Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Thema für IT-Fachleute erhalten Sie Informationen zum Hilfsprogramm Syskey (System Key), das die SAM-Datenbank (zur Verwaltung von Sicherheitskonten) in Windows-Betriebssystemen schützt.
Note
Das Syskey-Hilfsprogramm wird in Windows 10, Version 1607, Windows Server 2016 und höheren Versionen nicht mehr unterstützt.
Was ist das Syskey-Hilfsprogramm?
Kennwortinformationen für Benutzerkonten werden in der SAM-Datenbank der Registrierung auf Arbeitsstationen und Mitgliedsservern gespeichert. Auf Domänencontrollern werden Kennwortinformationen in Verzeichnisdiensten gespeichert. Schadsoftware zum Entschlüsseln von Kennwörtern zielen häufig auf die SAM-Datenbank oder Verzeichnisdienste ab, um auf Kennwörter für Benutzerkonten zuzugreifen. Das Syskey-Hilfsprogramm (System Key, Systemschlüssel) bietet einen zusätzlichen Schutz gegen Schadsoftware zum Entschlüsseln von Kennwörtern. Es verwendet starke Verschlüsselungstechniken für den Schutz von Kontokennwortinformationen, die in der SAM-Datenbank oder in Verzeichnisdiensten gespeichert sind. Sind Kontokennwörter verschlüsselt, ist das Entschlüsseln schwieriger und zeitaufwändiger.
Es gibt drei Systemschlüsseloptionen im Dialogfeld "Startschlüssel ", die den Anforderungen verschiedener Umgebungen entsprechen, wie in der folgenden Tabelle beschrieben.
| Systemschlüsseloption | Relative Sicherheitsstufe | Description |
|---|---|---|
| Vom System generiertes Kennwort, Systemstartschlüssel wird lokal gespeichert | + | Verwendet einen zufällig vom Computer generierten Schlüssel als Systemschlüssel und speichert eine verschlüsselte Version des Schlüssels auf dem lokalen Computer. Diese Option bietet eine starke Verschlüsselung der Kennwortinformationen in der Registrierung und ermöglicht einen Neustart des Computers, ohne dass ein Administrator ein Kennwort eingeben oder einen Datenträger einlegen muss. |
| Vom Administrator generiertes Kennwort, Start mit Kennworteingabe | ++ | Verwendet einen zufällig vom Computer generierten Schlüssel als Systemschlüssel und speichert eine verschlüsselte Version des Schlüssels auf dem lokalen Computer. Der Schlüssel wird auch durch ein vom Administrator ausgewähltes Kennwort geschützt. Benutzer*innen werden während der anfänglichen Startsequenz des Computers zur Eingabe des Systemschlüsselkennworts aufgefordert. Das Systemschlüsselkennwort wird nicht auf dem Computer gespeichert. |
| Vom System generiertes Kennwort, Systemstartschlüssel wird auf Diskette gespeichert | +++ | Verwendet einen zufällig vom Computer generierten Schlüssel und speichert ihn auf einer Diskette. Die Diskette mit dem Systemschlüssel ist zum Starten des Systems erforderlich und muss bei Aufforderung während der Startsequenz eingelegt werden. Der Systemschlüssel wird nicht auf dem Computer gespeichert. |
Die Verwendung des Syskey-Hilfsprogramms ist optional. Wenn Sie die Diskette mit dem Systemschlüssel verlieren oder das Kennwort vergessen, können Sie den Computer nicht starten, ohne die Registrierung in den Zustand vor der Verwendung des Systemschlüssels wiederherzustellen.
Funktionsweise des Syskey-Hilfsprogramms
Werden dem Computer neue Benutzer*innen hinzugefügt, generiert die Datenschutz-API (Data Protection API, DPAPI) von Windows einen Hauptschlüssel, um alle anderen privaten Schlüssel zu schützen, die von Anwendungen und Diensten im Benutzerkontext verwendet werden, wie etwa EFS-Schlüssel (Encrypting File System) und S/MIME-Schlüssel. Der Computer verfügt auch über einen eigenen Hauptschlüssel, um Systemschlüssel wie z. B. IPsec-, Computer- und SSL-Schlüssel zu schützen. Alle Hauptschlüssel werden anschließend durch den Systemstartschlüssel des Computers geschützt. Während des Startvorgangs werden die Hauptschlüssel durch den Systemstartschlüssel entschlüsselt. Der Systemstartschlüssel schützt auch die lokale SAM-Datenbank auf allen Computern, die LSA-Geheimnisse (Local Security Authority) des Computers, Kontoinformationen, die in Active Directory Domain Services (AD DS) auf Domänencontrollern gespeichert sind, sowie das Kennwort des Administratorkontos, das für die Systemwiederherstellung im abgesicherten Modus verwendet wird.
Mit dem Syskey-Hilfsprogramm können Sie den Speicherort des Systemstartschlüssels auswählen. Standardmäßig generiert der Computer einen zufälligen Schlüssel und verteilt ihn in der gesamten Registrierung. Durch einen komplexen Obfuskationsalgorithmus unterscheidet sich das Verteilungsmuster bei jeder Windows-Installation. Sie können diese Einstellung in einen anderen Syskey-Modus ändern: Entweder Sie verwenden weiterhin einen computergenerierten Schlüssel, speichern ihn aber auf einer Diskette, oder Sie werden während des Startvorgangs zur Eingabe eines Kennworts aufgefordert, das zum Ableiten des Hauptschlüssels verwendet wird. Sie können diese drei Optionen jederzeit ändern. Wenn Sie jedoch die Optionen Vom System generiertes Kennwort, Systemstartschlüssel wird auf Diskette gespeichert oder Vom Administrator generiertes Kennwort, Start mit Kennworteingabe aktiviert haben und die Diskette verlieren oder das Kennwort vergessen, besteht die einzige Möglichkeit zur Wiederherstellung in der Verwendung einer Notfalldiskette, um die Registrierung in den Zustand vor der Aktivierung des Syskey-Modus wiederherzustellen. Inzwischen vorgenommene Änderungen gehen verloren. Um den Startschlüssel zu ändern, öffnen Sie eine Eingabeaufforderung, und geben Sie syskey ein, um das Syskey-Hilfsprogramm auszuführen.