Visão geral técnica do utilitário de chaves do sistema
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 8.1, Windows Server 2012 R2, Windows 2012
Este tópico para o profissional de TI descreve o utilitário de chave do sistema (Syskey), que protege o banco de dados SAM (Gerenciador de Contas de Segurança) em sistemas operacionais Windows.
Observação
O utilitário Syskey não tem mais suporte no Windows 10, versão 1607, Windows Server 2016 e versões posteriores.
O que é o utilitário de chave do sistema?
As informações de senha para contas de usuário são armazenadas no banco de dados SAM do registro em estações de trabalho e servidores membros. Em controladores de domínio, as informações de senha são armazenadas em serviços de diretório. Não é incomum que o software de quebra de senha tenha como destino o banco de dados SAM ou os serviços de diretório para acessar senhas para contas de usuário. O utilitário de chave do sistema (Syskey) fornece uma linha extra de defesa contra software de quebra de senha. Ele usa técnicas de criptografia forte para proteger informações de senha de conta armazenadas no banco de dados SAM ou em serviços de diretório. Decifrar senhas de conta criptografadas é mais difícil e demorado do que decifrar senhas de conta não criptografadas.
Há três opções de chave do sistema na caixa de diálogo Chave de Inicialização projetadas para atender às necessidades de ambientes diferentes, conforme descrito na tabela a seguir.
| Opção de chave do sistema | Nível de segurança relativo | Descrição |
|---|---|---|
| Senha gerada pelo sistema, armazenar chave de inicialização localmente | + | Usa uma chave aleatória gerada pelo computador como a chave do sistema e armazena uma versão criptografada da chave no computador local. Essa opção fornece criptografia forte de informações de senha no registro e permite que o usuário reinicie o computador sem a necessidade de um administrador inserir uma senha ou inserir um disco |
| Senha gerada pelo administrador, Inicialização de Senha | ++ | Usa uma chave aleatória gerada pelo computador como a chave do sistema e armazena uma versão criptografada da chave no computador local. A chave também é protegida por uma senha escolhida pelo administrador. Os usuários são solicitados a fornecer a senha da chave do sistema quando o computador está na sequência de inicialização inicial. A senha da chave do sistema não é armazenada em nenhum lugar no computador. |
| Senha gerada pelo sistema, armazenar chave de inicialização no disquete | +++ | Usa uma chave aleatória gerada por computador e armazena a chave em um disquete. O disquete que contém a chave do sistema é necessário para que o sistema seja iniciado e deve ser inserido em um prompt durante a sequência de inicialização. A chave do sistema não é armazenada em nenhum lugar no computador. |
O uso do utilitário de chave do sistema é opcional. Se o disco que contém a chave do sistema for perdido ou se a senha for esquecida, você não poderá iniciar o computador sem restaurar o registro para o estado em que estava antes da chave do sistema ser usada.
Como funciona o utilitário de chave do sistema
Sempre que um novo usuário é adicionado a um computador, a API de Proteção de Dados do Windows (DPAPI) gera uma chave mestra que é usada para proteger todas as outras chaves privadas usadas por aplicativos e serviços em execução no contexto desse usuário, como chaves EFS (Encrypting File System) e chaves S/MIME. O computador também tem sua própria chave mestra que protege chaves do sistema, como chaves IPsec, chaves de computador e chaves SSL. Todas essas chaves mestras são protegidas pela chave de inicialização de um computador. Quando você inicia um computador, a chave de inicialização descriptografa as chaves mestras. A chave de inicialização também protege o banco de dados SAM local em cada computador, os segredos da LSA (Autoridade de Segurança Local) do computador, as informações da conta armazenadas em Active Directory Domain Services (AD DS) em controladores de domínio e a senha da conta de administrador usada para recuperação do sistema no Modo de Segurança.
O utilitário Syskey permite que você escolha onde essa chave de inicialização é armazenada. Por padrão, o computador gera uma chave aleatória e a dispersa por todo o registro. Um algoritmo de ofuscação complexo garante que o padrão de dispersão seja diferente em cada instalação do Windows. Isso pode ser alterado em um dos dois outros modos Syskey: você pode continuar a usar uma chave gerada por computador, armazenando-a em um disquete ou ter o prompt do sistema durante a inicialização de uma senha usada para derivar a chave mestra. Você sempre pode alternar entre as três opções, mas se tiver habilitado a Senha gerada pelo sistema, Chave de inicialização armazenada no disquete ou a Senha gerada pelo Administrador, Inicialização de senha e caso você tenha perdido o disquete ou esquecido sua senha, sua única opção de recuperação será usar um disco de reparo para restaurar o registro para o estado em que estava antes de habilitar o modo Syskey. Você perderá todas as outras alterações feitas daquele momento até agora. Para alterar a chave de inicialização, abra um prompt de comando e digite syskey para executar o utilitário Syskey.