Freigeben über


Sichern des privaten Schlüssels für das Verschlüsseln des Dateisystems (Encrypting File System, EFS) in Windows

In diesem Artikel wird beschrieben, wie Sie den privaten Schlüssel des Wiederherstellungs-Agents verschlüsselndes Dateisystem (Encrypting File System, EFS) auf einem Computer sichern.

Ursprüngliche KB-Nummer: 241201

Übersicht

Verwenden Sie den privaten Schlüssel des Wiederherstellungs-Agents, um Daten in Situationen wiederherzustellen, in denen die Kopie des privaten EFS-Schlüssels, der sich auf dem lokalen Computer befindet, verloren geht. Dieser Artikel enthält Informationen zur Verwendung des Zertifikatexport-Assistenten zum Exportieren des privaten Schlüssels des Wiederherstellen-Agents von einem Computer, der Mitglied einer Arbeitsgruppe ist, und von einem Windows Server 2003-basierten, Windows 2000-basierten, Windows Server 2008- oder Windows Server 2008 R2-basierten Domänencontroller.

Einführung

In diesem Artikel wird beschrieben, wie Sie den privaten Schlüssel des Wiederherstellungs-Agents verschlüsselndes Dateisystem (Encrypting File System, EFS) in Windows Server 2003 in Windows 2000 in Windows XP, in Windows Vista, in Windows 7, in Windows Server 2008 und in Windows Server 2008 R2 sichern. Sie können den privaten Schlüssel des Wiederherstellungs-Agents verwenden, um Daten in Situationen wiederherzustellen, in denen die Kopie des privaten EFS-Schlüssels, der sich auf dem lokalen Computer befindet, verloren geht.

Sie können EFS verwenden, um Datendateien zu verschlüsseln, um unbefugten Zugriff zu verhindern. EFS verwendet einen Verschlüsselungsschlüssel, der dynamisch generiert wird, um die Datei zu verschlüsseln. Der Dateiverschlüsselungsschlüssel (File Encryption Key, FEK) wird mit dem öffentlichen EFS-Schlüssel verschlüsselt und der Datei als EFS-Attribut hinzugefügt, das den Namen Data Decryption Field (DDF) hat. Um das FEK zu entschlüsseln, müssen Sie über den entsprechenden privaten EFS-Schlüssel aus dem öffentlichen Schlüsselpaar verfügen. Nachdem Sie das FEK entschlüsselt haben, können Sie die Datei mithilfe des FEK entschlüsseln.

Wenn Ihr privater EFS-Schlüssel verloren geht, können Sie einen Wiederherstellungs-Agent verwenden, um verschlüsselte Dateien wiederherzustellen. Jedes Mal, wenn eine Datei verschlüsselt ist, wird der FEK auch mit dem öffentlichen Schlüssel des Wiederherstellungs-Agents verschlüsselt. Die verschlüsselte FEK ist mit der Kopie verknüpft, die mit Ihrem öffentlichen EFS-Schlüssel im Datenwiederherstellungsfeld (DATA Recovery Field, DRF) verschlüsselt ist. Wenn Sie den privaten Schlüssel des Wiederherstellungs-Agents verwenden, können Sie das FEK entschlüsseln und dann die Datei entschlüsseln.

Wenn ein Computer, auf dem Microsoft Windows 2000 Professional ausgeführt wird, ein Mitglied einer Arbeitsgruppe ist oder Mitglied einer Microsoft Windows NT 4.0-Domäne ist, wird der lokale Administrator, der sich zum ersten Mal am Computer anmeldet, als Standardwiederherstellungs-Agent festgelegt. Wenn ein Computer, auf dem Windows XP oder Windows 2000 ausgeführt wird, ein Mitglied einer Windows Server 2003-Domäne oder einer Windows 2000-Domäne ist, wird das integrierte Administratorkonto auf dem ersten Domänencontroller in der Domäne als Standardwiederherstellungs-Agent festgelegt.

Ein Computer, auf dem Windows XP ausgeführt wird und mitglied einer Arbeitsgruppe ist, verfügt nicht über einen Standardwiederherstellungs-Agent. Sie müssen manuell einen lokalen Wiederherstellungs-Agent erstellen.

Wichtig

Nachdem Sie den privaten Schlüssel auf einen Diskettendatenträger oder ein anderes Wechselmedium exportiert haben, speichern Sie den Diskettendatenträger oder -medien an einem sicheren Speicherort. Wenn jemand Zugriff auf Ihren privaten EFS-Schlüssel erhält, kann diese Person Zugriff auf Ihre verschlüsselten Daten erhalten.

Exportieren des privaten Schlüssels des Wiederherstellungs-Agents von einem Computer, der Mitglied einer Arbeitsgruppe ist

Führen Sie die folgenden Schritte aus, um den privaten Schlüssel des Wiederherstellungs-Agents von einem Computer zu exportieren, der Mitglied einer Arbeitsgruppe ist:

  1. Melden Sie sich mit dem lokalen Benutzerkonto des Wiederherstellungs-Agents beim Computer an.

  2. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie "mmc" ein, und klicken Sie dann auf "OK".

  3. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen. Klicken Sie dann auf "In Windows Server 2003 hinzufügen ", in Windows XP oder in Windows 2000. Oder klicken Sie in Windows Vista in Windows 7, in Windows Server 2008 oder in Windows Server 2008 R2 auf OK .

  4. Klicken Sie unter "Verfügbare eigenständige Snap-Ins" auf "Zertifikate" und dann auf "Hinzufügen".

  5. Klicken Sie auf "Mein Benutzerkonto", und klicken Sie dann auf "Fertig stellen".

  6. Klicken Sie auf "Schließen", und klicken Sie dann in Windows Server 2003 auf "OK", in Windows XP oder in Windows 2000. Oder klicken Sie in Windows Vista in Windows 7, in Windows Server 2008 oder in Windows Server 2008 R2 auf OK .

  7. Doppelklicken Sie auf Zertifikate – Aktueller Benutzer, doppelklicken Sie auf "Persönlich", und doppelklicken Sie dann auf "Zertifikate".

  8. Suchen Sie das Zertifikat, das die Wörter "Dateiwiederherstellung" (ohne Anführungszeichen) in der Spalte "Beabsichtigte Zwecke " anzeigt.

  9. Klicken Sie mit der rechten Maustaste auf das Zertifikat, das Sie in Schritt 8 gefunden haben, zeigen Sie auf "Alle Aufgaben", und klicken Sie dann auf "Exportieren". Der Zertifikatexport-Assistent wird gestartet.

  10. Klicken Sie auf Weiter.

  11. Klicken Sie auf "Ja", exportieren Sie den privaten Schlüssel, und klicken Sie dann auf "Weiter".

  12. Klicken Sie auf " Persönlicher Informationsaustausch " - PKCS #12 (. PFX).

    Notiz

    Es wird dringend empfohlen, dass Sie auch klicken, um den starken Schutz zu aktivieren (erfordert IE 5.0, NT 4.0 SP4 oder höher , um Ihren privaten Schlüssel vor unbefugtem Zugriff zu schützen.

    Wenn Sie klicken, um den privaten Schlüssel zu löschen, wenn der Export erfolgreich ist, wird der private Schlüssel vom Computer entfernt, und Sie können keine verschlüsselten Dateien entschlüsseln.

  13. Klicken Sie auf Weiter.

  14. Geben Sie ein Kennwort an, und klicken Sie dann auf "Weiter".

  15. Geben Sie einen Dateinamen und Speicherort an, an dem Sie das Zertifikat und den privaten Schlüssel exportieren möchten, und klicken Sie dann auf "Weiter".

    Notiz

    Es wird empfohlen, die Datei auf einem Datenträger oder auf einem Wechselmedium zu sichern und die Sicherung dann an einem Speicherort zu speichern, an dem Sie die physische Sicherheit der Sicherung bestätigen können.

  16. Überprüfen Sie die Einstellungen, die auf der Seite "Zertifikatexport-Assistent abschließen" angezeigt werden, und klicken Sie dann auf " Fertig stellen".

Exportieren des privaten Schlüssels des Domänenwiederherstellungs-Agents

Der erste Domänencontroller in einer Domäne enthält das integrierte Administratorprofil, das das öffentliche Zertifikat und den privaten Schlüssel für den Standardwiederherstellungs-Agent der Domäne enthält. Das öffentliche Zertifikat wird in die Standarddomänenrichtlinie importiert und mithilfe von Gruppenrichtlinien auf Domänenclients angewendet. Wenn das Administratorprofil oder der erste Domänencontroller nicht mehr verfügbar ist, geht der private Schlüssel, der zum Entschlüsseln der verschlüsselten Dateien verwendet wird, verloren, und Dateien können nicht über diesen Wiederherstellungs-Agent wiederhergestellt werden.

Um die Richtlinie für die verschlüsselte Datenwiederherstellung zu finden, öffnen Sie die Standarddomänenrichtlinie im Gruppenrichtlinienobjekt-Editor-Snap-In, erweitern Sie "Computerkonfiguration", erweitern Sie "Windows-Einstellungen", erweitern Sie "Sicherheitseinstellungen" und erweitern Sie dann "Public Key Policies".

Führen Sie die folgenden Schritte aus, um den privaten Schlüssel des Domänenwiederherstellungs-Agents zu exportieren:

  1. Suchen Sie den ersten Domänencontroller, der in der Domäne höhergestuft wurde.

  2. Melden Sie sich mit dem integrierten Administratorkonto beim Domänencontroller an.

  3. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie "mmc" ein, und klicken Sie dann auf "OK".

  4. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen. Klicken Sie dann auf "Hinzufügen" in Windows Server 2003 oder in Windows 2000. Oder klicken Sie in Windows Server 2008 oder in Windows Server 2008 R2 auf OK .

  5. Klicken Sie unter "Verfügbare eigenständige Snap-Ins" auf "Zertifikate" und dann auf "Hinzufügen".

  6. Klicken Sie auf "Mein Benutzerkonto", und klicken Sie dann auf "Fertig stellen".

  7. Klicken Sie auf "Schließen", und klicken Sie dann in Windows Server 2003 oder in Windows 2000 auf "OK". Oder klicken Sie in Windows Server 2008 oder in Windows Server 2008 R2 auf OK .

  8. Doppelklicken Sie auf Zertifikate – Aktueller Benutzer, doppelklicken Sie auf "Persönlich", und doppelklicken Sie dann auf "Zertifikate".

  9. Suchen Sie das Zertifikat, das die Wörter "Dateiwiederherstellung" (ohne Anführungszeichen) in der Spalte "Beabsichtigte Zwecke " anzeigt.

  10. Klicken Sie mit der rechten Maustaste auf das Zertifikat, das Sie in Schritt 9 gefunden haben, zeigen Sie auf "Alle Aufgaben", und klicken Sie dann auf " Exportieren". Der Zertifikatexport-Assistent wird gestartet.

  11. Klicken Sie auf Weiter.

  12. Klicken Sie auf "Ja", exportieren Sie den privaten Schlüssel, und klicken Sie dann auf "Weiter".

  13. Klicken Sie auf " Persönlicher Informationsaustausch " - PKCS #12 (. PFX).

    Notiz

    Es wird dringend empfohlen, dass Sie klicken, um den sicheren Schutz zu aktivieren (erfordert IE 5.0, NT 4.0 SP4 oder höher , um Ihren privaten Schlüssel vor unbefugtem Zugriff zu schützen.

    Wenn Sie klicken, um den privaten Schlüssel zu löschen, wenn der Export erfolgreich ist, wird der private Schlüssel vom Domänencontroller entfernt. Als bewährte Methode wird empfohlen, diese Option zu verwenden. Installieren Sie den privaten Schlüssel des Wiederherstellungs-Agents nur in Situationen, in denen Sie dateien wiederherstellen müssen. Zu allen anderen Zeiten exportieren und dann den privaten Schlüssel des Wiederherstellungs-Agents offline speichern, um die Sicherheit aufrechtzuerhalten.

  14. Klicken Sie auf Weiter.

  15. Geben Sie ein Kennwort an, und klicken Sie dann auf "Weiter".

  16. Geben Sie einen Dateinamen und Speicherort an, an dem Sie das Zertifikat und den privaten Schlüssel exportieren möchten, und klicken Sie dann auf "Weiter".

    Notiz

    Es wird empfohlen, die Datei auf einem Datenträger oder auf einem Wechselmedium zu sichern und die Sicherung dann an einem Speicherort zu speichern, an dem Sie die physische Sicherheit der Sicherung bestätigen können.

  17. Überprüfen Sie die Einstellungen, die auf der Seite "Zertifikatexport-Assistent abschließen" angezeigt werden, und klicken Sie dann auf " Fertig stellen".