Windows 10、Windows Server 2016 及更高版本中不再支持Syskey.exe实用工具

Windows 10 版本 1709、Windows Server 版本 2004 和更高版本的 Windows 不再支持syskey.exe实用工具。

适用于： Windows 10 - 所有版本、Windows Server 2019、Windows Server 2016
原始 KB 数： 4025993

更改详细信息

进行了以下更改：

• syskey.exe实用工具不再包含在 Windows 中。
• 在启动期间，Windows 永远不会提示输入 syskey 密码。
• Windows 将不再支持使用 syskey.exe 实用工具外部加密的 Install-From-Media（IFM）安装 Active Directory 域控制器。

如果操作系统（OS）由 syskey.exe 实用工具外部加密，则无法将其升级到 Windows 10 版本 1709、Windows Server 版本 2004 或更高版本的 Windows。

解决方法

如果想要使用启动时 OS 安全性，建议使用 BitLocker 或类似技术，而不是syskey.exe实用工具。

如果使用 Active Directory IFM 媒体安装副本 Active Directory 域控制器，建议使用 BitLocker 或其他文件加密实用工具来保护所有 IFM 媒体。

若要将syskey.exe实用工具外部加密的 OS 升级到 Windows 10 RS3 或 Windows Server 2016 RS3，OS 应配置为不使用外部 syskey 密码。 有关详细信息，请参阅如何使用 SysKey 实用工具保护 Windows 安全 Accounts Manager 数据库的步骤 5。

详细信息

Syskey 是一个 Windows 内部根加密密钥，用于加密其他敏感的 OS 状态数据，例如用户帐户密码哈希。 SysKey 实用工具可用于添加额外的保护层，方法是加密 syskey 以使用外部密码。 在此状态下，OS 会阻止启动过程，并提示用户输入密码（以交互方式或通过从软盘读取）。

遗憾的是，syskey 加密密钥和syskey.exe的使用不再被视为安全。 Syskey 基于在现代很容易被破坏的弱加密。 受 syskey 保护的数据受到限制，并且不包括 OS 卷上的所有文件或数据。 据悉，syskey.exe实用工具也被黑客用作勒索软件骗局的一部分。

Active Directory 以前支持对 IFM 媒体使用外部加密的 syskey。 使用 IFM 媒体安装域控制器时，必须同时提供外部 syskey 密码。 遗憾的是，这种保护存在相同的安全漏洞。

参考

Syskey.exe实用工具及其在 Windows OS 中的基础支持首次在 Windows 2000 中引入，并回移植到 Windows NT 4.0。 有关详细信息，请参阅如何使用 SysKey 实用工具来帮助保护 Windows 安全 Accounts Manager 数据库。