Технический обзор служебной программы для системных ключей

область применения: Windows server 2022, Windows server 2019, Windows 8.1, Windows Server 2012, Windows Server 2012 R2

в этом разделе для ит-специалистов описывается служебная программа системного ключа (Syskey), которая защищает базу данных диспетчера учетных записей безопасности (SAM) в операционных системах Windows.

Примечание

служебная программа Syskey больше не поддерживается в Windows 10, версии 1607, Windows Server 2016 и более поздних версиях.

Что такое служебная программа системного ключа?

Сведения о пароле для учетных записей пользователей хранятся в базе данных SAM реестра на рабочих станциях и рядовых серверах. На контроллерах домена сведения о паролях хранятся в службах каталогов. Программное обеспечение взлома паролей не является обычным, чтобы обращаться к базе данных SAM или службам каталогов для доступа к паролям учетных записей пользователей. Служебная программа системного ключа (Syskey) обеспечивает дополнительный уровень защиты от взлома паролей. Для защиты данных пароля учетной записи, хранящейся в базе данных SAM или в службе каталогов, используются надежные методы шифрования. Взлом зашифрованных паролей учетных записей усложняется и занимает много времени, чем взлом незашифрованных паролей учетных записей.

В диалоговом окне ключ запуска есть три параметра системного ключа, которые предназначены для удовлетворения потребностей различных сред, как описано в следующей таблице.

Параметр "системный ключ" Относительный уровень безопасности Описание
Созданный системой пароль, локальное хранение ключа запуска + Использует созданный компьютером случайный ключ в качестве системного ключа и сохраняет зашифрованную версию ключа на локальном компьютере. Этот параметр обеспечивает надежное шифрование сведений о паролях в реестре и позволяет пользователю перезагружать компьютер, не требуя от администратора ввода пароля или вставки диска.
Пароль, созданный администратором, запуск пароля ++ Использует созданный компьютером случайный ключ в качестве системного ключа и сохраняет зашифрованную версию ключа на локальном компьютере. Ключ также защищается паролем, выбранным администратором. Пользователям предлагается ввести пароль системного ключа, если компьютер находится в начальной последовательности запуска. Пароль системного ключа хранится не в любом месте компьютера.
Созданный системой пароль, хранение ключа запуска на гибком диске +++ Использует сгенерированный компьютером случайный ключ и сохраняет ключ на дискете. Дискета, содержащая системный ключ, необходима для запуска системы и должна быть вставлена в командную строку во время последовательности загрузки. Системный ключ не хранится в любом месте на компьютере.

Использование служебной программы системного ключа является необязательным. Если диск, содержащий системный ключ, утерян, или пароль забыт, запустить компьютер не удастся, не восстанавливая реестр в состояние, в котором он находился до использования системного ключа.

Как работает служебная программа системного ключа

при каждом добавлении нового пользователя на компьютер Windows API защиты данных (DPAPI) создает главный ключ, который используется для защиты всех других закрытых ключей, используемых приложениями и службами, работающими в контексте этого пользователя, таких как ключи шифрованная файловая система (EFS) (EFS) и ключи s/MIME. Компьютер также имеет собственный главный ключ, защищающий системные ключи, такие как ключи IPsec, ключи компьютеров и ключи SSL. Затем все эти главные ключи защищаются ключом запуска компьютера. При запуске компьютера ключ запуска расшифровывает главные ключи. ключ запуска также защищает локальную базу данных SAM на каждом компьютере, секреты локального центра безопасности (LSA) компьютера, данные учетной записи, хранящиеся в домен Active Directory Services (AD DS) на контроллерах домена, и пароль учетной записи администратора, используемый для восстановления системы в режиме Сейф.

Служебная программа SYSKEY позволяет выбрать место хранения ключа запуска. По умолчанию компьютер создает случайный ключ и разбросает его по всему реестру. сложный алгоритм запутывания гарантирует, что шаблон точечной диаграммы различается при каждой установке Windows. Вы можете изменить его на один из двух других режимов SYSKEY: можно продолжать использовать созданный компьютером ключ, но сохранить его на дискете или во время запуска системы ввести пароль, используемый для получения главного ключа. Вы всегда можете изменить между тремя вариантами, но если вы включили системный пароль, сохраните ключ запуска на дискете или созданном администратором пароле, при запуске пароля и потеряли дискету или забыли пароль, единственным вариантом восстановления является использование диска восстановления для восстановления реестра в состояние, в котором он находился до включения режима SYSKEY. Любые другие изменения, внесенные между then и Now, будут утрачены. Чтобы изменить ключ запуска, откройте командную строку и введите SYSKEY , чтобы запустить служебную программу Syskey.