Como fazer backup a chave de particular de Encrypting File System (EFS) de agente de recuperação no Windows

Traduções deste artigo Traduções deste artigo
ID do artigo: 241201 - Exibir os produtos aos quais esse artigo se aplica.
Este artigo foi publicado anteriormente em BR241201
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo descreve como fazer backup da chave particular do agente de sistema de arquivos com criptografia (EFS) de recuperação em um computador que esteja executando o Microsoft Windows Server 2003, Microsoft Windows 2000, Microsoft Windows XP, Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2. Use a chave particular do agente de recuperação para recuperar dados em situações quando a cópia da chave particular EFS localizada no computador local é perdida. Este artigo contém informações sobre como usar o Assistente para exportação de certificados para exportar a chave particular do agente de recuperação de um computador é membro de um grupo de trabalho e de um controlador de domínio baseado no Windows Server 2003, baseado no Windows 2000, baseado no Windows Server 2008 ou baseado no Windows Server 2008 R2.

INTRODUÇÃO

Este artigo descreve como fazer backup da chave particular do agente de recuperação do sistema de arquivos com criptografia (EFS) no Windows Server 2003, no Windows 2000, no Windows XP, no Windows Vista, no Windows 7, no Windows Server 2008 e no Windows Server 2008 R2. Você pode usar a chave particular do agente de recuperação para recuperar dados em situações quando a cópia da chave particular EFS localizada no computador local é perdida.

Você pode usar o EFS para criptografar os arquivos de dados Para evitar acesso não autorizado. O EFS usa uma chave de criptografia é dinamicamente gerada para criptografar o arquivo. A chave de criptografia de arquivo (FEK) é criptografada com a chave pública EFS e adicionada ao arquivo como um atributo EFS chamado Campo de descriptografia de dados (DDF). Para descriptografar a FEK, você deve ter o chave particular EFS correspondente do par de chaves pública-particular. Depois de descriptografar a FEK, você pode usar a FEK para descriptografar o arquivo.

Se o EFS chave particular for perdida, você pode usar um agente de recuperação para recuperar arquivos criptografados. Sempre que um arquivo é criptografado, a FEK também é criptografada com o Chave pública do agente de recuperação. A FEK criptografada é anexada ao arquivo com o cópia é criptografada com a chave pública EFS no campo de recuperação de dados (DRF). Se você usar a chave particular do agente de recuperação, você pode descriptografar a FEK e, em seguida, descriptografar o arquivo.

Por padrão, se um computador que está executando Microsoft Windows 2000 Professional é membro de um grupo de trabalho ou é membro de um domínio do Microsoft Windows NT 4.0, o administrador local que o logon inicial o computador é designado como agente de recuperação padrão. Por padrão, se um computador que está executando o Windows XP ou Windows 2000 é membro de um Windows Domínio Server 2003 ou um domínio do Windows 2000, a conta interna administrador no primeiro domínio controlador de domínio designado como padrão Agente de recuperação.

Observe que um computador que está executando o Windows XP e que é que membro de um grupo de trabalho não tem um agente de recuperação padrão. Você é preciso criar manualmente um agente de recuperação local. Para obter mais informações informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
255026O administrador local nem sempre é o agente de recuperação EFS padrão


Importante Depois de exportar private key em um disquete ou outro mídia removível, armazene o disquete ou mídia em um local seguro. Se alguém obtém acesso à chave particular EFS, essa pessoa pode obter acesso a os dados criptografados.

Exportar a chave particular do agente de recuperação de um computador é membro de um grupo de trabalho

Para exportar a chave particular do agente de recuperação de um computador é um membro do grupo de trabalho, siga estas etapas:
  1. Local do log para o computador usando o agente de recuperação conta de usuário.
  2. Clique em Início, clique em Executar, tipo MMCe clique em OK.
  3. Sobre o Arquivo menu, clique em Adicionar ou remover Snap-in. Clique em Adicionar no Windows Server 2003, Windows XP ou no Windows 2000. Ou clique em OK no Windows Vista, no Windows 7, no Windows Server 2008 ou no Windows Server 2008 R2.
  4. Em Snap-ins autônomos disponíveis, clique emCertificadose clique em Adicionar.
  5. Clique em Minha conta de usuárioe clique emConcluir.
  6. Clique em Fechare clique em OK no Windows Server 2003, Windows XP ou no Windows 2000. Ou clique em OK no Windows Vista, no Windows 7, no Windows Server 2008 ou no Windows Server 2008 R2.
  7. Clique duas vezes Certificados - usuário atual, Clique duas vezes Pessoale clique duas vezesCertificados.
  8. Localize o certificado que exibe as palavras "arquivo Recuperação"(sem as aspas) na O objetivo Finalidades coluna.
  9. Clique com o botão direito no certificado localizado na etapa 8, aponte para Todas as tarefase clique em Exportação. Inicia o Assistente para exportação de certificados.
  10. Clique em Avançar.
  11. Clique em Sim, exportar a chave particular, e Clique em Avançar.
  12. Clique em Personal Information Exchange ? PKCS # 12 (.PFX).

    Observação Recomendamos que você clique para selecionar também oAtivar proteção de alta segurança (requer IE 5.0, NT 4.0 SP4 ou superiorcaixa de seleção para proteger a chave privada de acesso não autorizado.

    Se Clique para selecionar o Excluir a chave particular se a exportação for êxito caixa de seleção, a chave particular é removida do computador e Você não poderá descriptografar os arquivos criptografados.
  13. Clique em Avançar.
  14. Especifique uma senha e clique em Avançar.
  15. Especifique um nome de arquivo e local onde você deseja exportar o certificado e a chave particular e cliqueAvançar.

    Observação Recomendamos que você faça backup do arquivo para um disco ou para um dispositivo de mídia removível e armazenar, em seguida, o backup em um local onde você pode Confirme a segurança física do backup.
  16. Verificar as configurações exibidas em Concluindo a página do Assistente para exportação de certificados e clique Concluir.

Exportar a chave particular do agente de recuperação de domínio

O primeiro controlador de domínio em um domínio contém interno Perfil do administrador que contém o certificado público e a chave particular Agente de recuperação padrão do domínio. O certificado público é importado para a diretiva de domínio padrão e aplicado para clientes de domínio usando Diretiva de grupo. Se o perfil do administrador ou se for o primeiro controlador de domínio não está mais disponível particular chave que é usada para descriptografar o criptografado arquivos é perdida e arquivos não podem ser recuperados por meio deste agente de recuperação.

Para localizar a diretiva de recuperação de dados criptografados, abra o domínio padrão Diretiva no snap-in Editor de objeto de diretiva de grupo, expanda Computador Configuração, expanda Configurações do Windows, expanda Configurações de segurançae, em seguida, expanda Chave pública Diretivas.

Para exportar a chave particular do agente de recuperação de domínio, Siga estas etapas:
  1. Localize o primeiro controlador de domínio foi promovido a domínio.
  2. Faça logon no controlador de domínio usando interno Conta de administrador.
  3. Clique em Início, clique em Executar, tipo MMCe clique em OK.
  4. Sobre o Arquivo menu, clique em Adicionar/Remover Snap-in. Clique em Adicionar no Windows Server 2003 ou no Windows 2000. Ou clique em OK no Windows Server 2008 ou no Windows Server 2008 R2.
  5. Em Snap-ins autônomos disponíveis, clique emCertificadose clique em Adicionar.
  6. Clique em Minha conta de usuárioe clique emConcluir.
  7. Clique em Fechare clique em OK no Windows Server 2003 ou no Windows 2000. Ou clique em OK no Windows Server 2008 ou no Windows Server 2008 R2.
  8. Clique duas vezes Certificados - usuário atual, Clique duas vezes Pessoale clique duas vezesCertificados.
  9. Localize o certificado que exibe as palavras "arquivo Recuperação"(sem as aspas) na O objetivo Finalidades coluna.
  10. Clique com o botão direito no certificado localizado na etapa 9, aponte para Todas as tarefase clique em Exportação. Inicia o Assistente para exportação de certificados.
  11. Clique em Avançar.
  12. Clique em Sim, exportar a chave particular, e Clique em Avançar.
  13. Clique em Personal Information Exchange ? PKCS # 12 (.PFX).

    Observação Recomendamos que você clique para selecionar o Ativar proteção de alta segurança (requer IE 5.0, NT 4.0 SP4 ou superiorcaixa de seleção proteger a chave particular contra acesso não autorizado.

    Se você Selecione o Excluir a chave particular se a exportação tiver êxitocaixa de seleção, a chave particular será removida do controlador de domínio. Como uma melhor prática, recomendamos que você use essa opção. Instalar o agente de recuperação chave privada somente em situações quando você precisa recuperar arquivos. Em todos os outros vezes, exportar e armazenar a chave particular do agente de recuperação offline para ajudar a manter a segurança.
  14. Clique em Avançar.
  15. Especifique uma senha e clique em Avançar.
  16. Especifique um nome de arquivo e local onde você deseja exportar o certificado e a chave particular e cliqueAvançar.

    Observação Recomendamos que você faça backup do arquivo para um disco ou para um dispositivo de mídia removível e armazenar, em seguida, o backup em um local onde você pode Confirme a segurança física do backup.
  17. Verificar as configurações exibidas em Concluindo a página do Assistente para exportação de certificados e clique Concluir.

Referências

Para obter mais informações sobre como determinar quem é o agente de recuperação para um arquivo criptografado, clique em seguinte número de artigo para ler o artigo na Base de dados de Conhecimento da Microsoft:
243026Usando Efsinfo. exe para determinar informações sobre arquivos criptografados
Para obter mais informações informações sobre EFS, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
223316Práticas recomendadas de EFS
Para obter mais informações sobre o EFS no Windows Server visite o seguinte site da Microsoft:
http://www.microsoft.com/technet/Security/Guidance/cryptographyetc/EFS.mspx
Para obter mais informações sobre como trabalhar com o EFS no Windows Server 2003, visite o seguinte site da Microsoft:
http://technet2.microsoft.com/WindowsServer/en/Library/a3aa1b1f-98c9-41b3-ba05-9424e316a0781033.mspx
Para obter mais informações sobre tópicos relacionados, visite o seguinte Site da Microsoft:
http://technet2.microsoft.com/WindowsServer/en/Library/A3AA1B1F-98C9-41B3-BA05-9424E316A0781033.mspx

Propriedades

ID do artigo: 241201 - Última revisão: segunda-feira, 27 de fevereiro de 2012 - Revisão: 1.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Ultimate
  • Windows Vista Ultimate 64-bit edition
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
Palavras-chave: 
kbwinservds kbactivedirectory kbefs kbenv kbhowtomaster w2000efs kbmt KB241201 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 241201

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com