Syskey.exe ユーティリティは、Windows 10、Windows Server 2016、およびそれ以降のバージョンではサポートされなくなりました

Windows 10 バージョン 1709、Windows Server、バージョン 2004 以降のバージョンの Windows では、syskey.exe ユーティリティがサポートされなくなりました。

適用対象: Windows 10 - すべてのエディション、Windows Server 2019、Windows Server 2016
元の KB 番号: 4025993

変更の詳細

次の変更が行われます。

• syskey.exe ユーティリティは Windows に含まれません。
• Windows では、起動時に syskey パスワードの入力を求められることはありません。
• Windows では、syskey.exe ユーティリティによって外部で暗号化された Install-From-Media (IFM) を使用した Active Directory ドメイン コントローラーのインストールはサポートされなくなりました。

オペレーティング システム (OS) がsyskey.exe ユーティリティによって外部で暗号化されている場合、Windows 10 バージョン 1709、Windows Server バージョン 2004、またはそれ以降のバージョンの Windows にアップグレードすることはできません。

回避策

ブート時の OS セキュリティを使用する場合は、syskey.exe ユーティリティの代わりに BitLocker または同様のテクノロジを使用することをお勧めします。

Active Directory IFM メディアを使用してレプリカ Active Directory ドメイン コントローラーをインストールする場合は、BitLocker またはその他のファイル暗号化ユーティリティを使用して、すべての IFM メディアを保護することをお勧めします。

syskey.exe ユーティリティによって外部で暗号化された OS を Windows 10 RS3 または Windows Server 2016 RS3 にアップグレードするには、外部 syskey パスワードを使用しないように OS を構成する必要があります。 詳細については、「 SysKey ユーティリティを使用して Windows セキュリティ Accounts Manager データベースをセキュリティで保護する方法の手順 5 を参照してください。

詳細

Syskey は、ユーザー アカウントのパスワード ハッシュなど、他の機密性の高い OS 状態データを暗号化するために使用される Windows 内部ルート暗号化キーです。 SysKey ユーティリティを使用すると、外部パスワードを使用するように syskey を暗号化することで、保護レイヤーを追加できます。 この状態では、OS はブート プロセスをブロックし、ユーザーにパスワードの入力を求めます (対話形式またはフロッピー ディスクからの読み取り)。

残念ながら、syskey 暗号化キーとsyskey.exeの使用は安全とは見なされなくなりました。 Syskey は、現代では簡単に破損できる弱い暗号化に基づいています。 syskey によって保護されるデータは制限されており、OS ボリューム上のすべてのファイルまたはデータをカバーしているわけではありません。 syskey.exeユーティリティは、ランサムウェア詐欺の一部としてハッカーによって使用されることも知られています。

Active Directory では以前、IFM メディアに対して外部で暗号化された syskey の使用がサポートされました。 IFM メディアを使用してドメイン コントローラーをインストールする場合は、外部 syskey パスワードも指定する必要がありました。 残念ながら、この保護は同じセキュリティ上の欠陥に苦しんでいます。

リファレンス

windows OS でのsyskey.exe ユーティリティとその基になるサポートは、Windows 2000 で最初に導入され、Windows NT 4.0 にバックポートされました。 詳細については、「SysKey ユーティリティを使用して、Windows セキュリティ Accounts Manager データベースをセキュリティで保護する方法を参照してください。