共用方式為

在 Windows 中備份修復代理程式加密檔案系統 (EFS) 私鑰

本文說明如何在計算機上備份修復代理程式加密檔系統 (EFS) 私鑰。

原始 KB 編號: 241201

摘要

當位於本機電腦上的 EFS 私鑰複本遺失時,請使用復原代理程式的私鑰來復原數據。 本文包含如何使用憑證導出精靈,從屬於工作組成員的計算機,以及從 Windows Server 2003 型、Windows 2000 型、Windows Server 2008 型或 Windows Server 2008 R2 型域控制器導出復原代理程式的私鑰的相關信息。

簡介

本文說明如何在 Windows Server 2003、Windows 2000、Windows XP、Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 中備份修復代理程式加密文件系統 (EFS) 私鑰。 當位於本機電腦上的 EFS 私鑰複本遺失時,您可以使用復原代理程式的私鑰來復原數據。

您可以使用 EFS 來加密資料檔,以防止未經授權的存取。 EFS 會使用動態產生的加密金鑰來加密檔案。 檔案加密金鑰 (FEK) 會使用 EFS 公鑰加密,並新增至檔案作為名為數據解密欄位 (DDF) 的 EFS 屬性。 若要解密 FEK,您必須從公開-私鑰組取得對應的 EFS 私鑰。 解密 FEK 之後,您可以使用 FEK 來解密檔案。

如果您的 EFS 私鑰遺失,您可以使用復原代理程式來復原加密的檔案。 每次加密檔案時,FEK 也會使用復原代理程式的公鑰加密。 加密的FEK會附加至檔案,其中包含在數據復原欄位 (DRF) 中使用 EFS 公鑰加密的複本。 如果您使用復原代理程式的私鑰,您可以解密 FEK,然後將檔案解密。

根據預設,如果執行 Microsoft Windows 2000 Professional 的電腦是工作組的成員,或是 Microsoft Windows NT 4.0 網域的成員,則第一次登入計算機的本機系統管理員會指定為默認復原代理程式。 根據預設,如果執行 Windows XP 或 Windows 2000 的電腦是 Windows Server 2003 網域或 Windows 2000 網域的成員,則網域中第一個域控制器上的內建系統管理員帳戶會指定為預設復原代理程式。

執行 Windows XP 且屬於工作組成員的電腦沒有預設復原代理程式。 您必須手動建立本機復原代理程式。

重要

將私鑰導出至軟盤或其他卸載式媒體之後,請將軟盤或媒體儲存在安全的位置。 如果有人取得 EFS 私鑰的存取權,該人員就可以存取加密的數據。

從屬於工作組成員的計算機匯出復原代理程式的私鑰

若要從工作組成員的計算機匯出復原代理程式的私鑰,請遵循下列步驟:

  1. 使用復原代理程式的本機用戶帳戶登入計算機。

  2. 按兩下 [開始],按兩下 [執行],輸入 mmc,然後按兩下 [確定]。

  3. 在 [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元]。 然後在 Windows Server 2003、Windows XP 或 Windows 2000 中按兩下 [新增 ]。 或者,在 Windows Vista、Windows 7、Windows Server 2008 或 Windows Server 2008 R2 中按兩下 [確定 ]。

  4. 在 [可用的獨立嵌入式管理單元] 下,按兩下 [憑證],然後按兩下 [新增]。

  5. 按兩下 [我的使用者帳戶],然後按兩下 [ 完成]。

  6. 單擊 [ 關閉],然後在 Windows Server 2003、Windows XP 或 Windows 2000 中按兩下 [確定 ]。 或者,在 Windows Vista、Windows 7、Windows Server 2008 或 Windows Server 2008 R2 中按兩下 [確定 ]。

  7. 按兩下 [憑證 - 目前使用者],按兩下 [個人],然後按兩下 [憑證]。

  8. 在 [預定用途] 數據行中 找出顯示「檔案復原」一字(不含引號)的 憑證。

  9. 以滑鼠右鍵按下您在步驟 8 中找到的憑證,指向 [所有工作],然後按兩下 [ 導出]。 [憑證導出精靈] 隨即啟動。

  10. 按一下 [下一步] 。

  11. 按兩下 [ 是],匯出私鑰,然後按 [ 下一步]。

  12. 按兩下 [個人資訊交換 - PKCS ]#12 (。PFX)。

    注意

    強烈建議您也按兩下以選取 [啟用強式保護] (需要 IE 5.0、NT 4.0 SP4 或更新版本 複選框,以保護私鑰免於未經授權的存取。

    如果您按下即可選取 [如果匯出成功 刪除私鑰] 複選框,則會從電腦移除私鑰,您將無法解密任何加密的檔案。

  13. 按一下 [下一步] 。

  14. 指定密碼,然後按 [ 下一步]。

  15. 指定您要匯出憑證和私密金鑰的檔案名稱和位置,然後按[ 下一步]

    注意

    我們建議您將檔案備份到磁碟或卸除式媒體裝置,然後將備份儲存在您可以確認備份實體安全性的位置。

  16. 確認 [正在完成憑證匯出精靈] 頁面上顯示的設定,然後按兩下 [完成]。

匯出網域復原代理程式的私鑰

網域中的第一個域控制器包含內建的系統管理員配置檔,其中包含網域默認復原代理程式的公用憑證和私鑰。 公用憑證會匯入預設網域原則,並使用組策略套用至網域用戶端。 如果系統管理員配置檔或第一個域控制器已無法使用,則用來解密加密檔案的私鑰會遺失,而且無法透過該復原代理程序復原檔案。

若要找出加密的數據復原原則,請在組策略對象編輯器嵌入式管理單元中開啟 [預設網域原則],依序展開 [計算機設定]、[Windows 設定]、[安全性設定] 和 [公鑰原則]。

若要匯出網域復原代理程式的私鑰,請遵循下列步驟:

  1. 找出在網域中升級的第一個域控制器。

  2. 使用內建的系統管理員帳戶登入域控制器。

  3. 按兩下 [開始],按兩下 [執行],輸入 mmc,然後按兩下 [確定]。

  4. 在 [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元]。 然後按兩下 [在 Windows Server 2003 或 Windows 2000 中新增]。 或者,在 Windows Server 2008 或 Windows Server 2008 R2 中按兩下 [確定 ]。

  5. 在 [可用的獨立嵌入式管理單元] 下,按兩下 [憑證],然後按兩下 [新增]。

  6. 按兩下 [我的使用者帳戶],然後按兩下 [ 完成]。

  7. 按兩下 [ 關閉],然後在 Windows Server 2003 或 Windows 2000 中按兩下 [確定 ]。 或者,在 Windows Server 2008 或 Windows Server 2008 R2 中按兩下 [確定 ]。

  8. 按兩下 [憑證 - 目前使用者],按兩下 [個人],然後按兩下 [憑證]。

  9. 在 [預定用途] 數據行中 找出顯示「檔案復原」一字(不含引號)的 憑證。

  10. 以滑鼠右鍵按下您在步驟 9 中找到的憑證,指向 [ 所有工作],然後按兩下 [ 導出]。 [憑證導出精靈] 隨即啟動。

  11. 按一下 [下一步] 。

  12. 按兩下 [ 是],匯出私鑰,然後按 [ 下一步]。

  13. 按兩下 [個人資訊交換 - PKCS ]#12 (。PFX)。

    注意

    強烈建議您按下以選取 [啟用強式保護] (需要 IE 5.0、NT 4.0 SP4 或更新版本 複選框,以保護私鑰免於未經授權的存取。

    如果您按下即可選取 [如果匯出成功 刪除私鑰] 複選框,則會從域控制器移除私鑰。 最佳做法是建議您使用此選項。 只有在您需要復原檔案的情況下,才安裝復原代理程式的私鑰。 在其他所有時間,匯出,然後離線儲存復原代理程式的私鑰,以協助維護其安全性。

  14. 按一下 [下一步] 。

  15. 指定密碼,然後按 [ 下一步]。

  16. 指定您要匯出憑證和私密金鑰的檔案名稱和位置,然後按[ 下一步]

    注意

    我們建議您將檔案備份到磁碟或卸除式媒體裝置,然後將備份儲存在您可以確認備份實體安全性的位置。

  17. 確認 [正在完成憑證匯出精靈] 頁面上顯示的設定,然後按兩下 [完成]。