Windows 10、Windows Server 2016 及更高版本中不再支持 Syskey.exe 实用工具

Windows 10版本 1709、Windows Server 版本 2004 及更高版本的 Windows 不再支持 syskey.exe 实用工具。

适用于：Windows 10 - 所有版本、Windows Server 2019、Windows Server 2016
原始 KB 编号： 4025993

更改详细信息

将进行以下更改：

• syskey.exe 实用工具不再包含在 Windows 中。
• 在启动期间，Windows 永远不会提示输入 syskey 密码。
• Windows 将不再支持使用从媒体安装 (IFM) （由 syskey.exe 实用工具在外部加密）安装 Active Directory 域控制器。

如果操作系统 (操作系统) 由 syskey.exe 实用工具在外部加密，则无法将其升级到Windows 10版本 1709、Windows Server 版本 2004 或更高版本的 Windows。

解决方法

如果要使用启动时 OS 安全性，建议使用 BitLocker 或类似技术，而不是 syskey.exe 实用工具。

如果使用 Active Directory IFM 媒体安装 副本 (replica) Active Directory 域控制器，我们建议使用 BitLocker 或其他文件加密实用工具来保护所有 IFM 媒体。

若要将 syskey.exe 实用工具在外部加密的 OS 升级到Windows 10 RS3 或 Windows Server 2016 RS3，应将 OS 配置为不使用外部 syskey 密码。 有关详细信息，请参阅如何使用 SysKey 实用工具保护 Windows 安全中心 Accounts Manager 数据库中的步骤 5。

更多信息

Syskey 是 Windows 内部根加密密钥，用于加密其他敏感的 OS 状态数据，例如用户帐户密码哈希。 SysKey 实用工具可用于通过加密 syskey 以使用外部密码来添加额外的保护层。 在此状态下，OS 会阻止启动过程，并通过交互方式或从软盘) 读取来提示用户输入密码 (。

遗憾的是，syskey 加密密钥和 syskey.exe 的使用不再被视为安全。 Syskey 基于弱加密，在现代很容易被破坏。 受 syskey 保护的数据是有限的，并不涵盖 OS 卷上的所有文件或数据。 众所周知，黑客也使用 syskey.exe 实用工具作为勒索软件欺诈的一部分。

Active Directory 以前支持对 IFM 媒体使用外部加密的 syskey。 使用 IFM 媒体安装域控制器时，必须同时提供外部 syskey 密码。 遗憾的是，这种保护也存在同样的安全漏洞。

参考

syskey.exe 实用工具及其在 Windows OS 中的基础支持首次在 Windows 2000 中引入，并向后移植到 Windows NT 4.0。 有关详细信息，请参阅如何使用 SysKey 实用工具来帮助保护 Windows 安全中心 Accounts Manager 数据库。