Visão geral técnica do utilitário de chaves do sistema

aplica-se a: Windows server 2022, Windows server 2019, Windows 8.1, Windows Server 2012, Windows Server 2012 R2

este tópico para o profissional de ti descreve o utilitário de chave do sistema (Syskey), que protege o banco de dados SAM (gerenciador de contas de segurança) em sistemas operacionais Windows.

Observação

não há mais suporte para o utilitário Syskey no Windows 10, versão 1607, Windows Server 2016 e versões posteriores.

O que é o utilitário de chave do sistema?

As informações de senha para contas de usuário são armazenadas no banco de dados SAM do registro em estações de trabalho e servidores membro. Em controladores de domínio, as informações de senha são armazenadas nos serviços de diretório. Não é incomum que o software de quebra de senha direcione o banco de dados SAM ou os serviços de diretório para acessar senhas para contas de usuário. O utilitário de chave do sistema (syskey) fornece uma linha extra de defesa contra software de quebra de senha. Ele usa técnicas de criptografia fortes para proteger as informações de senha da conta que são armazenadas no banco de dados SAM ou nos serviços de diretório. A violação de senhas de contas criptografadas é mais difícil e demorada do que a quebra de senhas de contas não criptografadas.

Há três opções de chave do sistema na caixa de diálogo chave de inicialização que são projetadas para atender às necessidades de ambientes diferentes, conforme descrito na tabela a seguir.

Opção de chave do sistema Nível de segurança relativo Descrição
Senha gerada pelo sistema, armazenar chave de inicialização localmente + Usa uma chave aleatória gerada por computador como a chave do sistema e armazena uma versão criptografada da chave no computador local. Essa opção fornece criptografia forte de informações de senha no registro e permite que o usuário reinicie o computador sem a necessidade de um administrador inserir uma senha ou inserir um disco
Senha gerada pelo administrador, inicialização de senha ++ Usa uma chave aleatória gerada por computador como a chave do sistema e armazena uma versão criptografada da chave no computador local. A chave também é protegida por uma senha escolhida pelo administrador. Os usuários são solicitados a fornecer a senha de chave do sistema quando o computador está na sequência de inicialização inicial. A senha da chave do sistema não é armazenada em nenhum lugar no computador.
Senha gerada pelo sistema, armazenar a chave de inicialização no disquete +++ Usa uma chave aleatória gerada por computador e armazena a chave em um disquete. O disquete que contém a chave do sistema é necessário para que o sistema seja iniciado e deve ser inserido em um prompt durante a sequência de inicialização. A chave do sistema não é armazenada em nenhum lugar no computador.

O uso do utilitário de chave do sistema é opcional. Se o disco que contém a chave do sistema for perdido ou se a senha for esquecida, você não poderá iniciar o computador sem restaurar o registro para o estado em que estava antes de a chave do sistema ser usada.

Como funciona o utilitário de chave do sistema

cada vez que um novo usuário é adicionado a um computador, o Windows DPAPI (API de proteção de dados) gera uma chave mestra que é usada para proteger todas as outras chaves privadas usadas por aplicativos e serviços em execução no contexto desse usuário, como chaves de sistema de arquivos com criptografia (EFS) e chaves s/MIME. O computador também tem sua própria chave mestra que protege as chaves do sistema, como chaves IPsec, chaves de computador e chaves SSL. Todas essas chaves mestras são então protegidas pela chave de inicialização de um computador. Quando você inicia um computador, a chave de inicialização descriptografa as chaves mestras. a chave de inicialização também protege o banco de dados SAM local em cada computador, os segredos da LSA (autoridade de segurança local) do computador, as informações de conta armazenadas em Active Directory Domain Services (AD DS) em controladores de domínio e a senha da conta de administrador usada para recuperação do sistema no modo Cofre.

O utilitário SysKey permite que você escolha onde a chave de inicialização é armazenada. Por padrão, o computador gera uma chave aleatória e a dispersão em todo o registro; um algoritmo de ofuscação complexa garante que o padrão de dispersão seja diferente em cada instalação de Windows. Você pode alterar isso para um dos dois outros modos do syskey: você pode continuar a usar uma chave gerada por computador, mas armazená-la em um disquete ou pode fazer com que o sistema seja solicitado durante a inicialização para uma senha que é usada para derivar a chave mestra. Você sempre pode alterar entre as três opções, mas se tiver habilitado a senha gerada pelo sistema, armazene a chave de inicialização em disquete ou senha gerada pelo administrador, inicialização de senha e você perdeu o disquete ou esqueceu sua senha, sua única opção de recuperação é usar um disco de reparo para restaurar o registro para o estado em que estava antes de habilitar o modo syskey. Você perderá todas as outras alterações feitas entre then e agora. Para alterar a chave de inicialização, abra um prompt de comando e digite Syskey para executar o utilitário SysKey.