系統金鑰公用程式技術概觀
本主題適用於 IT 專業人員,描述系統金鑰公用程式 (Syskey),可保護 Windows 作業系統中的安全性帳戶管理員 (SAM) 資料庫。
注意
Windows 10 版本 1607、Windows Server 2016 和更新版本不再支援 Syskey 公用程式。
什麼是系統金鑰公用程式?
使用者帳戶的密碼資訊會儲存在工作站和成員伺服器上的登錄 SAM 資料庫中。 在網域控制站上,密碼資訊會儲存在目錄服務中。 密碼破解軟體以 SAM 資料庫或目錄服務為目標來存取使用者帳戶的密碼並不罕見。 系統金鑰公用程式 (Syskey) 為密碼破解軟體提供額外的防線。 它會使用增強式加密技術來保護儲存在 SAM 資料庫或目錄服務中的帳戶密碼資訊。 破解加密帳戶密碼比破解非加密帳戶密碼更困難且耗時。
啟動金鑰對話方塊中有三個系統金鑰選項,其設計目的是要符合不同環境的需求,如下表所述。
| 系統金鑰選項 | 相對安全性等級 | 描述 |
|---|---|---|
| 系統產生的密碼,將啟動金鑰儲存在本機 | + | 使用電腦產生的隨機金鑰作為系統金鑰,並將加密版本的金鑰儲存在本機電腦上。 此選項提供登錄中密碼資訊的增強式加密,讓使用者不需要管理員輸入密碼或插入磁碟,就能重新啟動電腦 |
| 系統管理員產生的密碼、密碼啟動 | ++ | 使用電腦產生的隨機金鑰作為系統金鑰,並將加密版本的金鑰儲存在本機電腦上。 金鑰也會受到系統管理員選擇的密碼保護。 當電腦處於初始啟動順序時,系統會提示使用者輸入系統金鑰密碼。 系統金鑰密碼不會儲存在電腦上的任何位置。 |
| 系統產生的密碼,將啟動金鑰儲存在磁碟片上 | +++ | 使用電腦產生的隨機金鑰,並將金鑰儲存在磁碟片上。 系統必須啟動包含系統金鑰的磁碟片,而且必須在啟動順序期間於提示處插入。 系統金鑰不會儲存在電腦上的任何位置。 |
使用系統金鑰公用程式是選擇性的。 如果包含系統金鑰的磁碟遺失,或忘記密碼,則無法啟動電腦,而不需要將登錄還原到使用系統金鑰之前的狀態。
系統金鑰公用程式的運作方式
每次將新使用者新增至電腦時,Windows 資料保護 API (DPAPI) 都會產生主要金鑰,用來保護該使用者內容中執行的應用程式和服務所使用的所有其他私密金鑰,例如加密檔案系統 (EFS) 金鑰和 S/MIME 金鑰。 電腦也有它自己的主要金鑰,可保護系統金鑰,例如 IPsec 金鑰、電腦金鑰和 SSL 金鑰。 然後,所有這些主要金鑰都會受到電腦的啟動金鑰保護。 當您啟動電腦時,啟動金鑰會解密主要金鑰。 啟動金鑰也會保護每部電腦上的本機 SAM 資料庫、電腦的本機安全性授權 (LSA) 秘密、網域控制站上 Active Directory 網域服務 (AD DS) 中儲存的帳戶資訊,以及用於安全模式中系統復原的系統管理員帳戶密碼。
Syskey 公用程式可讓您選擇儲存啟動金鑰的位置。 根據預設,電腦會產生隨機金鑰,並將它分散到登錄中;複雜的模糊化演算法可確保散佈圖模式在每個 Windows 安裝上都不同。 您可以將此變更為另外兩種 Syskey 模式的其中一種:您可以繼續使用電腦產生的金鑰,但將其儲存在磁碟片上,或者您可以在啟動期間讓系統提示輸入用來衍生主要金鑰的密碼。 您一律可以在這三個選項之間變更,但如果您已啟用系統產生的密碼、將啟動金鑰儲存在磁碟片或系統管理員產生的密碼、密碼啟動,而且您已遺失磁碟片或忘記密碼,唯一的修復選項是使用修復磁碟片將登錄還原到啟用之前的狀態 Syskey 模式。 您將遺失從那時到現在所做的任何其他變更。 若要變更啟動金鑰,請開啟命令提示字元,然後輸入 syskey 以執行 Syskey 公用程式。