Condividi tramite

Eseguire il backup della chiave privata EFS (Encrypting File System) dell'agente di ripristino in Windows

Questo articolo descrive come eseguire il backup della chiave privata EFS (Encrypting File System) dell'agente di ripristino in un computer.

Numero KB originale: 241201

Riepilogo

Usare la chiave privata dell'agente di ripristino per recuperare i dati in situazioni in cui la copia della chiave privata EFS che si trova nel computer locale viene persa. Questo articolo contiene informazioni su come usare l'Esportazione guidata certificati per esportare la chiave privata dell'agente di ripristino da un computer membro di un gruppo di lavoro e da un controller di dominio basato su Windows Server 2003, basato su Windows 2000, basato su Windows Server 2008 o Windows Server 2008 R2.

Introduzione

Questo articolo descrive come eseguire il backup della chiave privata dell'agente di ripristino Encrypting File System (EFS) in Windows Server 2003, in Windows 2000, in Windows XP, in Windows Vista, in Windows 7, in Windows Server 2008 e in Windows Server 2008 R2. È possibile usare la chiave privata dell'agente di ripristino per ripristinare i dati in situazioni in cui la copia della chiave privata EFS che si trova nel computer locale viene persa.

È possibile usare EFS per crittografare i file di dati per impedire l'accesso non autorizzato. EFS usa una chiave di crittografia generata dinamicamente per crittografare il file. La chiave di crittografia file (FEK) viene crittografata con la chiave pubblica EFS e viene aggiunta al file come attributo EFS denominato Data Decryption Field (DDF). Per decrittografare la chiave FEK, è necessario disporre della chiave privata EFS corrispondente dalla coppia di chiavi pubblica-privata. Dopo aver decrittografato la chiave fek, è possibile usare fek per decrittografare il file.

Se la chiave privata EFS viene persa, è possibile usare un agente di ripristino per recuperare i file crittografati. Ogni volta che un file viene crittografato, la chiave fek viene crittografata anche con la chiave pubblica dell'agente di ripristino. La chiave FEK crittografata viene collegata al file con la copia crittografata con la chiave pubblica EFS nel campo data recovery (DRF). Se si usa la chiave privata dell'agente di ripristino, è possibile decrittografare la chiave fek e quindi decrittografare il file.

Per impostazione predefinita, se un computer che esegue Microsoft Windows 2000 Professional è membro di un gruppo di lavoro o è membro di un dominio di Microsoft Windows NT 4.0, l'amministratore locale che accede prima al computer è designato come agente di ripristino predefinito. Per impostazione predefinita, se un computer che esegue Windows XP o Windows 2000 è membro di un dominio di Windows Server 2003 o di un dominio di Windows 2000, l'account Administrator predefinito nel primo controller di dominio nel dominio viene designato come agente di ripristino predefinito.

Un computer che esegue Windows XP e che è membro di un gruppo di lavoro non dispone di un agente di ripristino predefinito. È necessario creare manualmente un agente di ripristino locale.

Importante

Dopo aver esportato la chiave privata in un disco floppy o in un altro supporto rimovibile, archiviare il disco floppy o il supporto in una posizione sicura. Se qualcuno ottiene l'accesso alla chiave privata EFS, tale persona può ottenere l'accesso ai dati crittografati.

Esportare la chiave privata dell'agente di ripristino da un computer membro di un gruppo di lavoro

Per esportare la chiave privata dell'agente di ripristino da un computer membro di un gruppo di lavoro, seguire questa procedura:

  1. Accedere al computer usando l'account utente locale dell'agente di ripristino.

  2. Fare clic su Start, fare clic su Esegui, digitare mmc e quindi fare clic su OK.

  3. Scegliere Aggiungi/Rimuovi snap-in dal menu File. Fare quindi clic su Aggiungi in Windows Server 2003, in Windows XP o in Windows 2000. In alternativa, fare clic su OK in Windows Vista, in Windows 7, in Windows Server 2008 o in Windows Server 2008 R2.

  4. In Snap-in autonomi disponibili fare clic su Certificati e quindi su Aggiungi.

  5. Fare clic su Account utente personale e quindi su Fine.

  6. Fare clic su Chiudi e quindi su OK in Windows Server 2003, in Windows XP o in Windows 2000. In alternativa, fare clic su OK in Windows Vista, in Windows 7, in Windows Server 2008 o in Windows Server 2008 R2.

  7. Fare doppio clic su Certificati - Utente corrente, fare doppio clic su Personale e quindi fare doppio clic su Certificati.

  8. Individuare il certificato che visualizza le parole "Recupero file" (senza virgolette) nella colonna Finalità previste.

  9. Fare clic con il pulsante destro del mouse sul certificato che si trova nel passaggio 8, scegliere Tutte le attività e quindi fare clic su Esporta. Viene avviata l'Esportazione guidata certificati.

  10. Fare clic su Avanti.

  11. Fare clic su Sì, esportare la chiave privata e quindi fare clic su Avanti.

  12. Fare clic su Scambio di informazioni personali - PKCS #12 (. PFX).

    Note

    È consigliabile fare clic anche per selezionare la casella di controllo Abilita protezione avanzata (richiede Internet Explorer 5.0, NT 4.0 SP4 o versione successiva per proteggere la chiave privata da accessi non autorizzati.

    Se si fa clic per selezionare la casella di controllo Elimina la chiave privata se l'esportazione ha esito positivo , la chiave privata viene rimossa dal computer e non sarà possibile decrittografare i file crittografati.

  13. Fare clic su Avanti.

  14. Specificare una password e quindi fare clic su Avanti.

  15. Specificare un nome file e un percorso in cui si desidera esportare il certificato e la chiave privata, quindi fare clic su Avanti.

    Note

    È consigliabile eseguire il backup del file in un disco o in un dispositivo multimediale rimovibile e quindi archiviare il backup in un percorso in cui è possibile verificare la sicurezza fisica del backup.

  16. Verificare le impostazioni visualizzate nella pagina Completamento dell'esportazione guidata certificati e quindi fare clic su Fine.

Esportare la chiave privata dell'agente di ripristino di dominio

Il primo controller di dominio in un dominio contiene il profilo di amministratore predefinito che contiene il certificato pubblico e la chiave privata per l'agente di ripristino predefinito del dominio. Il certificato pubblico viene importato nei criteri di dominio predefiniti e viene applicato ai client di dominio tramite Criteri di gruppo. Se il profilo amministratore o se il primo controller di dominio non è più disponibile, la chiave privata usata per decrittografare i file crittografati viene persa e i file non possono essere recuperati tramite tale agente di ripristino.

Per individuare i criteri di ripristino dei dati crittografati, aprire il criterio di dominio predefinito nello snap-in Editor oggetti Criteri di gruppo, espandere Configurazione computer, espandere Impostazioni di Windows, impostazioni di sicurezzae quindi Criteri chiave pubblica.

Per esportare la chiave privata dell'agente di ripristino di dominio, seguire questa procedura:

  1. Individuare il primo controller di dominio alzato di livello nel dominio.

  2. Accedere al controller di dominio usando l'account administrator predefinito.

  3. Fare clic su Start, fare clic su Esegui, digitare mmc e quindi fare clic su OK.

  4. Scegliere Aggiungi/Rimuovi snap-in dal menu File. Fare quindi clic su Aggiungi in Windows Server 2003 o in Windows 2000. In alternativa, fare clic su OK in Windows Server 2008 o in Windows Server 2008 R2.

  5. In Snap-in autonomi disponibili fare clic su Certificati e quindi su Aggiungi.

  6. Fare clic su Account utente personale e quindi su Fine.

  7. Fare clic su Chiudi e quindi su OK in Windows Server 2003 o in Windows 2000. In alternativa, fare clic su OK in Windows Server 2008 o in Windows Server 2008 R2.

  8. Fare doppio clic su Certificati - Utente corrente, fare doppio clic su Personale e quindi fare doppio clic su Certificati.

  9. Individuare il certificato che visualizza le parole "Recupero file" (senza virgolette) nella colonna Finalità previste.

  10. Fare clic con il pulsante destro del mouse sul certificato che si trova nel passaggio 9, scegliere Tutte le attività e quindi fare clic su Esporta. Viene avviata l'Esportazione guidata certificati.

  11. Fare clic su Avanti.

  12. Fare clic su Sì, esportare la chiave privata e quindi fare clic su Avanti.

  13. Fare clic su Scambio di informazioni personali - PKCS #12 (. PFX).

    Note

    È consigliabile fare clic per selezionare la casella di controllo Abilita protezione avanzata (richiede Internet Explorer 5.0, NT 4.0 SP4 o versione successiva per proteggere la chiave privata da accessi non autorizzati.

    Se si fa clic per selezionare la casella di controllo Elimina la chiave privata se l'esportazione ha esito positivo , la chiave privata viene rimossa dal controller di dominio. Come procedura consigliata, è consigliabile usare questa opzione. Installare la chiave privata dell'agente di ripristino solo in situazioni in cui è necessario ripristinare i file. In altri casi, esportare e quindi archiviare offline la chiave privata dell'agente di ripristino per mantenere la sicurezza.

  14. Fare clic su Avanti.

  15. Specificare una password e quindi fare clic su Avanti.

  16. Specificare un nome file e un percorso in cui si desidera esportare il certificato e la chiave privata, quindi fare clic su Avanti.

    Note

    È consigliabile eseguire il backup del file in un disco o in un dispositivo multimediale rimovibile e quindi archiviare il backup in un percorso in cui è possibile verificare la sicurezza fisica del backup.

  17. Verificare le impostazioni visualizzate nella pagina Completamento dell'esportazione guidata certificati e quindi fare clic su Fine.