’utilitaire Syskey vous permet de choisir l’emplacement de stockage de la clé de démarrage. Par défaut, l’ordinateur génère une clé aléatoire et la disperse dans le Registre. Un algorithme d’obfuscation complexe vérifie que le modèle de dispersion est différent sur chaque installation de Windows. Vous pouvez remplacer ce mode par l’un des deux autres modes de Syskey : vous pouvez continuer à utiliser une clé générée par l’ordinateur tout en la stockant sur une disquette, ou vous pouvez obliger le système à demander au démarrage le mot de passe utilisé pour dériver la clé principale. Vous pouvez toujours changer entre les trois options. Toutefois, si vous avez activé Mot de passe généré par le système, stocker la clé de démarrage sur une disquette ou Mot de passe généré par l’administrateur, démarrage par mot de passe, et si vous avez perdu votre disquette ou oublié votre mot de passe, votre seule option de récupération consiste à utiliser un disque de réparation pour restaurer le Registre à l’état dans lequel il se trouvait avant l’activation du mode Syskey. Vous perdrez tous les autres changements apportés entre-temps. Pour changer votre clé de démarrage, ouvrez une invite de commandes, puis tapez syskey afin d’exécuter l’utilitaire Syskey.