Panoramica tecnica dell'utilità chiave di sistema
Questo argomento per i professionisti IT descrive l'utilità chiave di sistema (Syskey), che protegge il database del Sistema di gestione degli account di sicurezza (SAM) nei sistemi operativi Windows.
Nota
L'utilità Syskey non è più supportata in Windows 10, versione 1607, Windows Server 2016 e nelle versioni successive.
Che cos'è l'utilità chiave di sistema?
Le informazioni sulle password per gli account utente vengono archiviate nel database SAM del Registro di sistema nelle workstation e nei server membri. Nei controller di dominio le informazioni sulle password vengono archiviate nei servizi directory. Non è insolito che il software di cracking delle password sia destinato al database SAM o ai servizi directory per accedere alle password degli account utente. L'utilità chiave di sistema (Syskey) fornisce una linea di difesa aggiuntiva contro il software di cracking delle password. Usa tecniche di crittografia avanzata per proteggere le informazioni sulle password dell'account archiviate nel database SAM o nei servizi directory. L'individuazione delle password degli account crittografati è più difficile e richiede più tempo rispetto all'individuazione di password di account non crittografate.
Nella finestra di dialogo Chiave di avvio sono disponibili tre opzioni chiave di sistema progettate per soddisfare le esigenze di ambienti diversi, come descritto nella tabella seguente.
| Opzione chiave di sistema | Livello di sicurezza relativo | Descrizione |
|---|---|---|
| Password generata dal sistema, chiave di avvio dell'archivio in locale | + | Usa una chiave casuale generata dal computer come chiave di sistema e archivia una versione crittografata della chiave nel computer locale. Questa opzione fornisce una crittografia avanzata delle informazioni sulla password nel Registro di sistema e consente all'utente di riavviare il computer senza che un amministratore debba immettere una password o inserire un disco |
| Password generata dall'amministratore, avvio password | ++ | Usa una chiave casuale generata dal computer come chiave di sistema e archivia una versione crittografata della chiave nel computer locale. La chiave è protetta anche da una password scelta dall'amministratore. Agli utenti viene richiesta la password della chiave di sistema quando il computer si trova nella sequenza di avvio iniziale. La password della chiave di sistema non viene archiviata nel computer. |
| Password generata dal sistema, chiave di avvio dell'archivio su disco floppy | +++ | Usa una chiave casuale generata dal computer e archivia la chiave su un disco floppy. Il disco floppy che contiene la chiave di sistema è necessario per l'avvio del sistema e deve essere inserito al prompt durante la sequenza di avvio. La chiave di sistema non viene archiviata nel computer. |
L'uso dell'utilità chiave di sistema è facoltativo. Se il disco che contiene la chiave di sistema viene smarrito o se la password viene dimenticata, non è possibile avviare il computer senza ripristinare il Registro di sistema allo stato in cui si trovava prima dell'uso della chiave di sistema.
Funzionamento dell'utilità chiave di sistema
Ogni volta che un nuovo utente viene aggiunto a un computer, la Data Protection API di Windows genera una chiave master usata per proteggere tutte le altre chiavi private usate dalle applicazioni e dai servizi in esecuzione nel contesto utente, ad esempio le chiavi Encrypting File System (EFS) e le chiavi S/MIME. Il computer dispone anche di una propria chiave master che protegge le chiavi di sistema, ad esempio chiavi IPsec, chiavi computer e chiavi SSL. Tutte queste chiavi master vengono quindi protette dalla chiave di avvio del computer. Quando si avvia un computer, la chiave di avvio decrittografa le chiavi master. La chiave di avvio protegge anche il database SAM locale in ogni computer, i segreti dell'autorità di protezione locale (LSA) del computer, le informazioni sull'account archiviate in Servizi di dominio Active Directory (AD DS) nei controller di dominio e la password dell'account amministratore usata per il ripristino del sistema in modalità provvisoria.
L'utilità Syskey consente di scegliere dove è archiviata la chiave di avvio. Per impostazione predefinita, il computer genera una chiave casuale e la disperde in tutto il Registro di sistema; un algoritmo di offuscamento complesso garantisce che il modello a dispersione sia diverso in ogni installazione di Windows. È possibile modificarlo in una delle due altre modalità Syskey: è possibile continuare a usare una chiave generata dal computer, ma archiviarla su un disco floppy oppure è possibile far sì che il sistema richieda, durante l'avvio, una password usata per derivare la chiave master. È sempre possibile cambiare opzione tra le tre, ma se è stata abilitata la password generata dal sistema, chiave di avvio dell'archivio su disco floppy o la password generata dall'amministratore, avvio password e si è perso il disco floppy o si è dimenticata la password, l'unica opzione di ripristino consiste nell'usare un disco di ripristino per ripristinare lo stato in cui si trovava prima di abilitare la modalità Syskey. Tutte le altre modifiche apportate tra allora e ora andranno perse. Per modificare la chiave di avvio, aprire un prompt dei comandi e digitare syskey per eseguire l'utilità Syskey.