La KB Microsoft nous donne ceci:
Le cryptage renforcé est appliqué uniquement aux informations de mots de passe privés, et non à l'ensemble de la base de données des comptes. Chaque système qui utilise l'option de cryptage renforcé dispose de sa propre clé de cryptage des mots de passe. Cette clé est elle-même cryptée avec une clé système. Le cryptage de mot de passe renforcé peut être utilisé à la fois sur le serveur Windows NT Server et sur la station de travail sur laquelle les informations de compte sont stockées. Le cryptage renforcé des mots de passe de compte constitue une protection supplémentaire pour le contenu de la section SAM du registre, ainsi que pour les copies de sauvegarde ultérieures des informations du registre dans le répertoire %systemroot%\repair créé à l'aide de la commande RDISK et sur les bandes de sauvegarde du système.
La clé système est définie à l'aide de la commande Syskey.exe. Seuls les membres du groupe Administrateurs peuvent exécuter la commande Syskey.exe. Cet utilitaire est conçu pour initialiser ou modifier la clé système. La clé système est la " clé maîtresse " utilisée pour protéger la clé de cryptage des mots de passe et sa protection est donc essentielle à la sécurisation de votre système.
Trois options sont disponibles pour gérer la clé système, conçues pour répondre aux besoins d'environnements Windows NT différents. Les options de clé système sont les suivantes :
•
Utilisation d'une clé aléatoire générée par machine comme clé système et stockage de la clé sur le système local à l'aide d'un algorithme de dissimulation complexe. Cette option offre un cryptage renforcé des informations de mots de passe dans le registre et permet le redémarrage autonome du système.
•
Utilisation d'une clé aléatoire générée par machine et stockage de la clé sur une disquette. La disquette contenant la clé système est nécessaire au démarrage du système. Elle doit être insérée à l'invite après l'initialisation de la séquence de démarrage par Windows NT, mais avant que les utilisateurs ne puissent ouvrir une session sur le système. La clé système n'est stockée nulle part sur votre système local.
•
Utilisation d'un mot de passe sélectionné par l'Administrateur pour dériver la clé système Windows NT vous invite à entrer le mot de passe de la clé système lors de la séquence de démarrage initiale du système, mais avant que le système ne soit disponible pour l'ouverture de session par des utilisateurs. Le mot de passe de la clé système n'est stocké nulle part sur le système. Un abrégé MD5 du mot de passe est utilisé comme clé maîtresse pour protéger la clé de cryptage des mots de passe.