Panoramica tecnica dell'utilità chiave di sistema

Si applica a: Windows Server 2022, Windows Server 2019, Windows 8.1, Windows Server 2012, Windows Server 2012 R2

Questo argomento per i professionisti IT descrive l'utilità della chiave di sistema (Syskey), che protegge il database di Gestione account di sicurezza (SAM) nei Windows operativi.

Nota

L'utilità Syskey non è più supportata in Windows 10, versione 1607, Windows Server 2016 e versioni successive.

Che cos'è l'utilità della chiave di sistema?

Le informazioni sulle password per gli account utente vengono archiviate nel database SAM del Registro di sistema nelle workstation e nei server membri. Nei controller di dominio le informazioni sulle password vengono archiviate nei servizi directory. Non è insolito che il software di cracking delle password abbia come destinazione il database SAM o i servizi directory per accedere alle password per gli account utente. L'utilità della chiave di sistema (Syskey) offre una linea di difesa aggiuntiva contro il software di cracking delle password. Usa tecniche di crittografia avanzata per proteggere le informazioni sulle password dell'account archiviate nel database SAM o nei servizi directory. La cracking delle password degli account crittografati è più difficile e dispendiosa in termini di tempo rispetto alla cracking delle password degli account non crittografati.

Nella finestra di dialogo Chiave di avvio sono disponibili tre opzioni di chiave di sistema progettate per soddisfare le esigenze di ambienti diversi, come descritto nella tabella seguente.

Opzione chiave di sistema Livello di sicurezza relativo Descrizione
Password generata dal sistema, archivia chiave di avvio in locale + Usa una chiave casuale generata dal computer come chiave di sistema e archivia una versione crittografata della chiave nel computer locale. Questa opzione fornisce una crittografia avanzata delle informazioni sulle password nel Registro di sistema e consente all'utente di riavviare il computer senza la necessità che un amministratore immissione di una password o l'inserimento di un disco
Password generata dall'amministratore, Avvio password ++ Usa una chiave casuale generata dal computer come chiave di sistema e archivia una versione crittografata della chiave nel computer locale. La chiave è protetta anche da una password scelta dall'amministratore. Agli utenti viene richiesta la password della chiave di sistema quando il computer si trova nella sequenza di avvio iniziale. La password della chiave di sistema non viene archiviata in nessun punto del computer.
Password generata dal sistema, archivia chiave di avvio su disco floppy +++ Usa una chiave casuale generata dal computer e archivia la chiave in un disco floppy. Il disco floppy che contiene la chiave di sistema è necessario per l'avvio del sistema e deve essere inserito a un prompt durante la sequenza di avvio. La chiave di sistema non viene archiviata in nessun punto del computer.

L'uso dell'utilità della chiave di sistema è facoltativo. Se il disco che contiene la chiave di sistema viene perso o se la password viene dimenticata, non è possibile avviare il computer senza ripristinare lo stato del Registro di sistema precedente all'uso della chiave di sistema.

Funzionamento dell'utilità della chiave di sistema

Ogni volta che un nuovo utente viene aggiunto a un computer, il Windows Data Protection API (DPAPI) genera una chiave master usata per proteggere tutte le altre chiavi private usate dalle applicazioni e dai servizi in esecuzione nel contesto dell'utente, ad esempio chiavi Encrypting File System (EFS) e chiavi S/MIME. Il computer ha anche una propria chiave master che protegge le chiavi di sistema, ad esempio le chiavi IPsec, le chiavi del computer e le chiavi SSL. Tutte queste chiavi master sono quindi protette dalla chiave di avvio di un computer. Quando si avvia un computer, la chiave di avvio decrittografa le chiavi master. La chiave di avvio protegge anche il database SAM locale in ogni computer, i segreti dell'autorità di sicurezza locale (LSA) del computer, le informazioni sull'account archiviate in Active Directory Domain Services (AD DS) nei controller di dominio e la password dell'account amministratore usata per il ripristino del sistema in modalità Cassaforte.

L'utilità Syskey consente di scegliere dove archiviare la chiave di avvio. Per impostazione predefinita, il computer genera una chiave casuale e la disperde nel Registro di sistema. un algoritmo di offuscamento complesso garantisce che il modello a dispersione sia diverso in ogni Windows installazione. È possibile modificare questa impostazione in una delle due altre modalità Syskey: è possibile continuare a usare una chiave generata dal computer ma archiviarla su un disco floppy oppure richiedere al sistema durante l'avvio una password usata per derivare la chiave master. È sempre possibile cambiare tra le tre opzioni, ma se è stata abilitata la password generata dal sistema, l'archiviazione della chiave di avvio su disco floppy o la password generata dall'amministratore, l'avvio della password e il disco floppy è stato perso o è stata dimenticata la password, l'unica opzione di ripristino è usare un disco di ripristino per ripristinare il Registro di sistema allo stato in cui si trova prima di aver abilitato la modalità Syskey. Tutte le altre modifiche apportate tra un'ora e l'altra andranno perse. Per modificare la chiave di avvio, aprire un prompt dei comandi e digitare syskey per eseguire l'utilità Syskey.