Windows 10、Windows Server 2016 和更新版本不再支援Syskey.exe公用程式

Windows 10 版本 1709、Windows Server 版本 2004 和更新版本的 Windows 不再支援 syskey.exe 公用程式。

適用於： Windows 10 - 所有版本、Windows Server 2019、Windows Server 2016
原始 KB 編號： 4025993

變更詳細數據

進行下列變更：

• syskey.exe公用程式已不再包含在 Windows 中。
• Windows 永遠不會在啟動期間提示輸入 syskey 密碼。
• Windows 將不再支援使用 syskey.exe 公用程式外部加密的 Install-From-Media （IFM） 安裝 Active Directory 域控制器。

如果操作系統 （OS） 是由 syskey.exe 公用程式外部加密，則您無法將其升級至 Windows 10 版本 1709、Windows Server 版本 2004 或更新版本的 Windows。

因應措施

如果您想要使用開機時間 OS 安全性，建議您使用 BitLocker 或類似的技術，而不是syskey.exe公用程序。

如果您使用 Active Directory IFM 媒體來安裝複本 Active Directory 域控制器，建議您使用 BitLocker 或其他檔案加密公用程式來保護所有 IFM 媒體。

若要將 syskey.exe 公用程式外部加密的 OS 升級至 Windows 10 RS3 或 Windows Server 2016 RS3，OS 應該設定為不使用外部 syskey 密碼。 如需詳細資訊，請參閱如何使用 SysKey 公用程式來保護 Windows 安全性 Accounts Manager 資料庫的步驟 5。

其他相關資訊

Syskey 是 Windows 內部根加密金鑰，用來加密其他敏感性 OS 狀態數據，例如使用者帳戶密碼哈希。 SysKey 公用程式可用來新增額外的保護層，方法是加密 syskey 以使用外部密碼。 在此狀態下，OS 會封鎖開機程式，並提示使用者輸入密碼（以互動方式或從軟盤讀取）。

不幸的是，syskey 加密密鑰和使用syskey.exe不再被視為安全。 Syskey 是以弱式密碼編譯為基礎，可在現代輕鬆中斷。 受 syskey 保護的數據有限，且不會涵蓋 OS 磁碟區上的所有檔案或數據。 眾所周知，syskey.exe公用程式已被駭客用作勒索軟體詐騙的一部分。

Active Directory 先前支持針對 IFM 媒體使用外部加密的 syskey。 使用 IFM 媒體安裝域控制器時，也必須提供外部 syskey 密碼。 不幸的是，這種保護有相同的安全性缺陷。

參考

syskey.exe公用程式及其 Windows OS 的基礎支援首次在 Windows 2000 中引進，並回送至 Windows NT 4.0。 如需詳細資訊，請參閱如何使用 SysKey 公用程式協助保護 Windows 安全性 Accounts Manager 資料庫。