Visão geral técnica do utilitário de chaves do sistema

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows 8.1, Windows Server 2012, Windows Server 2012 R2

Este tópico para profissionais de IT descreve o Syskey (utilitário de chave do sistema), que protege o banco de dados SAM (Gerenciador de Contas de Segurança) em Windows sistemas operacionais.

Observação

O utilitário Syskey não tem mais suporte no Windows 10, versão 1607, Windows Server 2016 e versões posteriores.

O que é o utilitário de chave do sistema?

As informações de senha para contas de usuário são armazenadas no banco de dados SAM do registro em estações de trabalho e servidores membros. Em controladores de domínio, as informações de senha são armazenadas nos serviços de diretório. Não é incomum que o software de quebra de senha tenha como destino o banco de dados SAM ou os serviços de diretório para acessar senhas para contas de usuário. O utilitário de chave do sistema (Syskey) fornece uma linha extra de defesa contra software de quebra de senha. Ele usa técnicas de criptografia forte para proteger as informações de senha da conta armazenadas no banco de dados SAM ou nos serviços de diretório. A quebra de senhas de conta criptografadas é mais difícil e demorada do que a quebra de senhas de conta não criptografadas.

Há três opções de chave do sistema na caixa de diálogo Chave de Inicialização projetadas para atender às necessidades de ambientes diferentes, conforme descrito na tabela a seguir.

Opção de chave do sistema Nível de segurança relativo Descrição
Senha gerada pelo sistema, armazenar chave de inicialização localmente + Usa uma chave aleatória gerada por computador como a chave do sistema e armazena uma versão criptografada da chave no computador local. Essa opção fornece criptografia forte de informações de senha no Registro e permite que o usuário reinicie o computador sem a necessidade de um administrador inserir uma senha ou inserir um disco
Senha gerada pelo administrador, Inicialização de Senha ++ Usa uma chave aleatória gerada por computador como a chave do sistema e armazena uma versão criptografada da chave no computador local. A chave também é protegida por uma senha escolhida pelo administrador. Os usuários são solicitados a solicitar a senha da chave do sistema quando o computador estiver na sequência de inicialização inicial. A senha da chave do sistema não é armazenada em nenhum lugar no computador.
Senha gerada pelo sistema, chave de inicialização do armazenamento no disquete +++ Usa uma chave aleatória gerada por computador e armazena a chave em um disquete. O disquete que contém a chave do sistema é necessário para que o sistema seja inicializado e deve ser inserido em um prompt durante a sequência de inicialização. A chave do sistema não é armazenada em nenhum lugar no computador.

O uso do utilitário de chave do sistema é opcional. Se o disco que contém a chave do sistema for perdido ou se a senha for esquecida, você não poderá iniciar o computador sem restaurar o registro para o estado em que estava antes da chave do sistema ser usada.

Como funciona o utilitário de chave do sistema

Cada vez que um novo usuário é adicionado a um computador, a DPAPI (API de Proteção de Dados) do Windows gera uma chave mestra que é usada para proteger todas as outras chaves privadas usadas por aplicativos e serviços em execução no contexto desse usuário, como chaves efS (Encrypting File System) e chaves S/MIME. O computador também tem sua própria chave mestra que protege as chaves do sistema, como chaves IPsec, chaves de computador e chaves SSL. Todas essas chaves mestras são protegidas pela chave de inicialização de um computador. Quando você inicia um computador, a chave de inicialização descriptografa as chaves mestras. A chave de inicialização também protege o banco de dados SAM local em cada computador, os segredos da LSA (Autoridade de Segurança Local) do computador, as informações de conta armazenadas no Active Directory Domain Services (AD DS) em controladores de domínio e a senha da conta de administrador usada para recuperação do sistema no modo Cofre.

O utilitário Syskey permite que você escolha onde essa chave de inicialização está armazenada. Por padrão, o computador gera uma chave aleatória e a dispersa em todo o Registro; um algoritmo de ofuscação complexo garante que o padrão de dispersão seja diferente em cada Windows instalação. Você pode alterar isso para um dos dois outros modos Syskey: você pode continuar a usar uma chave gerada pelo computador, mas armazená-la em um disquete ou pode fazer com que o prompt do sistema durante a inicialização de uma senha que seja usada para derivar a chave mestra. Você sempre pode alterar entre as três opções, mas se tiver habilitado Senha Gerada pelo Sistema , Armazenar Chave de Inicialização no Disquete ou Senha gerada pelo Administrador , Inicialização de Senha e você tiver perdido seu disquete ou esquecido sua senha, sua única opção de recuperação será usar um disco de reparo para restaurar o registro para o estado em que estava antes de habilitar o modo Syskey. Você perderá todas as outras alterações feitas entre essa época e agora. Para alterar sua chave de inicialização, abra um prompt de comando e digite syskey para executar o utilitário Syskey.