Sichern von Recovery Agent Encrypting File System (EFS) privaten Schlüssel in Windows

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 241201 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D241201
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt, wie die privaten Schlüssel für Recovery Agent Encrypting File System (EFS) auf einem Computer sichern, die Microsoft Windows Server 2003, Microsoft Windows 2000, Microsoft Windows XP, Windows Vista, Windows 7, Windows Server 2008 oder Windows Server 2008 R2 ausgeführt wird. Verwenden Sie die privaten Schlüssel des Wiederherstellungs-Agenten zum Wiederherstellen von Daten in Situationen, wenn die Kopie des privaten EFS-Schlüssels auf dem lokalen Computer verloren gegangen ist. Dieser Artikel enthält Informationen dazu, wie Sie im Zertifikatexport-Assistenten verwenden, um die privaten Schlüssel für den Wiederherstellungsagenten auf einem Computer, der Mitglied einer Arbeitsgruppe ist, und von einem Windows Server 2003-, Windows 2000-, Windows Server 2008-basierten oder Windows Server 2008 R2-basierten Domänencontroller zu exportieren.

EINFÜHRUNG

Dieser Artikel beschreibt das Sichern des privaten EFS-Schlüssel (Encrypting File System, EFS) für die Wiederherstellung in Windows Server 2003, in Windows 2000, Windows XP, in Windows Vista, in Windows 7, in Windows Server 2008 und in Windows Server 2008 R2. Privaten Schlüssel des Wiederherstellungs-Agenten können Sie die Wiederherstellung von Daten in Situationen, wenn die Kopie des privaten EFS-Schlüssels auf dem lokalen Computer verloren gegangen ist.

EFS können Sie Dateien verschlüsseln um unbefugten Zugriff zu verhindern. EFS verwendet einen Chiffrierschlüssel, der dynamisch ist. zum Verschlüsseln der Datei generiert. File Encryption Key (FEK) wird mit verschlüsselt. die öffentlichen EFS-Schlüssel und die Datei als EFS-Attribut mit dem Namen hinzugefügt wird Datenentschlüsselungsfeld (DDF). Um den FEK zu entschlüsseln, müssen Sie die entsprechenden privaten EFS-Schlüssel aus dem öffentlich-Private Schlüsselpaar. Nachdem Sie Entschlüsseln des Dateiverschlüsselungsschlüssels, können Sie den Dateiverschlüsselungsschlüssel Entschlüsseln der Datei.

Wenn Ihr EFS private Schlüssel verloren ist, können Sie einen Wiederherstellungs-Agent verschlüsselten Dateien wiederherzustellen. Jedes Mal, die eine Datei verschlüsselt ist, der auch FEK wird mit der Öffentlichen Schlüssel des Wiederherstellungsagenten. Der verschlüsselte FEK gehört zu der Datei mit der Kopie, die mit Ihrem öffentlichen EFS-Schlüssel im Feld Recovery verschlüsselt ist (DRF). Wenn Sie die privaten Schlüssel des Wiederherstellungsagenten verwenden, können Sie den FEK zu entschlüsseln, und anschließend die Datei entschlüsseln.

Standardmäßig, wenn ein Computer mit Microsoft Windows 2000 Professional ist ein Mitglied einer Arbeitsgruppe oder ein Mitglied Microsoft Windows NT 4.0-Domäne, der lokale Administrator, der zum ersten Mal anmeldet mit der Computer wird als der Standardwiederherstellungs-Agent festgelegt. Standardmäßig Wenn ein Computer unter Windows XP oder Windows 2000 ist ein Mitglied einer Windows Server 2003-Domäne oder einer Windows 2000-Domäne, das integrierte Administratorkonto auf dem ersten Domänencontroller wird die Domänencontroller in der Domäne als Standard festgelegt. Wiederherstellungs-Agenten.

Beachten Sie, dass es sich bei einem Computer mit Windows XP ist und Das ist ein Mitglied einer Arbeitsgruppe nicht über einen Standardwiederherstellungsagenten verfügt. Sie Sie müssen manuell einen lokalen Wiederherstellungsagenten erstellen. Weitere Informationen Informationen, klicken Sie in folgendem Artikel in der Microsoft Knowledge Base:
255026Der lokale Administrator ist nicht immer die standardmäßige Encrypting File System Wiederherstellungs-agent


Wichtig Nach dem export des privates Schlüssel auf einer Diskette oder andere Wechselmedien, werden die Diskette oder das Medium an einem sicheren Ort speichern. If ein Benutzer erhält Zugriff auf Ihren privaten EFS-Schlüssel, diese Person auf zugreifen kann Ihre verschlüsselten Daten.

Exportieren von privaten Schlüssel des Wiederherstellungs-Agenten von einem Computer, der Mitglied einer Arbeitsgruppe ist

Um den privaten Schlüssel des Wiederherstellungs-Agenten von einem Computer zu exportieren, ist ein Mitglied einer Arbeitsgruppe, gehen Sie folgendermaßen vor:
  1. Melden Sie sich an den Computer mithilfe des Wiederherstellungs-Agenten der lokalen Benutzerkonto.
  2. Klicken Sie auf Start, klicken Sie auf Ausführen, Typ MMC, und klicken Sie dann auf OK.
  3. Auf der Datei im Menü klicken Hinzufügen/Entfernen Snap-in. Klicken Sie dann auf Hinzufügen WindowsServer 2003, Windows XP oder Windows 2000. Oder klicken Sie auf OK in Windows Vista in Windows 7, WindowsServer 2008 oder WindowsServer 2008 R2.
  4. Unter Verfügbare eigenständige Snap-ins, klicken Sie aufZertifikate, und klicken Sie dann auf Hinzufügen.
  5. Klicken Sie auf Mein Benutzerkonto, und klicken Sie dann aufFertig stellen.
  6. Klicken Sie auf Schließen, und klicken Sie dann auf OK WindowsServer 2003, Windows XP oder Windows 2000. Oder klicken Sie auf OK in Windows Vista in Windows 7, WindowsServer 2008 oder WindowsServer 2008 R2.
  7. Doppelklicken Sie auf Zertifikate - Aktueller Benutzer, Doppelklicken Sie auf Persönliche, und doppelklicken Sie dann aufZertifikate.
  8. Suchen Sie das Zertifikat, das die Wörter "Datei anzeigt Recovery"(ohne Anführungszeichen) in die Bestimmt Zwecke Spalte.
  9. Mit der rechten Maustaste in des Zertifikats, das Sie in Schritt 8 gefunden, , zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Exportieren. Der Zertifikatsexport-Assistent wird gestartet.
  10. Klicken Sie auf Weiter.
  11. Klicken Sie auf Ja, privaten Schlüssel exportieren, und Klicken Sie dann auf Weiter.
  12. Klicken Sie auf Privater Informationsaustausch ? PKCS # 12 (.(PFX).

    Hinweis Empfohlen, dass Sie auch aktivieren Sie dieVerstärkte Sicherheit aktivieren (erfordert Internet Explorer 5.0, NT 4.0 SP4 oder höherKontrollkästchen, um Ihren privaten Schlüssel vor nicht autorisiertem Zugriff zu schützen.

    If Aktivieren Sie die Den privaten Schlüssel zu löschen, wenn der export erfolgreiche Kontrollkästchen, der private Schlüssel vom Computer entfernt wird und Sie werden keine verschlüsselten Dateien entschlüsseln können.
  13. Klicken Sie auf Weiter.
  14. Geben Sie ein Kennwort, und klicken Sie dann auf Weiter.
  15. Geben Sie einen Dateinamen und einen Speicherort, in dem Sie exportieren möchten das Zertifikat und den privaten Schlüssel und klicken Sie dann aufWeiter.

    Hinweis Es wird empfohlen, dass Sie die Datei auf einem Datenträger oder zu sichern ein Wechselmediengerät und dann Speichern der Sicherung an einem Ort, Sie können Bestätigen Sie die physische Sicherheit der Sicherung.
  16. Überprüfen Sie die Einstellungen, die auf der Seite Fertigstellen des angezeigt werden die Seite Zertifikatsexport-Assistenten, und klicken Sie dann auf Fertig stellen.

Exportieren des privaten Schlüssels des Domänenwiederherstellungsagenten

Der erste Domänencontroller in einer Domäne enthält den integrierten Administratorprofil, das öffentliche Zertifikat und den privaten Schlüssel enthält für den Standardwiederherstellungsagenten der Domäne. Das öffentliche Zertifikat ist in der Standarddomänenrichtlinie importiert und mithilfe auf Domänenclients angewendet wird Gruppenrichtlinien. Wenn das Administratorprofil oder wenn der erste Domänencontroller ist nicht mehr verfügbar ist, der privaten Schlüssel, die zum Entschlüsseln der verschlüsselten verwendet wird Dateien geht verloren, und Dateien können nicht über diese Wiederherstellungs-Agenten wiederhergestellt werden.

Um die Richtlinie für Wiederherstellung von verschlüsselten Daten zu suchen, öffnen Sie die Standardrichtlinie für Domänen Erweitern die Richtlinie im Gruppenrichtlinienobjekt-Editor-Snap-in Computer Konfiguration, erweitern Sie Windows-Einstellungen, erweitern Sie Sicherheitseinstellungen, und erweitern Sie dann Öffentlicher Schlüssel Richtlinien.

Privaten Schlüssel des Domänenwiederherstellungsagenten zu exportieren, Gehen Sie folgendermaßen vor:
  1. Suchen Sie den ersten Domänencontroller, der befördert wurde die Domäne.
  2. Melden Sie sich an den Domänencontroller unter Verwendung der integrierten Administratorkonto.
  3. Klicken Sie auf Start, klicken Sie auf Ausführen, Typ MMC, und klicken Sie dann auf OK.
  4. Auf der Datei im Menü klicken Snap-in hinzufügen/entfernen. Klicken Sie dann auf Hinzufügen in WindowsServer 2003 oder Windows 2000. Oder klicken Sie auf OK in WindowsServer 2008 oder WindowsServer 2008 R2.
  5. Unter Verfügbare eigenständige Snap-ins, klicken Sie aufZertifikate, und klicken Sie dann auf Hinzufügen.
  6. Klicken Sie auf Mein Benutzerkonto, und klicken Sie dann aufFertig stellen.
  7. Klicken Sie auf Schließen, und klicken Sie dann auf OK in WindowsServer 2003 oder Windows 2000. Oder klicken Sie auf OK in WindowsServer 2008 oder WindowsServer 2008 R2.
  8. Doppelklicken Sie auf Zertifikate - Aktueller Benutzer, Doppelklicken Sie auf Persönliche, und doppelklicken Sie dann aufZertifikate.
  9. Suchen Sie das Zertifikat, das die Wörter "Datei anzeigt Recovery"(ohne Anführungszeichen) in die Bestimmt Zwecke Spalte.
  10. Mit der rechten Maustaste in des Zertifikats, das Sie in Schritt 9, , zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Exportieren. Der Zertifikatsexport-Assistent wird gestartet.
  11. Klicken Sie auf Weiter.
  12. Klicken Sie auf Ja, privaten Schlüssel exportieren, und Klicken Sie dann auf Weiter.
  13. Klicken Sie auf Privater Informationsaustausch ? PKCS # 12 (.(PFX).

    Hinweis Dringend empfohlen, Sie aktivieren die Aktivieren verstärkte Sicherheit (erfordert Internet Explorer 5.0, NT 4.0 SP4 oder höherdas Kontrollkästchen, um Schützen Sie Ihren privaten Schlüssel vor nicht autorisiertem Zugriff.

    Wenn Sie auf klicken. Wählen Sie die Löschen Sie den privaten Schlüssel, wenn der Export erfolgreichKontrollkästchen, der private Schlüssel wird vom Domänencontroller entfernt. Als eine der besten Praxis, empfehlen wir, dass Sie diese Option verwenden. Der Wiederherstellungs-Agent installieren private Schlüssel nur in Situationen, wenn Sie Dateien wiederherstellen müssen. In allen anderen Zeiten exportieren Sie und speichern Sie dann offline privaten Schlüssel des Wiederherstellungs-Agenten zu helfen Ihre Sicherheit aufrechtzuerhalten.
  14. Klicken Sie auf Weiter.
  15. Geben Sie ein Kennwort, und klicken Sie dann auf Weiter.
  16. Geben Sie einen Dateinamen und einen Speicherort, in dem Sie exportieren möchten das Zertifikat und den privaten Schlüssel und klicken Sie dann aufWeiter.

    Hinweis Es wird empfohlen, dass Sie die Datei auf einem Datenträger oder zu sichern ein Wechselmediengerät und dann Speichern der Sicherung an einem Ort, Sie können Bestätigen Sie die physische Sicherheit der Sicherung.
  17. Überprüfen Sie die Einstellungen, die auf der Seite Fertigstellen des angezeigt werden die Seite Zertifikatsexport-Assistenten, und klicken Sie dann auf Fertig stellen.

Informationsquellen

Weitere Informationen dazu, wie Sie Bestimmen Sie, wer der Wiederherstellungsagent für eine verschlüsselte Datei ist, klicken Sie auf die folgenden Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
243026Verwenden von Efsinfo.exe, um Information zu verschlüsselten Dateien bestimmen
Weitere Informationen Informationen über EFS finden Sie in folgendem Artikel der Artikel in der Microsoft Knowledge Base:
223316Best Practices für das verschlüsselnde Dateisystem
Weitere Informationen über EFS unter Windows Server die folgende Microsoft-Website:
http://www.Microsoft.com/technet/Security/Guidance/cryptographyetc/EFS.mspx
Weitere Informationen zum Arbeiten mit EFS unter Windows Server 2003, die folgende Microsoft-Website:
http://technet2.Microsoft.com/WindowsServer/en/Library/a3aa1b1f-98c9-41b3-ba05-9424e316a0781033.mspx
Weitere Informationen zu verwandten Themen finden Sie in der folgenden Microsoft-Website:
http://technet2.Microsoft.com/WindowsServer/en/Library/A3AA1B1F-98C9-41b3-BA05-9424E316A0781033.mspx

Eigenschaften

Artikel-ID: 241201 - Geändert am: Montag, 27. Februar 2012 - Version: 1.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Ultimate
  • Windows Vista Ultimate 64-bit edition
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
Keywords: 
kbwinservds kbactivedirectory kbefs kbenv kbhowtomaster W2000EFS kbmt KB241201 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 241201
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com