Eseguire il backup della chiave privata EFS (Encrypting File System) dell'agente di ripristino in Windows

Questo articolo descrive come eseguire il backup della chiave privata EFS (Encrypting File System) dell'agente di ripristino in un computer.

Si applica a: Windows Server 7 Service Pack 1, Windows Server 2012 R2
Numero KB originale: 241201

Riepilogo

Usare la chiave privata dell'agente di ripristino per ripristinare i dati in situazioni in cui la copia della chiave privata EFS che si trova nel computer locale viene persa. Questo articolo contiene informazioni su come utilizzare l'Esportazione guidata certificati per esportare la chiave privata dell'agente di ripristino da un computer membro di un gruppo di lavoro e da un controller di dominio basato su Windows Server 2003, basato su Windows 2000, Windows Server 2008 o Windows Server 2008 R2.

Introduzione

Questo articolo descrive come eseguire il backup della chiave privata EFS (Encrypting File System) dell'agente di ripristino in Windows Server 2003, Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2008 e Windows Server 2008 R2. È possibile usare la chiave privata dell'agente di ripristino per ripristinare i dati in situazioni in cui la copia della chiave privata EFS che si trova nel computer locale viene persa.

È possibile usare EFS per crittografare i file di dati per impedire l'accesso non autorizzato. EFS usa una chiave di crittografia generata dinamicamente per crittografare il file. La chiave fek (File Encryption Key) viene crittografata con la chiave pubblica EFS e viene aggiunta al file come attributo EFS denominato Data Decryption Field (DDF). Per decrittografare la chiave fek, è necessario disporre della chiave privata EFS corrispondente dalla coppia di chiavi pubblico-privato. Dopo aver decrittografare la chiave fek, è possibile usare fek per decrittografare il file.

Se la chiave privata EFS viene persa, è possibile usare un agente di ripristino per ripristinare i file crittografati. Ogni volta che un file viene crittografato, anche la chiave fek viene crittografata con la chiave pubblica dell'agente di ripristino. La chiave fek crittografata è collegata al file con la copia crittografata con la chiave pubblica EFS nel campo di recupero dati (DRF). Se si usa la chiave privata dell'agente di ripristino, è possibile decrittografare la chiave fek e quindi decrittografare il file.

Per impostazione predefinita, se un computer che esegue Microsoft Windows 2000 Professional è un membro di un gruppo di lavoro o è membro di un dominio di Microsoft Windows NT 4.0, l'amministratore locale che accede per la prima volta al computer viene designato come agente di ripristino predefinito. Per impostazione predefinita, se un computer che esegue Windows XP o Windows 2000 è membro di un dominio di Windows Server 2003 o windows 2000, l'account amministratore predefinito nel primo controller di dominio del dominio viene designato come agente di ripristino predefinito.

Un computer che esegue Windows XP e che è membro di un gruppo di lavoro non dispone di un agente di ripristino predefinito. È necessario creare manualmente un agente di ripristino locale.

Importante

Dopo aver esportato la chiave privata in un disco floppy o in un altro supporto rimovibile, archiviare il disco floppy o il supporto in un percorso sicuro. Se qualcuno ottiene l'accesso alla chiave privata EFS, tale persona può ottenere l'accesso ai dati crittografati.

Esportare la chiave privata dell'agente di ripristino da un computer membro di un gruppo di lavoro

Per esportare la chiave privata dell'agente di ripristino da un computer membro di un gruppo di lavoro, seguire questa procedura:

  1. Accedere al computer usando l'account utente locale dell'agente di ripristino.

  2. Fare clic sul pulsante Start, scegliere Esegui, digitare mmc e quindi fare clic su OK.

  3. Scegliere Aggiungi/Rimuovi snap-in dal menu File. Fare quindi clic su Aggiungi in Windows Server 2003, in Windows XP o in Windows 2000. In alternativa, fare clic su OK in Windows Vista, in Windows 7, in Windows Server 2008 o in Windows Server 2008 R2.

  4. In Snap-in autonomi disponibili fare clic su Certificati e quindi su Aggiungi.

  5. Fare clic su Account utente personale e quindi su Fine.

  6. Fare clic su Chiudi e quindi su OK in Windows Server 2003, in Windows XP o in Windows 2000. In alternativa, fare clic su OK in Windows Vista, in Windows 7, in Windows Server 2008 o in Windows Server 2008 R2.

  7. Fare doppio clic su Certificati - Utente corrente, fare doppio clic su Personale, quindi fare doppio clic su Certificati.

  8. Individuare il certificato che visualizza le parole "Ripristino file" (senza virgolette) nella colonna Scopi previsti .

  9. Fare clic con il pulsante destro del mouse sul certificato che si trova nel passaggio 8, scegliere Tutte le attività e quindi fare clic su Esporta. Viene avviata l'Esportazione guidata certificati.

  10. Scegliere Avanti.

  11. Fare clic su Sì, esportare la chiave privata e quindi fare clic su Avanti.

  12. Fare clic su Scambio di informazioni personali - PKCS #12 (. PFX).

    Nota

    È consigliabile fare clic anche per selezionare la casella di controllo Abilita protezione avanzata (richiede Internet Explorer 5.0, NT 4.0 SP4 o versione successiva per proteggere la chiave privata dall'accesso non autorizzato.

    Se si fa clic per selezionare la casella di controllo Elimina la chiave privata se l'esportazione ha esito positivo , la chiave privata viene rimossa dal computer e non sarà possibile decrittografare alcun file crittografato.

  13. Scegliere Avanti.

  14. Specificare una password e quindi fare clic su Avanti.

  15. Specificare un nome file e un percorso in cui esportare il certificato e la chiave privata, quindi fare clic su Avanti.

    Nota

    È consigliabile eseguire il backup del file in un disco o in un dispositivo multimediale rimovibile e quindi archiviare il backup in un percorso in cui è possibile confermare la sicurezza fisica del backup.

  16. Verificare le impostazioni visualizzate nella pagina Completamento esportazione guidata certificati e quindi fare clic su Fine.

Esportare la chiave privata dell'agente di ripristino del dominio

Il primo controller di dominio in un dominio contiene il profilo amministratore predefinito che contiene il certificato pubblico e la chiave privata per l'agente di ripristino predefinito del dominio. Il certificato pubblico viene importato nei criteri di dominio predefiniti e viene applicato ai client di dominio tramite Criteri di gruppo. Se il profilo amministratore o il primo controller di dominio non è più disponibile, la chiave privata usata per decrittografare i file crittografati viene persa e i file non possono essere recuperati tramite tale agente di ripristino.

Per individuare i criteri di ripristino dei dati crittografati, aprire i criteri di dominio predefiniti nello snap-in Criteri di gruppo Object Editor, espandere Configurazione computer, Impostazioni di Windows, Impostazioni di sicurezza e quindi Criteri chiave pubblica.

Per esportare la chiave privata dell'agente di ripristino del dominio, seguire questa procedura:

  1. Individuare il primo controller di dominio promosso nel dominio.

  2. Accedere al controller di dominio usando l'account amministratore predefinito.

  3. Fare clic sul pulsante Start, scegliere Esegui, digitare mmc e quindi fare clic su OK.

  4. Scegliere Aggiungi/Rimuovi snap-in dal menu File. Fare quindi clic su Aggiungi in Windows Server 2003 o in Windows 2000. In alternativa, fare clic su OK in Windows Server 2008 o in Windows Server 2008 R2.

  5. In Snap-in autonomi disponibili fare clic su Certificati e quindi su Aggiungi.

  6. Fare clic su Account utente personale e quindi su Fine.

  7. Fare clic su Chiudi e quindi su OK in Windows Server 2003 o in Windows 2000. In alternativa, fare clic su OK in Windows Server 2008 o in Windows Server 2008 R2.

  8. Fare doppio clic su Certificati - Utente corrente, fare doppio clic su Personale, quindi fare doppio clic su Certificati.

  9. Individuare il certificato che visualizza le parole "Ripristino file" (senza virgolette) nella colonna Scopi previsti .

  10. Fare clic con il pulsante destro del mouse sul certificato nel passaggio 9, scegliere Tutte le attività e quindi fare clic su Esporta. Viene avviata l'Esportazione guidata certificati.

  11. Scegliere Avanti.

  12. Fare clic su Sì, esportare la chiave privata e quindi fare clic su Avanti.

  13. Fare clic su Scambio di informazioni personali - PKCS #12 (. PFX).

    Nota

    È consigliabile fare clic per selezionare la casella di controllo Abilita protezione avanzata (richiede Internet Explorer 5.0, NT 4.0 SP4 o versione successiva per proteggere la chiave privata dall'accesso non autorizzato.

    Se si fa clic per selezionare la casella di controllo Elimina la chiave privata se l'esportazione ha esito positivo , la chiave privata viene rimossa dal controller di dominio. Come procedura consigliata, è consigliabile usare questa opzione. Installare la chiave privata dell'agente di ripristino solo in situazioni in cui è necessario ripristinare i file. In qualsiasi altro momento, esportare e quindi archiviare offline la chiave privata dell'agente di ripristino per mantenere la sicurezza.

  14. Scegliere Avanti.

  15. Specificare una password e quindi fare clic su Avanti.

  16. Specificare un nome file e un percorso in cui esportare il certificato e la chiave privata, quindi fare clic su Avanti.

    Nota

    È consigliabile eseguire il backup del file in un disco o in un dispositivo multimediale rimovibile e quindi archiviare il backup in un percorso in cui è possibile confermare la sicurezza fisica del backup.

  17. Verificare le impostazioni visualizzate nella pagina Completamento esportazione guidata certificati e quindi fare clic su Fine.