通过

在 Windows 中备份恢复代理加密文件系统 (EFS) 私钥

本文介绍如何在计算机上备份恢复代理加密文件系统(EFS)私钥。

原始 KB 数: 241201

总结

当本地计算机上的 EFS 私钥副本丢失时,使用恢复代理的私钥恢复数据。 本文包含有关如何使用证书导出向导从属于工作组成员的计算机以及基于 Windows Server 2000、基于 Windows Server 2000、基于 Windows Server 2008 或基于 Windows Server 2008 R2 的域控制器导出恢复代理的私钥的信息。

简介

本文介绍如何在 Windows Server 2003、Windows 2000、Windows XP、Windows Vista、Windows Server 2008 和 Windows Server 2008 R2 中备份恢复代理加密文件系统(EFS)私钥。 当本地计算机上的 EFS 私钥副本丢失时,可以使用恢复代理的私钥恢复数据。

可以使用 EFS 加密数据文件,以防止未经授权的访问。 EFS 使用动态生成的加密密钥来加密文件。 文件加密密钥(FEK)使用 EFS 公钥进行加密,并将其作为名为数据解密字段(DDF)的 EFS 属性添加到文件中。 若要解密 FEK,必须具有公钥-私钥对中的相应 EFS 私钥。 解密 FEK 后,可以使用 FEK 解密文件。

如果 EFS 私钥丢失,可以使用恢复代理来恢复加密的文件。 每次加密文件时,FEK 也会使用恢复代理的公钥进行加密。 加密的 FEK 附加到文件,其中包含在数据恢复字段(DRF)中使用 EFS 公钥加密的副本。 如果使用恢复代理的私钥,则可以解密 FEK,然后解密该文件。

默认情况下,如果运行Microsoft Windows 2000 Professional 的计算机是工作组的成员,或者是 Microsoft Windows NT 4.0 域的成员,则首次登录到计算机的本地管理员被指定为默认恢复代理。 默认情况下,如果运行 Windows XP 或 Windows 2000 的计算机是 Windows Server 2003 域或 Windows 2000 域的成员,则域中第一个域控制器上的内置管理员帐户被指定为默认恢复代理。

运行 Windows XP 且属于工作组成员的计算机没有默认恢复代理。 必须手动创建本地恢复代理。

重要

将私钥导出到软盘或其他可移动媒体后,将软盘或媒体存储在安全位置。 如果有人获得对 EFS 私钥的访问权限,则此人可以访问加密的数据。

从属于工作组成员的计算机导出恢复代理的私钥

若要从属于工作组成员的计算机导出恢复代理的私钥,请执行以下步骤:

  1. 使用恢复代理的本地用户帐户登录到计算机。

  2. 单击“开始”,单击“运行”,键入 mmc,然后单击“确定”。

  3. 在“文件” 菜单上,单击“添加/删除管理单元” 。 然后在 Windows XP 或 Windows 2000 中单击“ 在 Windows Server 2003 中添加 ”。 或在 Windows Vista、Windows 7、Windows Server 2008 或 Windows Server 2008 R2 中单击“ 确定 ”。

  4. 在“可用独立管理单元”下,单击“证书,然后单击“添加”。

  5. 单击“ 我的用户帐户”,然后单击“ 完成”。

  6. 单击“关闭,然后在 Windows Server 2003、Windows XP 或 Windows 2000 中单击“确定”。 或在 Windows Vista、Windows 7、Windows Server 2008 或 Windows Server 2008 R2 中单击“ 确定 ”。

  7. 双击“证书 - 当前用户”,双击“个人,然后双击“证书”。

  8. 在“目标用途”列中找到显示单词“文件恢复”(不含引号)的证书。

  9. 右键单击在步骤 8 中找到的证书,指向 “所有任务”,然后单击“ 导出”。 证书导出向导将启动。

  10. 单击 “下一步”

  11. 单击“是” ,导出私钥,然后单击“ 下一步”。

  12. 单击 “个人信息交换 - PKCS #12”。PFX)。

    注意

    我们强烈建议你单击以选中“ 启用强保护”(需要 IE 5.0、NT 4.0 SP4 或更高版本 复选框来保护私钥免受未经授权的访问。

    如果单击以选中“ 如果导出成功 ”复选框,则会从计算机中删除私钥,并且无法解密任何加密的文件。

  13. 单击 “下一步”

  14. 指定密码,然后单击“ 下一步”。

  15. 指定要导出证书和私钥的文件名和位置,然后单击“ 下一步”。

    注意

    建议将文件备份到磁盘或可移动媒体设备,然后将备份存储在可以确认备份物理安全性的位置。

  16. 验证“完成证书导出向导”页上显示的设置,然后单击“ 完成”。

导出域恢复代理的私钥

域中的第一个域控制器包含内置管理员配置文件,其中包含该域的默认恢复代理的公共证书和私钥。 公共证书导入到默认域策略,并使用组策略应用于域客户端。 如果管理员配置文件或第一个域控制器不再可用,则用于解密加密文件的私钥将丢失,并且无法通过该恢复代理恢复文件。

若要找到加密数据恢复策略,请在组策略对象编辑器管理单元中打开默认域策略,展开计算机配置,展开 Windows 设置,展开安全设置,然后展开公钥策略

若要导出域恢复代理的私钥,请执行以下步骤:

  1. 找到在域中升级的第一个域控制器。

  2. 使用内置管理员帐户登录到域控制器。

  3. 单击“开始”,单击“运行”,键入 mmc,然后单击“确定”。

  4. 在“文件” 菜单上,单击“添加/删除管理单元” 。 然后单击“ Windows Server 2003 或 Windows 2000 中添加”。 或在 Windows Server 2008 R2 中单击“ 确定 ”。

  5. 在“可用独立管理单元”下,单击“证书,然后单击“添加”。

  6. 单击“ 我的用户帐户”,然后单击“ 完成”。

  7. 单击“关闭,然后在 Windows Server 2003 或 Windows 2000 中单击“确定”。 或在 Windows Server 2008 R2 中单击“ 确定 ”。

  8. 双击“证书 - 当前用户”,双击“个人,然后双击“证书”。

  9. 在“目标用途”列中找到显示单词“文件恢复”(不含引号)的证书。

  10. 右键单击在步骤 9 中找到的证书,指向 “所有任务”,然后单击“ 导出”。 证书导出向导将启动。

  11. 单击 “下一步”

  12. 单击“是” ,导出私钥,然后单击“ 下一步”。

  13. 单击 “个人信息交换 - PKCS #12”。PFX)。

    注意

    强烈建议单击以选中“ 启用强保护”(需要 IE 5.0、NT 4.0 SP4 或更高版本 复选框来保护私钥免受未经授权的访问。

    如果单击以选中“ 如果导出成功 ”复选框,则从域控制器中删除私钥。 最佳做法是建议使用此选项。 仅在需要恢复文件时安装恢复代理的私钥。 在其他所有时间,导出,然后脱机存储恢复代理的私钥,以帮助维护其安全性。

  14. 单击 “下一步”

  15. 指定密码,然后单击“ 下一步”。

  16. 指定要导出证书和私钥的文件名和位置,然后单击“ 下一步”。

    注意

    建议将文件备份到磁盘或可移动媒体设备,然后将备份存储在可以确认备份物理安全性的位置。

  17. 验证“完成证书导出向导”页上显示的设置,然后单击“ 完成”。