Поделиться через

Резервное копирование закрытого ключа агента восстановления шифрования файловой системы (EFS) в Windows

В этой статье описывается резервное копирование закрытого ключа агента восстановления Шифрования файловой системы (EFS) на компьютере.

Исходный номер базы знаний: 241201

Итоги

Используйте закрытый ключ агента восстановления для восстановления данных в ситуациях, когда копия закрытого ключа EFS, расположенного на локальном компьютере. В этой статье содержатся сведения о том, как использовать мастер экспорта сертификатов для экспорта закрытого ключа агента восстановления с компьютера, являющегося членом рабочей группы, а также с контроллера домена на основе Windows Server 2003 под управлением Windows Server 2000, Windows Server 2008 или контроллера домена windows Server 2008 R2.

Введение

В этой статье описывается резервное копирование закрытого ключа агента восстановления Шифрования файловой системы (EFS) в Windows Server 2003 в Windows 2000, в Windows XP, в Windows Vista, в Windows 7, в Windows Server 2008 и Windows Server 2008 R2. Закрытый ключ агента восстановления можно использовать для восстановления данных в ситуациях, когда копия закрытого ключа EFS, расположенного на локальном компьютере, потеряна.

EFS можно использовать для шифрования файлов данных, чтобы предотвратить несанкционированный доступ. EFS использует ключ шифрования, который динамически создается для шифрования файла. Ключ шифрования файлов (FEK) шифруется с открытым ключом EFS и добавляется в файл как атрибут EFS, который называется полем расшифровки данных (DDF). Чтобы расшифровать FEK, необходимо иметь соответствующий закрытый ключ EFS из пары открытого закрытого ключа. После расшифровки FEK можно использовать FEK для расшифровки файла.

Если закрытый ключ EFS потерян, можно использовать агент восстановления для восстановления зашифрованных файлов. Каждый раз, когда файл зашифрован, FEK также шифруется с открытым ключом агента восстановления. Зашифрованный FEK подключен к файлу с копией, зашифрованной с открытым ключом EFS в поле восстановления данных (DRF). Если вы используете закрытый ключ агента восстановления, можно расшифровать FEK, а затем расшифровать файл.

По умолчанию, если компьютер под управлением Microsoft Windows 2000 Профессиональный является членом рабочей группы или является членом домена Microsoft Windows NT 4.0, локальный администратор, который сначала входит в систему на компьютере, назначается в качестве агента восстановления по умолчанию. По умолчанию, если компьютер под управлением Windows XP или Windows 2000 является членом домена Windows Server 2003 или домена Windows 2000, встроенная учетная запись администратора на первом контроллере домена в домене назначается агентом восстановления по умолчанию.

Компьютер под управлением Windows XP, который является членом рабочей группы, не имеет агента восстановления по умолчанию. Необходимо вручную создать локальный агент восстановления.

Внимание

После экспорта закрытого ключа на диск floppy или другой съемный носитель сохраните диск или носитель в безопасном расположении. Если кто-то получает доступ к закрытому ключу EFS, этот пользователь может получить доступ к зашифрованным данным.

Экспорт закрытого ключа агента восстановления с компьютера, являющегося членом рабочей группы

Чтобы экспортировать закрытый ключ агента восстановления с компьютера, являющегося членом рабочей группы, выполните следующие действия.

  1. Войдите на компьютер с помощью учетной записи локального пользователя агента восстановления.

  2. Нажмите кнопку "Пуск", нажмите кнопку "Запустить", введите mmc и нажмите кнопку "ОК".

  3. В меню Файл выберите Добавить или удалить оснастку. Затем нажмите кнопку "Добавить " в Windows Server 2003 в Windows XP или Windows 2000. Или нажмите кнопку "ОК " в Windows Vista в Windows 7 в Windows Server 2008 или Windows Server 2008 R2.

  4. В разделе "Доступные автономные оснастки" щелкните " Сертификаты" и нажмите кнопку "Добавить".

  5. Нажмите кнопку "Моя учетная запись пользователя" и нажмите кнопку "Готово".

  6. Нажмите кнопку "Закрыть" и нажмите кнопку "ОК " в Windows Server 2003 в Windows XP или Windows 2000. Или нажмите кнопку "ОК " в Windows Vista в Windows 7 в Windows Server 2008 или Windows Server 2008 R2.

  7. Дважды щелкните сертификаты — текущий пользователь, дважды щелкните "Личный" и дважды щелкните сертификаты.

  8. Найдите сертификат, отображающий слова "Восстановление файлов" (без кавычки) в столбце "Предполагаемые цели ".

  9. Щелкните правой кнопкой мыши сертификат, расположенный на шаге 8, наведите указатель на все задачи и нажмите кнопку "Экспорт". Запускается мастер экспорта сертификатов.

  10. Нажмите кнопку Далее.

  11. Нажмите кнопку "Да", экспортируйте закрытый ключ и нажмите кнопку "Далее".

  12. Щелкните "Обмен персональными данными" — PKCS #12 (). PFX).

    Примечание.

    Настоятельно рекомендуется также выбрать флажок "Включить надежную защиту" (требуется флажок IE 5.0, NT 4.0 с пакетом обновления 4 (SP4) или более поздней версии , чтобы защитить закрытый ключ от несанкционированного доступа.

    Если выбрать флажок "Удалить закрытый ключ", если экспорт выполнен успешно , закрытый ключ удаляется с компьютера, и вы не сможете расшифровать зашифрованные файлы.

  13. Нажмите кнопку Далее.

  14. Укажите пароль и нажмите кнопку "Далее".

  15. Укажите имя файла и расположение, в котором нужно экспортировать сертификат и закрытый ключ, а затем нажмите кнопку "Далее".

    Примечание.

    Рекомендуется создать резервную копию файла на диск или на съемный носитель, а затем сохранить резервную копию в расположении, где можно подтвердить физическую безопасность резервной копии.

  16. Проверьте параметры, отображаемые на странице "Завершение экспорта сертификатов" и нажмите кнопку "Готово".

Экспорт закрытого ключа агента восстановления домена

Первый контроллер домена в домене содержит встроенный профиль администратора, содержащий открытый сертификат и закрытый ключ для агента восстановления по умолчанию домена. Общедоступный сертификат импортируется в политику домена по умолчанию и применяется к клиентам домена с помощью групповой политики. Если профиль администратора или если первый контроллер домена больше недоступен, закрытый ключ, используемый для расшифровки зашифрованных файлов, не может быть восстановлен с помощью этого агента восстановления.

Чтобы найти политику восстановления зашифрованных данных, откройте политику домена по умолчанию в оснастке редактора объектов групповой политики, разверните раздел "Конфигурация компьютера", разверните раздел "Параметры Windows", разверните раздел "Параметры безопасности" и разверните политики открытого ключа.

Чтобы экспортировать закрытый ключ агента восстановления домена, выполните следующие действия.

  1. Найдите первый контроллер домена, который был повышен в домене.

  2. Войдите в контроллер домена с помощью встроенной учетной записи администратора.

  3. Нажмите кнопку "Пуск", нажмите кнопку "Запустить", введите mmc и нажмите кнопку "ОК".

  4. В меню Файл выберите Добавить или удалить оснастку. Затем нажмите кнопку "Добавить " в Windows Server 2003 или в Windows 2000. Или нажмите кнопку ОК в Windows Server 2008 или Windows Server 2008 R2.

  5. В разделе "Доступные автономные оснастки" щелкните " Сертификаты" и нажмите кнопку "Добавить".

  6. Нажмите кнопку "Моя учетная запись пользователя" и нажмите кнопку "Готово".

  7. Нажмите кнопку "Закрыть", а затем нажмите кнопку "ОК " в Windows Server 2003 или в Windows 2000. Или нажмите кнопку ОК в Windows Server 2008 или Windows Server 2008 R2.

  8. Дважды щелкните сертификаты — текущий пользователь, дважды щелкните "Личный" и дважды щелкните сертификаты.

  9. Найдите сертификат, отображающий слова "Восстановление файлов" (без кавычки) в столбце "Предполагаемые цели ".

  10. Щелкните правой кнопкой мыши сертификат, расположенный на шаге 9, наведите указатель на все задачи и выберите пункт "Экспорт". Запускается мастер экспорта сертификатов.

  11. Нажмите кнопку Далее.

  12. Нажмите кнопку "Да", экспортируйте закрытый ключ и нажмите кнопку "Далее".

  13. Щелкните "Обмен персональными данными" — PKCS #12 (). PFX).

    Примечание.

    Настоятельно рекомендуется выбрать флажок "Включить надежную защиту" (требуется флажок IE 5.0, NT 4.0 с пакетом обновления 4 (SP4) или более поздней версии , чтобы защитить закрытый ключ от несанкционированного доступа.

    Если выбрать закрытый ключ, если экспорт выполнен успешно , закрытый ключ удаляется из контроллера домена. Рекомендуется использовать этот параметр. Установите закрытый ключ агента восстановления только в ситуациях, когда требуется восстановить файлы. Во всех других случаях экспортируйте и сохраните закрытый ключ агента восстановления в автономном режиме, чтобы обеспечить безопасность.

  14. Нажмите кнопку Далее.

  15. Укажите пароль и нажмите кнопку "Далее".

  16. Укажите имя файла и расположение, в котором нужно экспортировать сертификат и закрытый ключ, а затем нажмите кнопку "Далее".

    Примечание.

    Рекомендуется создать резервную копию файла на диск или на съемный носитель, а затем сохранить резервную копию в расположении, где можно подтвердить физическую безопасность резервной копии.

  17. Проверьте параметры, отображаемые на странице "Завершение экспорта сертификатов" и нажмите кнопку "Готово".