システム キー ユーティリティの技術概要

適用対象: Windows Server 2022、Windows Server 2019、Windows 8.1、Windows Server 2012、Windows Server 2012 R2

IT プロフェッショナル向けこのトピックでは、オペレーティング システム内の Security Accounts Manager (SAM) データベースを保護するシステム キー ユーティリティ (Syskey) Windows説明します。

注意

Syskey ユーティリティは、Windows 10バージョン 1607、Windows Server 2016以降のバージョンではサポートされなくなりました。

システム キー ユーティリティとは

ユーザー アカウントのパスワード情報は、ワークステーションとメンバー サーバー上のレジストリの SAM データベースに格納されます。 ドメイン コントローラーでは、パスワード情報はディレクトリ サービスに格納されます。 パスワードを分解するソフトウェアが、ユーザー アカウントのパスワードにアクセスするために SAM データベースまたはディレクトリ サービスを対象とすることは珍しいことではありません。 システム キー ユーティリティ (Syskey) は、パスワード分解ソフトウェアに対する追加の防御ラインを提供します。 強力な暗号化手法を使用して、SAM データベースまたはディレクトリ サービスに格納されているアカウント パスワード情報をセキュリティで保護します。 暗号化されていないアカウント パスワードを割り込むよりも、暗号化されたアカウント のパスワードを割り込む方が難しく、時間がかかります。

[スタートアップ キー] ダイアログボックスには、次の表で説明するように、さまざまな環境のニーズに合わせて設計された 3 つのシステム キー オプションがあります。

システム キー オプション 相対セキュリティ レベル [説明]
システムによって生成されたパスワード、スタートアップ キーをローカルに格納する + コンピューターで生成されたランダム キーをシステム キーとして使用し、暗号化されたバージョンのキーをローカル コンピューターに格納します。 このオプションを使用すると、レジストリ内のパスワード情報を強力に暗号化できます。管理者がパスワードを入力したりディスクを挿入したりすることなく、ユーザーがコンピューターを再起動できます
管理者が生成したパスワード、パスワードのスタートアップ ++ コンピューターで生成されたランダム キーをシステム キーとして使用し、暗号化されたバージョンのキーをローカル コンピューターに格納します。 キーは、管理者が選択したパスワードによっても保護されます。 コンピューターが最初のスタートアップ シーケンス内にある場合、ユーザーはシステム キー パスワードの入力を求められます。 システム キー のパスワードは、コンピューター上のどこにも格納されません。
システムによって生成されたパスワード、フロッピー ディスクにスタートアップ キーを格納する +++ コンピューターで生成されたランダム キーを使用し、キーをフロッピー ディスクに格納します。 システムを起動するには、システム キーを含むフロッピー ディスクが必要であり、スタートアップ シーケンス中にプロンプトで挿入する必要があります。 システム キーは、コンピューター上のどこにも格納されません。

システム キー ユーティリティの使用は省略可能です。 システム キーを含むディスクが失われた場合、またはパスワードを忘れた場合は、システム キーが使用される前の状態にレジストリを復元せずにコンピューターを起動することはできません。

システム キー ユーティリティのしくみ

新しいユーザーがコンピューターに追加されるたび、Windows Data Protection API (DPAPI) によってマスター キーが生成されます。このマスター キーは、暗号化ファイル システム (EFS) キーや S/MIME キーなど、そのユーザーのコンテキストで実行されているアプリケーションやサービスによって使用される他のすべてのプライベート キーを保護するために使用されます。 コンピューターには、IPsec キー、コンピューター キー、SSL キーなどのシステム キーを保護する独自のマスター キーも用意されています。 これらのマスター キーはすべて、コンピューターのスタートアップ キーによって保護されます。 コンピューターを起動すると、スタートアップ キーによってマスター キーが復号化されます。 また、スタートアップ キーは、各コンピューター上のローカル SAM データベース、コンピューターのローカル セキュリティ機関 (LSA) シークレット、ドメイン コントローラー上の Active Directory Domain Services (AD DS) に格納されているアカウント情報、および セーフ モードでのシステム回復に使用される管理者アカウントパスワードも保護します。

Syskey ユーティリティを使用すると、そのスタートアップ キーが格納されている場所を選択できます。 既定では、コンピューターはランダムなキーを生成し、レジストリ全体に分散します。複雑な難読化アルゴリズムを使用すると、各インストールで散布図パターンがWindowsされます。 これを他の 2 つの Syskey モードに変更できます。コンピューターで生成されたキーを引き続き使用しながらフロッピー ディスクに格納するか、マスター キーの派生に使用するパスワードの起動時にシステム プロンプトを表示できます。 3 つのオプションの間でいつでも変更できますが、システムで生成されたパスワード、フロッピー ディスクにスタートアップ キーを格納する、または管理者が生成したパスワード、パスワードのスタートアップ、パスワードの起動、フロッピー ディスクを紛失した、またはパスワードを忘れた場合、唯一の回復オプションは修復ディスクを使用して、Syskey モードを有効にする前の状態にレジストリを復元する方法です。 その後から今の間に行われたその他の変更は失われる可能性があります。 スタートアップ キーを変更するには、コマンド プロンプトを開き 、「syskey」 と入力して Syskey ユーティリティを実行します。