议题提交：kernet
信息来源：邪恶八进制安全小组

  上次好像在安全焦点看到了一篇关于关闭Syskey的文章，可是试了下结果失败，系统进不了（“XP系统”），所以来求助，希望大家给点意见。附有关资料：

-1-
   
  将syskey激活后，在注册表HKLM\System\CurrentControlSet\Control\Lsa下被添加了新的键值'SecureBoot'中保存了syskey的设置：
     1 - KEY保存在注册表中
     2 - KEY由用户登录时输入的口令生成
     3 - KEY保存在软盘中
但是把主键删除或者把值设成0并没能将syskey关闭，看来还有其他的地方......
     
-2-      
  HKLM\SAM\Domains\Account\F 是一个二进制的结构，通常保存着计算机的SID和其他的描述信息。当syskey被激活后，其中的内容就变大了(大小大约是原来的两倍) 增加的部分估计是加密的KEY+一些标记和其他的数值,这些标记和数值中一定有一部分包括 SecureBoot 相同的内容。所以，在NT4(已安装SP6补丁包)将这些标记位设为0可能就可以关闭syskey了。在改变这些设置时系统给出了一个错误提示说明SAM和系统设置相互冲突，但是在重新启动计算机后，系统已经不再使用syskey了。

-3-
  再win2000中还有另一个地方还存储着关于syskey的信息
  HKLM\security\Policy\PolSecretEncryptionKey\<default>
  这也是一个二进制的结构，也是使用同样的存储方式，将这里相应部分同样设为0,syskey就已经从win2000中移除了。(如果这三部分修改出现错误(不一致)，系统会在下次启动是自动恢复为默认值)

-4-
，  然后就是口令信息部分。旧的口令信息是长度是16字节，但使用syskey后长度全部被增加到20字节。其中头四个字节看起来想是某种计数器，可能是历史使用记录计数器。奇怪的是，当syskey被激活时，他并不立即记录，而是在系统下次启动时才记录。而且，当密钥被改变时，口令信息似乎并没有相应更新

我的贴子发了N久了
怎么没人回答呢.

有syskey加密的方法再网上看过。。

至于怎么恢复，一般的情况就是ghost,系统还原。

文章里面说的syskey去掉的时候是没有全部的去掉的。。 在报纸上看的。。