Creare e verificare un certificato dell'agente di recupero dati per EFS (Encrypting File System)

Nota

A partire da luglio 2022, Microsoft sta deprecando Windows Information Protection (WIP). Microsoft continuerà a supportare WIP nelle versioni supportate di Windows. Le nuove versioni di Windows non includeranno nuove funzionalità per WIP e non saranno supportate nelle versioni future di Windows. Per altre informazioni, vedere Annuncio del tramonto di Windows Information Protection.

Per le esigenze di protezione dei dati, Microsoft consiglia di usare Microsoft Purview Information Protection e Prevenzione della perdita dei dati Microsoft Purview. Purview semplifica la configurazione e offre un set avanzato di funzionalità.

Si applica a:

  • Windows 10
  • Windows 11

Se non si dispone già di un certificato EFS DRA, è necessario crearne ed estrarne uno dal sistema prima di poter usare Windows Information Protection (WIP), precedentemente noto come Enterprise Data Protection (EDP), nell'organizzazione. Ai fini di questa sezione, verrà usato il nome file EFSDRA; tuttavia, questo nome può essere sostituito con qualsiasi cosa abbia senso per te.

Importante

Se disponi già di un certificato dell'agente di recupero dati EFS per l'organizzazione, puoi ignorare il passaggio di creazione di un nuovo certificato. Usa il certificato corrente nei criteri. Per altre info su quando usare un'infrastruttura PKI e sulla strategia generale da usare per distribuire i certificati dell'agente di recupero, vedi l'articolo Controllo protezione - Distribuzione di EFS: parte 1 nel sito TechNet. Per info generali sulla protezione EFS, vedi Protezione di dati mediante EFS per crittografare i dischi rigidi.

Se il certificato dra dra è scaduto, non sarà possibile crittografare i file con esso. Per risolvere questo problema, dovrai creare un nuovo certificato usando i passaggi descritti in questo argomento e quindi distribuirlo tramite i criteri.

Creare manualmente un certificato DRAM EFS

  1. In un computer senza un certificato dell'agente di recupero dati per EFS installato, apri un prompt dei comandi con privilegi elevati e quindi passa alla posizione in cui vuoi archiviare il certificato.

  2. Esegui questo comando:

    cipher /r:EFSRA
    

    Dove EFSRA è il nome dei .cer file e .pfx che si desidera creare.

  3. Quando viene richiesto, digita la password e quindi la password di conferma per proteggere il nuovo file con estensione PFX (Personal Information Exchange).

    I file EFSDRA.cer ed EFSDRA.pfx vengono creati nella posizione specificata nel passaggio 1.

    Importante

    Poiché le chiavi private nei file dell'agente di recupero dati con estensione PFX possono essere usate per decrittografare qualsiasi file WIP, devi conservare tali chiavi in un luogo sicuro. Consigliamo vivamente di archiviare questi file in un ambiente non in linea, ad esempio conservare le copie in una smart card con protezione avanzata per l'uso normale e le copie master in una posizione fisica protetta.

  4. Aggiungere il certificato EFS DRA ai criteri WIP usando uno strumento di distribuzione, ad esempio Microsoft Intune o Microsoft Configuration Manager.

    Nota

    Questo certificato può essere usato in Intune per i criteri sia con registrazione del dispositivo (MDM) che senza registrazione del dispositivo (MAM).

Verificare che il certificato di ripristino dei dati sia configurato correttamente in un computer client WIP

  1. Trova o crea un file crittografato usando Windows Information Protection. Ad esempio, è possibile aprire un'app nell'elenco delle app consentite e quindi creare e salvare un file in modo che sia crittografato da WIP.

  2. Aprire un'app nell'elenco di app protette e quindi creare e salvare un file in modo che sia crittografato da WIP.

  3. Apri un prompt dei comandi con privilegi elevati, passa alla posizione in cui archiviare il file precedentemente creato e quindi esegui questo comando:

    cipher /c filename
    

    Dove nomefile è il nome del file creato nel passaggio 1.

  4. Assicurati che il certificato di recupero dati sia presente nell'elenco Certificati di recupero.

Ripristinare i dati usando il certificato EFS DRA in un ambiente di test

  1. Copia il file crittografato mediante WIP in una posizione in cui disponi dell'accesso con privilegi di amministratore.

  2. Installa il file EFSDRA.pfx usando la relativa password.

  3. Apri un prompt dei comandi con privilegi elevati, passa al file crittografato e quindi esegui questo comando:

    cipher /d encryptedfile.extension
    

    Dove encryptedfile.extension è il nome del file crittografato. Ad esempio: corporatedata.docx.

Ripristino protetto da WIP dopo l'annullamento della registrazione

Puoi revocare l'accesso ai dati in un dispositivo di cui hai eseguito l'annullamento della registrazione e in un secondo momento decidere di ripristinare la situazione originale. Questo scenario può fare riferimento a quando un dispositivo non più disponibile viene restituito oppure in caso di una nuova registrazione di un dipendente di cui è stata annullata la registrazione. Se il dipendente si registra nuovamente usando il profilo utente originale e l'archivio chiavi revocato è ancora nel dispositivo, tutti i dati revocati possono essere ripristinati contemporaneamente.

Importante

Per conservare il controllo sui dati aziendali ed essere in grado di revocare di nuovo tale controllo in futuro, devi eseguire questo processo solo dopo che il dipendente ha eseguito la nuova registrazione del dispositivo.

  1. Chiedere al dipendente di accedere al dispositivo non registrato, aprire un prompt dei comandi con privilegi elevati e digitare:

    Robocopy "%localappdata%\Microsoft\EDP\Recovery" "new_location" * /EFSRAW
    

    Dove "new_location" si trova in una directory diversa. Può essere nel dispositivo del dipendente o in una cartella condivisa in un computer che esegue Windows 8 o Windows Server 2012 o versioni successive ed è possibile accedervi mentre si è connessi come agente di ripristino dati.

    Per avviare Robocopy in modalità S, aprire Gestione attività. Fare clic su File>Esegui nuova attività, digitare il comando e fare clic su Crea questa attività con privilegi amministrativi.

    Robocopy in modalità S.

    Se il dipendente ha eseguito un'installazione pulita e non è presente alcun profilo utente, è necessario ripristinare le chiavi dalla cartella Volume di sistema in ogni unità. Digitare il comando seguente:

    Robocopy "drive_letter:\System Volume Information\EDP\Recovery\" "new_location" * /EFSRAW
    
  2. Accedi a un altro dispositivo con le credenziali di amministratore che consentono di accedere al certificato dell'agente di recupero dati della tua organizzazione ed esegui il ripristino e la decrittografia del file digitando:

    cipher.exe /D "new_location"
    
  3. Richiedi al dipendente di accedere al dispositivo non registrato e digita:

    Robocopy "new_location" "%localappdata%\Microsoft\EDP\Recovery\Input"
    
  4. Chiedi al dipendente di bloccare e sbloccare il dispositivo.

    Il servizio Credenziali di Windows recupera automaticamente le chiavi precedentemente revocate del dipendente dalla Recovery\Input posizione.

Ripristino automatico delle chiavi di crittografia

A partire da Windows 10, versione 1709, WIP include una funzionalità di ripristino di dati che consente ai dipendenti l'accesso al recupero automatico di file di lavoro, se la chiave di crittografia viene persa e i file non sono più accessibili. Ciò si verifica in genere se un dipendente esegue nuovamente l'imaging della partizione del sistema operativo, rimuovendo le informazioni sulla chiave WIP o se un dispositivo viene segnalato come smarrito e si seleziona erroneamente il dispositivo non corretto per l'annullamento della registrazione.

Per assicurarsi che i dipendenti possano sempre accedere ai file, WIP crea una chiave di ripristino automatico di cui viene eseguito il backup nell'identità Microsoft Entra.

L'esperienza dei dipendenti si basa sull'accesso con un account aziendale Microsoft Entra ID. Il dipendente può:

  • Aggiungere un account aziendale tramite il menu Impostazioni > di Windows Account > di accesso all'azienda o all'istituto di istruzione > Connetti .

    -OPPURE-

  • Aprire Impostazioni di > Windows Account > Accedere all'azienda o all'istituto di istruzione > Connetti e scegliere il collegamento Aggiungi a questo dispositivo per Microsoft Entra ID in Azioni alternative.

    Nota

    Per eseguire un Microsoft Entra aggiunta al dominio dalla pagina Impostazioni, il dipendente deve disporre dei privilegi di amministratore per il dispositivo.

Dopo l'accesso, vengono automaticamente scaricate le informazioni chiave WIP necessarie e i dipendenti sono in grado di accedere di nuovo ai file.

Per verificare ciò che viene visualizzato dal dipendente durante il processo di recupero delle chiavi WIP

  1. Prova ad aprire un file di lavoro su un dispositivo non registrato.

    Viene visualizzato il riquadro Connetti all'azienda per accedere ai file di lavoro.

  2. Fai clic su Connetti.

    Viene visualizzata la pagina Accedi all'azienda o all'istituto di istruzione in Impostazioni.

  3. Accedere a Microsoft Entra ID come dipendente e verificare che i file ora si aprano