Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Toto téma pro IT profesionály popisuje nástroj systémového klíče (Syskey), který chrání databázi Správce účtů zabezpečení (SAM) v operačních systémech Windows.
Poznámka:
Nástroj Syskey se už ve Windows 10 verze 1607, Windows Serveru 2016 a novějších verzích nepodporuje.
Jaká je užitečnost systémového klíče?
Informace o hesle pro uživatelské účty jsou uloženy v databázi SAM registru na pracovních stanicích a členských serverech. V řadičích domény jsou informace o heslech uložené v adresářových službách. Není neobvyklé, že software prolomení hesla cílí na databázi SAM nebo adresářové služby pro přístup k heslům uživatelských účtů. Nástroj systémového klíče (Syskey) poskytuje další linii ochrany proti softwaru pro louskání hesel. Používá silné techniky šifrování k zabezpečení informací o heslech účtu uložených v databázi SAM nebo v adresářových službách. Prolomení šifrovaných hesel účtů je obtížnější a časově náročné než prolomení nešifrovaných hesel účtů.
V dialogovém okně Spouštěcí klíč existují tři možnosti systémového klíče, které jsou navržené tak, aby splňovaly potřeby různých prostředí, jak je popsáno v následující tabulce.
| Možnost systémového klíče | Relativní úroveň zabezpečení | Popis |
|---|---|---|
| Systémem generované heslo, uložení spouštěcího klíče místně | + | Používá jako systémový klíč náhodný klíč vygenerovaný počítačem a ukládá zašifrovanou verzi klíče na místním počítači. Tato možnost poskytuje silné šifrování informací o heslech v registru a umožňuje uživateli restartovat počítač bez nutnosti správce zadat heslo nebo vložit disk. |
| Správce vygeneroval heslo, spuštění hesla | ++ | Používá jako systémový klíč náhodný klíč vygenerovaný počítačem a ukládá zašifrovanou verzi klíče na místním počítači. Klíč je také chráněn heslem zvoleným správcem. Pokud je počítač v počáteční spouštěcí sekvenci, zobrazí se uživatelům výzva k zadání hesla systémového klíče. Heslo systémového klíče není uložené nikde v počítači. |
| Vygenerované heslo systému, uložení spouštěcího klíče na disketu | +++ | Používá náhodný klíč vygenerovaný počítačem a uloží klíč na disketu. Disketa, která obsahuje systémový klíč, je vyžadována pro spuštění systému a musí být vložena do příkazového řádku během spouštěcí sekvence. Systémový klíč není uložen nikam v počítači. |
Použití nástroje systémového klíče je volitelné. Pokud dojde ke ztrátě disku, který obsahuje systémový klíč, nebo pokud heslo zapomenete, nemůžete počítač spustit bez obnovení registru do stavu, ve který byl předtím, než byl systémový klíč použit.
Jak funguje nástroj systémového klíče
Při každém přidání nového uživatele do počítače vygeneruje rozhraní API služby Windows Data Protection (DPAPI) hlavní klíč, který slouží k ochraně všech ostatních privátních klíčů používaných aplikacemi a službami běžícími v kontextu daného uživatele, jako jsou klíče EFS (Encrypting File System) a klíče S/MIME. Počítač má také svůj vlastní hlavní klíč, který chrání systémové klíče, jako jsou klíče IPsec, klíče počítače a klíče SSL. Všechny tyto hlavní klíče jsou pak chráněny spouštěcím klíčem počítače. Při spuštění počítače spouštěcí klíč dešifruje hlavní klíče. Spouštěcí klíč také chrání místní databázi SAM na každém počítači, tajné kódy místního úřadu zabezpečení (LSA), informace o účtu uložené ve službě Active Directory Domain Services (AD DS) na řadičích domény a heslo účtu správce používané k obnovení systému v nouzovém režimu.
Nástroj Syskey umožňuje zvolit, kde je tento spouštěcí klíč uložen. Ve výchozím nastavení počítač generuje náhodný klíč a rozmístí ho po celém registru; složitý obfuskační algoritmus zajišťuje, že se vzorec rozmístění při každé instalaci systému Windows liší. Můžete to změnit na jeden ze dvou dalších režimů Syskey: můžete dál používat počítačem-generovaný klíč, ale uložit ho na disketu, nebo můžete nechat systém vyžádat heslo při spuštění, které slouží k odvození hlavního klíče. Můžete se kdykoli změnit mezi třemi možnostmi, ale pokud jste povolili buď systémové vygenerované heslo, uložit spouštěcí klíč na disketu nebo heslo vygenerované správcem, spuštění hesla a ztratili jste disketu nebo zapomněli heslo, jedinou možností obnovení je použití opravného disku k obnovení registru do stavu, ve který byl předtím, než jste povolili režim Syskey. Mezi tím a teď přijdete o všechny další změny. Pokud chcete změnit spouštěcí klíč, otevřete příkazový řádek a zadáním příkazu syskey spusťte nástroj Syskey.