Tworzenie kopii zapasowej klucza prywatnego agenta odzyskiwania szyfrowania plików (EFS) w systemie Windows

W tym artykule opisano sposób tworzenia kopii zapasowej klucza prywatnego agenta odzyskiwania szyfrującego system plików (EFS) na komputerze.

Oryginalny numer KB: 241201

Podsumowanie

Użyj klucza prywatnego agenta odzyskiwania, aby odzyskać dane w sytuacjach, gdy kopia klucza prywatnego systemu szyfrowania plików znajdujących się na komputerze lokalnym zostanie utracona. Ten artykuł zawiera informacje o sposobie używania Kreatora eksportu certyfikatów do eksportowania klucza prywatnego agenta odzyskiwania z komputera, który jest członkiem grupy roboczej, oraz z systemu Windows Server 2003 opartego na systemie Windows Server 2000, windows Server 2008 opartego na systemie Windows Server 2008 lub kontrolera domeny opartego na systemie Windows Server 2008 R2.

Wprowadzenie

W tym artykule opisano sposób tworzenia kopii zapasowej klucza prywatnego systemu szyfrowania plików (EFS) agenta odzyskiwania w systemie Windows Server 2003 w systemie Windows 2000 w systemie Windows XP, w systemie Windows Vista, w systemie Windows 7, w systemie Windows Server 2008 i Windows Server 2008 R2. Za pomocą klucza prywatnego agenta odzyskiwania można odzyskać dane w sytuacjach, gdy kopia klucza prywatnego EFS znajdującego się na komputerze lokalnym zostanie utracona.

Możesz użyć systemu szyfrowania plików do szyfrowania plików danych, aby zapobiec nieautoryzowanemu dostępowi. System szyfrowania plików używa klucza szyfrowania generowanego dynamicznie w celu zaszyfrowania pliku. Klucz szyfrowania plików (FEK) jest szyfrowany przy użyciu klucza publicznego EFS i jest dodawany do pliku jako atrybut EFS o nazwie Pole odszyfrowywania danych (DDF). Aby odszyfrować klucz FEK, musisz mieć odpowiedni klucz prywatny EFS z pary kluczy publiczny-prywatny. Po odszyfrowaniu klucza szyfrowania można odszyfrować plik przy użyciu klucza FEK.

Jeśli klucz prywatny EFS zostanie utracony, możesz użyć agenta odzyskiwania do odzyskania zaszyfrowanych plików. Za każdym razem, gdy plik jest zaszyfrowany, klucz FEK jest również szyfrowany przy użyciu klucza publicznego agenta odzyskiwania. Zaszyfrowany klucz szyfrowania danych jest dołączany do pliku z kopią zaszyfrowaną przy użyciu klucza publicznego EFS w polu odzyskiwania danych (DRF). Jeśli używasz klucza prywatnego agenta odzyskiwania, możesz odszyfrować klucz FEK, a następnie odszyfrować plik.

Domyślnie jeśli komputer z systemem Microsoft Windows 2000 Professional jest członkiem grupy roboczej lub jest członkiem domeny systemu Microsoft Windows NT 4.0, administrator lokalny, który najpierw loguje się na komputerze, jest wyznaczony jako domyślny agent odzyskiwania. Domyślnie jeśli komputer z systemem Windows XP lub Windows 2000 jest członkiem domeny systemu Windows Server 2003 lub domeny systemu Windows 2000, wbudowane konto administratora na pierwszym kontrolerze domeny w domenie jest wyznaczony jako domyślny agent odzyskiwania.

Komputer z systemem Windows XP, który jest członkiem grupy roboczej, nie ma domyślnego agenta odzyskiwania. Musisz ręcznie utworzyć lokalnego agenta odzyskiwania.

Ważne

Po wyeksportowaniu klucza prywatnego do dyskietki lub innego nośnika wymiennego zapisz dyskietka lub nośnik w bezpiecznej lokalizacji. Jeśli ktoś uzyska dostęp do klucza prywatnego systemu szyfrowania plików, ta osoba może uzyskać dostęp do zaszyfrowanych danych.

Eksportowanie klucza prywatnego agenta odzyskiwania z komputera, który jest członkiem grupy roboczej

Aby wyeksportować klucz prywatny agenta odzyskiwania z komputera, który jest członkiem grupy roboczej, wykonaj następujące kroki:

1. Zaloguj się na komputerze przy użyciu konta użytkownika lokalnego agenta odzyskiwania.

2. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz mmc, a następnie kliknij przycisk OK.

3. W menu Plik kliknij polecenie Dodaj/Usuń przystawkę. Następnie kliknij przycisk Dodaj w systemie Windows Server 2003 w systemie Windows XP lub Windows 2000. Lub kliknij przycisk OK w systemie Windows Vista, w systemie Windows 7, w systemie Windows Server 2008 lub Windows Server 2008 R2.

4. W obszarze Dostępne przystawki autonomiczne kliknij pozycję Certyfikaty, a następnie kliknij przycisk Dodaj.

5. Kliknij pozycję Moje konto użytkownika, a następnie kliknij przycisk Zakończ.

6. Kliknij przycisk Zamknij, a następnie kliknij przycisk OK w systemie Windows Server 2003, w systemie Windows XP lub Windows 2000. Lub kliknij przycisk OK w systemie Windows Vista, w systemie Windows 7, w systemie Windows Server 2008 lub Windows Server 2008 R2.

7. Kliknij dwukrotnie pozycję Certyfikaty — bieżący użytkownik, kliknij dwukrotnie pozycję Osobiste, a następnie kliknij dwukrotnie pozycję Certyfikaty.

8. Znajdź certyfikat, który wyświetla słowa "Odzyskiwanie plików" (bez cudzysłowu) w kolumnie Zamierzone cele .

9. Kliknij prawym przyciskiem myszy certyfikat znajdujący się w kroku 8, wskaż pozycję Wszystkie zadania, a następnie kliknij polecenie Eksportuj. Zostanie uruchomiony Kreator eksportu certyfikatów.

10. Kliknij przycisk Dalej.

11. Kliknij przycisk Tak, wyeksportuj klucz prywatny, a następnie kliknij przycisk Dalej.

12. Kliknij pozycję Wymiana informacji osobistych — PKCS #12 (. PFX).

    Uwaga 16.

    Zdecydowanie zalecamy również kliknięcie, aby wybrać opcję Włącz silną ochronę (wymaga IE 5.0, NT 4.0 SP4 lub nowszej wersji, aby chronić klucz prywatny przed nieautoryzowanym dostępem.

    Jeśli klikniesz pole wyboru Usuń klucz prywatny, jeśli eksport zakończy się pomyślnie , klucz prywatny zostanie usunięty z komputera i nie będzie można odszyfrować żadnych zaszyfrowanych plików.

13. Kliknij przycisk Dalej.

14. Określ hasło, a następnie kliknij przycisk Dalej.

15. Określ nazwę pliku i lokalizację, w której chcesz wyeksportować certyfikat i klucz prywatny, a następnie kliknij przycisk Dalej.

    Uwaga 16.

    Zalecamy utworzenie kopii zapasowej pliku na dysku lub na urządzeniu nośnika wymiennego, a następnie zapisanie kopii zapasowej w lokalizacji, w której można potwierdzić fizyczne zabezpieczenia kopii zapasowej.

16. Sprawdź ustawienia wyświetlane na stronie Kończenie pracy Kreatora eksportu certyfikatów, a następnie kliknij przycisk Zakończ.

Eksportowanie klucza prywatnego agenta odzyskiwania domeny

Pierwszy kontroler domeny w domenie zawiera wbudowany profil administratora zawierający certyfikat publiczny i klucz prywatny domyślnego agenta odzyskiwania domeny. Certyfikat publiczny jest importowany do domyślnych zasad domeny i jest stosowany do klientów domeny przy użyciu zasad grupy. Jeśli profil administratora lub pierwszy kontroler domeny nie jest już dostępny, klucz prywatny używany do odszyfrowywania zaszyfrowanych plików zostanie utracony i nie można odzyskać plików za pośrednictwem tego agenta odzyskiwania.

Aby zlokalizować zasady odzyskiwania zaszyfrowanych danych, otwórz domyślne zasady domeny w przystawce Edytor obiektów zasad grupy, rozwiń węzeł Konfiguracja komputera, rozwiń węzeł Ustawienia systemu Windows, rozwiń węzeł Ustawienia zabezpieczeń, a następnie rozwiń węzeł Zasady klucza publicznego.

Aby wyeksportować klucz prywatny agenta odzyskiwania domeny, wykonaj następujące kroki:

1. Znajdź pierwszy kontroler domeny, który został podwyższony w domenie.

2. Zaloguj się do kontrolera domeny przy użyciu wbudowanego konta administratora.

3. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz mmc, a następnie kliknij przycisk OK.

4. W menu Plik kliknij polecenie Dodaj/Usuń przystawkę. Następnie kliknij przycisk Dodaj w systemie Windows Server 2003 lub Windows 2000. Lub kliknij przycisk OK w systemie Windows Server 2008 lub Windows Server 2008 R2.

5. W obszarze Dostępne przystawki autonomiczne kliknij pozycję Certyfikaty, a następnie kliknij przycisk Dodaj.

6. Kliknij pozycję Moje konto użytkownika, a następnie kliknij przycisk Zakończ.

7. Kliknij przycisk Zamknij, a następnie kliknij przycisk OK w systemie Windows Server 2003 lub Windows 2000. Lub kliknij przycisk OK w systemie Windows Server 2008 lub Windows Server 2008 R2.

8. Kliknij dwukrotnie pozycję Certyfikaty — bieżący użytkownik, kliknij dwukrotnie pozycję Osobiste, a następnie kliknij dwukrotnie pozycję Certyfikaty.

9. Znajdź certyfikat, który wyświetla słowa "Odzyskiwanie plików" (bez cudzysłowu) w kolumnie Zamierzone cele .

10. Kliknij prawym przyciskiem myszy certyfikat znajdujący się w kroku 9, wskaż pozycję Wszystkie zadania, a następnie kliknij polecenie Eksportuj. Zostanie uruchomiony Kreator eksportu certyfikatów.

11. Kliknij przycisk Dalej.

12. Kliknij przycisk Tak, wyeksportuj klucz prywatny, a następnie kliknij przycisk Dalej.

13. Kliknij pozycję Wymiana informacji osobistych — PKCS #12 (. PFX).

    Uwaga 16.

    Zdecydowanie zalecamy kliknięcie, aby zaznaczyć pole wyboru Włącz silną ochronę (wymaga IE 5.0, NT 4.0 SP4 lub nowszej , aby chronić klucz prywatny przed nieautoryzowanym dostępem.

    Jeśli klikniesz, aby zaznaczyć pole wyboru Usuń klucz prywatny, jeśli eksport zakończy się pomyślnie , klucz prywatny zostanie usunięty z kontrolera domeny. Najlepszym rozwiązaniem jest użycie tej opcji. Zainstaluj klucz prywatny agenta odzyskiwania tylko w sytuacjach, gdy będzie potrzebny do odzyskania plików. Przez cały czas eksport, a następnie przechowywanie klucza prywatnego agenta odzyskiwania w trybie offline w celu zapewnienia bezpieczeństwa.

14. Kliknij przycisk Dalej.

15. Określ hasło, a następnie kliknij przycisk Dalej.

16. Określ nazwę pliku i lokalizację, w której chcesz wyeksportować certyfikat i klucz prywatny, a następnie kliknij przycisk Dalej.

    Uwaga 16.

    Zalecamy utworzenie kopii zapasowej pliku na dysku lub na urządzeniu nośnika wymiennego, a następnie zapisanie kopii zapasowej w lokalizacji, w której można potwierdzić fizyczne zabezpieczenia kopii zapasowej.

17. Sprawdź ustawienia wyświetlane na stronie Kończenie pracy Kreatora eksportu certyfikatów, a następnie kliknij przycisk Zakończ.