Технический обзор служебной программы для системных ключей
В этом разделе для ИТ-специалистов описана программа системного ключа (Syskey), которая защищает базу данных диспетчера учетных записей безопасности (SAM) в операционных системах Windows.
Примечание.
Программа Syskey больше не поддерживается в Windows 10 версии 1607, Windows Server 2016 и более поздних версиях.
Что такое служебная программа системного ключа?
Сведения о паролях учетных записей пользователей хранятся в базе данных SAM реестра на рабочих станциях и серверах-членах. На контроллерах домена сведения о пароле хранятся в службах каталогов. Это не необычно для программного обеспечения для взлома паролей для целевой базы данных SAM или служб каталогов для доступа к паролям для учетных записей пользователей. Программа системного ключа (Syskey) обеспечивает дополнительную линию защиты от программного обеспечения для взлома паролей. Он использует методы строгого шифрования для защиты сведений о паролях учетной записи, хранящихся в базе данных SAM или в службах каталогов. Трещина зашифрованных паролей учетных записей сложнее и занимает много времени, чем взломать нешифрованные пароли учетных записей.
В диалоговом окне "Ключ запуска" есть три системных параметра, предназначенных для удовлетворения потребностей различных сред, как описано в следующей таблице.
Параметр системного ключа | Относительный уровень безопасности | Description |
---|---|---|
Созданный системой пароль, хранилище ключа запуска локально | + | Использует случайный ключ, созданный компьютером, в качестве системного ключа и сохраняет зашифрованную версию ключа на локальном компьютере. Этот параметр обеспечивает надежное шифрование сведений о паролях в реестре и позволяет пользователю перезагрузить компьютер без необходимости ввести пароль или вставить диск. |
Администратор создал пароль, запуск паролей | ++ | Использует случайный ключ, созданный компьютером, в качестве системного ключа и сохраняет зашифрованную версию ключа на локальном компьютере. Ключ также защищен паролем, выбранным администратором. Пользователи запрашивают пароль системного ключа, если компьютер находится в начальной последовательности запуска. Пароль системного ключа не хранится нигде на компьютере. |
Созданный системой пароль, хранение ключа запуска на диске Floppy | +++ | Использует случайный ключ, созданный компьютером, и сохраняет ключ на диске. Диск floppy, содержащий системный ключ, необходим для запуска системы, и его необходимо вставить в запрос во время последовательности запуска. Системный ключ не хранится в любом месте компьютера. |
Использование служебной программы ключей системы является необязательным. Если диск, содержащий системный ключ, теряется или пароль забылся, вы не сможете запустить компьютер без восстановления реестра в состоянии, в котором он находился до использования системного ключа.
Как работает служебная программа ключа системы
Каждый раз, когда новый пользователь добавляется на компьютер, API защиты данных Windows (DPAPI) создает главный ключ, используемый для защиты всех других закрытых ключей, используемых приложениями и службами, работающими в контексте этого пользователя, таких как ключи шифрования файловой системы (EFS) и ключи S/MIME. Компьютер также имеет собственный главный ключ, который защищает системные ключи, такие как ключи IPsec, ключи компьютера и SSL-ключи. Затем все эти главные ключи защищены ключом запуска компьютера. При запуске компьютера ключ запуска расшифровывает основные ключи. Ключ запуска также защищает локальную базу данных SAM на каждом компьютере, секреты локального центра безопасности компьютера (LSA), сведения об учетной записи, хранящиеся в службах домен Active Directory (AD DS) на контроллерах домена, и пароль учетной записи администратора, используемый для восстановления системы в безопасном режиме.
Служебная программа Syskey позволяет выбрать место хранения этого ключа запуска. По умолчанию компьютер создает случайный ключ и разбрасывает его по всему реестру; сложный алгоритм маскирования гарантирует, что точечный шаблон отличается при каждой установке Windows. Этот параметр можно изменить на один из двух других режимов Syskey: вы можете продолжать использовать созданный компьютером ключ, но сохранить его на диске с флоппи-файлом или получить системный запрос во время запуска пароля, который используется для получения главного ключа. Вы всегда можете изменить между тремя параметрами, но если вы включили пароль, созданный системой, сохраните ключ запуска на диске floppy или администратор сгенерировали пароль, запуск паролей и потеряли диск floppy или забыли пароль, то единственный вариант восстановления — использовать диск восстановления для восстановления реестра до того, как вы включили режим Syskey. Вы потеряете любые другие изменения, внесенные между тем и сейчас. Чтобы изменить ключ запуска, откройте командную строку и введите syskey , чтобы запустить служебную программу Syskey.