Información técnica sobre la utilidad de claves del sistema
En este tema para profesionales de TI se describe la utilidad de clave del sistema (Syskey), que protege la base de datos del administrador de cuentas de seguridad (SAM) en sistemas operativos Windows.
Nota
La utilidad Syskey ya no se admite en Windows 10, versión 1607, Windows Server 2016 y versiones posteriores.
¿Qué es la utilidad de clave del sistema?
La información de contraseña de las cuentas de usuario se almacena en la base de datos SAM del registro en estaciones de trabajo y servidores miembros. En los controladores de dominio, la información de contraseña se almacena en los servicios de directorio. No es extraño que el software de descifrado de contraseñas tenga como objetivo la base de datos SAM o los servicios de directorio para acceder a las contraseñas de las cuentas de usuario. La utilidad de clave del sistema (Syskey) proporciona una línea adicional de defensa contra el software de descifrado de contraseñas. Usa técnicas de cifrado sólidas para proteger la información de contraseña de la cuenta que se almacena en la base de datos SAM o en los servicios de directorio. El descifrado de contraseñas de cuenta cifradas es más difícil y lento que el descifrado de contraseñas sin cifrar.
Hay tres opciones de clave del sistema en el cuadro de diálogo Clave de inicio diseñadas para satisfacer las necesidades de diferentes entornos, como se describe en la tabla siguiente.
| Opción de clave del sistema | Nivel de seguridad relativo | Descripción |
|---|---|---|
| Contraseña generada por el sistema, almacenamiento de la clave de inicio localmente | + | Usa una clave aleatoria generada por el equipo como clave del sistema y almacena una versión cifrada de la clave en el equipo local. Esta opción proporciona un cifrado seguro de la información de contraseña en el Registro y permite al usuario reiniciar el equipo sin necesidad de que un administrador escriba una contraseña o inserte un disco. |
| Contraseña generada por el administrador, inicio de contraseña | ++ | Usa una clave aleatoria generada por el equipo como clave del sistema y almacena una versión cifrada de la clave en el equipo local. La clave también está protegida mediante una contraseña elegida por el administrador. Se solicita a los usuarios la contraseña de la clave del sistema cuando el equipo se encuentra en la secuencia de inicio. La contraseña de clave del sistema no se almacena en ningún lugar del equipo. |
| Contraseña generada por el sistema, almacenamiento de la clave en un disquete | +++ | Usa una clave aleatoria generada por el equipo y almacena la clave en un disquete. El disquete que contiene la clave del sistema es necesario para que el sistema se inicie y debe insertarse cuando se solicite durante la secuencia de inicio. La clave del sistema no se almacena en ningún lugar del equipo. |
El empleo de la utilidad de clave del sistema es opcional. Si se pierde el disco que contiene la clave del sistema o si se olvida la contraseña, no puede iniciar el equipo sin restaurar el registro al estado en el que estaba antes de usar la clave del sistema.
Funcionamiento de la utilidad de clave del sistema
Cada vez que se agrega un nuevo usuario a un equipo, la API de protección de datos de Windows (DPAPI) genera una clave maestra que se usa para proteger todas las demás claves privadas que usan las aplicaciones y servicios que se ejecutan en el contexto del usuario, como las claves del sistema de cifrado de archivos (EFS) y las claves S/MIME. El equipo también tiene su propia clave maestra que protege las claves del sistema como, por ejemplo, las claves IPsec, las claves del equipo y las claves SSL. Todas estas claves maestras están protegidas por la clave de inicio de un equipo. Al iniciar un equipo, la clave de inicio descifra las claves maestras. La clave de inicio también protege la base de datos SAM local en cada equipo, los secretos de la autoridad de seguridad local (LSA) del equipo, la información de la cuenta almacenada en Active Directory Domain Services (AD DS) en los controladores de dominio y la contraseña de la cuenta de administrador que se usa para la recuperación del sistema en modo seguro.
La utilidad Syskey permite elegir dónde se almacena esa clave de inicio. De forma predeterminada, el equipo genera una clave aleatoria y la dispersa por todo el registro; un algoritmo de ofuscación complejo garantiza que el patrón de dispersión sea diferente en cada instalación de Windows. Puede cambiar esto a uno de los otros dos modos de Syskey: puede seguir usando una clave generada por el equipo, pero almacenarla en un disquete, o bien puede hacer que el símbolo del sistema solicite una contraseña durante el inicio de una contraseña que se usa para derivar la clave maestra. Siempre puede cambiar entre las tres opciones, pero si ha habilitado Contraseña generada por el sistema, almacenamiento de la clave en un disquete o Contraseña generada por el administrador, inicio de contraseña, y ha perdido el disquete o ha olvidado la contraseña, la única opción de recuperación es usar un disco de reparación para restaurar el registro al estado en el que estaba antes de habilitar el modo de Syskey. Perderá cualquier otro cambio realizado entre entonces y ahora. Para cambiar la clave de inicio, abra un símbolo del sistema y escriba syskey para ejecutar la utilidad Syskey.