Jak wykonać kopię zapasową klucza prywatnego agenta odzyskiwania systemu szyfrowania plików w systemach Windows Server 2003, Windows 2000 i Windows XP

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 241201 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

W tym artykule opisano, jak wykonać kopię zapasową klucza prywatnego agenta odzyskiwania systemu szyfrowania plików (EFS, Encrypting File System) w systemach Microsoft Windows Server 2003, Microsoft Windows 2000 i Microsoft Windows XP. Klucz prywatny agenta odzyskiwania pozwala odzyskać dane w sytuacjach, gdy kopia klucza prywatnego systemu szyfrowania plików znajdująca się na komputerze lokalnym została utracona. Ten artykuł zawiera informacje o tym, jak za pomocą Kreatora eksportu certyfikatów wyeksportować klucz prywatny agenta odzyskiwania z komputera będącego członkiem grupy roboczej oraz z kontrolera domeny z systemem Windows Server 2003 lub Windows 2000.

WPROWADZENIE

W tym artykule opisano, jak wykonać kopię zapasową klucza prywatnego agenta odzyskiwania systemu szyfrowania plików w systemach Windows Server 2003, Windows 2000 i Windows XP. Klucz prywatny agenta odzyskiwania pozwala odzyskać dane w sytuacjach, gdy kopia klucza prywatnego systemu szyfrowania plików znajdująca się na komputerze lokalnym została utracona.

System szyfrowania plików służy do szyfrowania plików danych w celu zapobiegania nieautoryzowanemu dostępowi. W systemie szyfrowania plików do szyfrowania pliku jest stosowany wygenerowany dynamicznie klucz szyfrowania. Klucz szyfrowania pliku (FEK, File Encryption Key) jest szyfrowany za pomocą klucza publicznego EFS i dodawany do pliku jako atrybut EFS o nazwie Data Decryption Field (DDF). Aby odszyfrować klucz FEK, trzeba mieć odpowiedni klucz prywatny EFS, należący do pary składającej się z klucza publicznego i prywatnego. Odszyfrowanego klucza FEK można użyć do odszyfrowania pliku.

Jeżeli prywatny klucz EFS zostanie utracony, można odzyskać zaszyfrowane pliki przy użyciu agenta odzyskiwania. Za każdym razem, gdy jest szyfrowany plik, przy użyciu klucza publicznego agenta odzyskiwania jest szyfrowany także klucz FEK. Ten zaszyfrowany klucz FEK jest dołączany do pliku z kopią zaszyfrowaną przy użyciu klucza publicznego EFS w polu Data Recovery Field (DRF). Za pomocą klucza prywatnego agenta odzyskiwania można odszyfrować najpierw klucz FEK, a następnie plik.

Domyślnie, jeżeli komputer z systemem Microsoft Windows 2000 Professional jest członkiem grupy roboczej lub domeny Microsoft Windows NT 4.0, na domyślnego agenta odzyskiwania jest wyznaczany administrator lokalny, który jako pierwszy loguje się do komputera. Domyślnie, jeżeli komputer z systemem Windows XP lub Windows 2000 jest członkiem domeny systemu Windows Server 2003 lub Windows 2000, jako domyślny agent odzyskiwania jest wyznaczane wbudowane konto administratora na pierwszym kontrolerze domeny.

Należy zauważyć, że komputer z systemem Windows XP będący członkiem grupy roboczej nie ma domyślnego agenta odzyskiwania. Lokalnego agenta odzyskiwania należy utworzyć ręcznie. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
255026 The local administrator is not always the default Encrypting File System recovery agent


Ważne Klucz prywatny wyeksportowany na dyskietkę lub inny nośnik wymienny należy przechowywać w bezpiecznej lokalizacji. Każdy, kto uzyska dostęp do klucza prywatnego EFS, będzie mógł uzyskać dostęp i do zaszyfrowanych danych.

Eksportowanie klucza prywatnego agenta odzyskiwania z komputera będącego członkiem grupy roboczej

Aby wyeksportować klucz prywatny agenta odzyskiwania z komputera będącego członkiem grupy roboczej, wykonaj następujące kroki:
  1. Zaloguj się do komputera przy użycia lokalnego konta użytkownika agenta odzyskiwania.
  2. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz mmc, a następnie kliknij przycisk OK.
  3. W menu Plik kliknij polecenie Dodaj/Usuń przystawkę, a następnie kliknij przycisk Dodaj.
  4. Na liście Dostępne przystawki autonomiczne kliknij pozycję Certyfikaty, a następnie kliknij przycisk Dodaj.
  5. Kliknij opcję Moje konto użytkownika, a następnie kliknij przycisk Zakończ.
  6. Kliknij przycisk Zamknij, a następnie kliknij przycisk OK.
  7. Kliknij dwukrotnie pozycję Certyfikaty - bieżący użytkownik, kliknij dwukrotnie pozycję Osobisty, a następnie kliknij dwukrotnie pozycję Certyfikaty.
  8. Zlokalizuj certyfikat z wyświetlonymi wyrazami „Odzyskiwanie plików” (bez cudzysłowów) w kolumnie Zamierzone cele.
  9. Kliknij prawym przyciskiem myszy certyfikat zlokalizowany w kroku 8, wskaż polecenie Wszystkie zadania, a następnie kliknij polecenie Eksportuj. Zostanie uruchomiony Kreator eksportu certyfikatów.
  10. Kliknij przycisk Dalej.
  11. Kliknij opcję Tak, eksportuj klucz prywatny, a następnie kliknij przycisk Dalej.
  12. Kliknij opcję Wymiana informacji osobistych – PKCS #12 (.PFX).

    Uwaga Zdecydowanie zalecamy również zaznaczenie pola wyboru Włącz mocną ochronę (wymaga programu IE 5.0, systemu NT 4.0 SP4 lub nowszego) w celu ochrony klucza prywatnego przed nieautoryzowanym dostępem.

    Jeżeli zostanie zaznaczone pole wyboru Usuń klucz prywatny, jeżeli eksport został zakończony pomyślnie, klucz prywatny zostanie usunięty z komputera i nie będzie można odszyfrowywać żadnych zaszyfrowanych plików.
  13. Kliknij przycisk Dalej.
  14. Określ hasło, a następnie kliknij przycisk Dalej.
  15. Określ nazwę pliku i lokalizację, do której chcesz wyeksportować certyfikat i klucz prywatny, a następnie kliknij przycisk Dalej.

    Uwaga Zalecane jest utworzenie kopii zapasowej pliku na dysku lub na urządzeniu nośników wymiennych, a następnie przechowywanie kopii zapasowej w miejscu, w którym można zapewnić jej fizyczne bezpieczeństwo.
  16. Sprawdź ustawienia wyświetlane na stronie Kończenie pracy Kreatora eksportu certyfikatów, a następnie kliknij przycisk Zakończ.

Eksportowanie klucza prywatnego agenta odzyskiwania domeny

Pierwszy kontroler domeny w domenie zawiera wbudowany profil administratora, który zawiera certyfikat publiczny i klucz prywatny dla domyślnego agenta odzyskiwania domeny. Certyfikat publiczny jest importowany do domyślnej zasady domeny i jest stosowany do klientów domeny przy użyciu zasad grupy. Jeżeli profil administratora lub pierwszy kontroler domeny nie jest już dostępny, klucz prywatny używany do odszyfrowywania zaszyfrowanych plików zostaje utracony, a plików nie można odzyskać za pomocą agenta odzyskiwania.

Aby zlokalizować zasadę Odzyskiwanie zaszyfrowanych danych, otwórz obiekt Domyślne zasady domeny w przystawce Edytor obiektów zasad grupy, rozwiń gałąź Konfiguracja komputera, rozwiń gałąź Ustawienia systemu Windows, rozwiń gałąź Ustawienia zabezpieczeń, a następnie rozwiń gałąź Zasady kluczy publicznych.

Aby wyeksportować klucz prywatny agenta odzyskiwania domeny, wykonaj następujące kroki:
  1. Zlokalizuj pierwszy kontroler domeny podwyższony do domeny.
  2. Zaloguj się do kontrolera domeny przy użyciu wbudowanego konta administratora.
  3. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz mmc, a następnie kliknij przycisk OK.
  4. W menu Plik kliknij polecenie Dodaj/Usuń przystawkę, a następnie kliknij przycisk Dodaj.
  5. Na liście Dostępne przystawki autonomiczne kliknij pozycję Certyfikaty, a następnie kliknij przycisk Dodaj.
  6. Kliknij opcję Moje konto użytkownika, a następnie kliknij przycisk Zakończ.
  7. Kliknij przycisk Zamknij, a następnie kliknij przycisk OK.
  8. Kliknij dwukrotnie pozycję Certyfikaty - bieżący użytkownik, kliknij dwukrotnie pozycję Osobisty, a następnie kliknij dwukrotnie pozycję Certyfikaty.
  9. Zlokalizuj certyfikat z wyświetlonymi wyrazami „Odzyskiwanie plików” (bez cudzysłowów) w kolumnie Zamierzone cele.
  10. Kliknij prawym przyciskiem myszy certyfikat zlokalizowany w kroku 9, wskaż polecenie Wszystkie zadania, a następnie kliknij polecenie Eksportuj. Zostanie uruchomiony Kreator eksportu certyfikatów.
  11. Kliknij przycisk Dalej.
  12. Kliknij opcję Tak, eksportuj klucz prywatny, a następnie kliknij przycisk Dalej.
  13. Kliknij opcję Wymiana informacji osobistych – PKCS #12 (.PFX).

    Uwaga Zdecydowanie zalecamy również zaznaczenie pola wyboru Włącz mocną ochronę (wymaga programu IE 5.0, systemu NT 4.0 SP4 lub nowszego) w celu ochrony klucza prywatnego przed nieautoryzowanym dostępem.

    Jeżeli zostanie zaznaczone pole wyboru Usuń klucz prywatny, jeżeli eksport został zakończony pomyślnie, klucz prywatny zostanie usunięty z kontrolera domeny. Do najlepszych praktyk należy użycie tej opcji. Zainstaluj klucz prywatny agenta odzyskiwania tylko wtedy, gdy musisz odzyskać pliki. We wszystkich innych przypadkach eksportuj, a następnie zapisuj klucz prywatny agenta odzyskiwania w trybie offline, aby zachować bezpieczeństwo.
  14. Kliknij przycisk Dalej.
  15. Określ hasło, a następnie kliknij przycisk Dalej.
  16. Określ nazwę pliku i lokalizację, do której chcesz wyeksportować certyfikat i klucz prywatny, a następnie kliknij przycisk Dalej.

    Uwaga Zalecane jest utworzenie kopii zapasowej pliku na dysku lub na urządzeniu nośników wymiennych, a następnie przechowywanie kopii zapasowej w miejscu, w którym można zapewnić jej fizyczne bezpieczeństwo.
  17. Sprawdź ustawienia wyświetlane na stronie Kończenie pracy Kreatora eksportu certyfikatów, a następnie kliknij przycisk Zakończ.

Materiały referencyjne

Aby uzyskać więcej informacji na temat sprawdzania, kto jest agentem odzyskiwania w przypadku zaszyfrowanego pliku, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
243026 Using Efsinfo.exe to determine information about encrypted files
Aby uzyskać więcej informacji na temat systemu EFS, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
223316 Najważniejsze wskazówki dotyczące systemu szyfrowania plików EFS
Aby uzyskać więcej informacji na temat systemu EFS w systemie Windows Server, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/cryptfs.mspx
Aby uzyskać więcej informacji na temat pracy z systemem EFS w systemie Windows Server 2003, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://technet2.microsoft.com/windowsserver/en/library/a3aa1b1f-98c9-41b3-ba05-9424e316a0781033.mspx
Aby uzyskać więcej informacji o tematach pokrewnych, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://technet2.microsoft.com/windowsserver/en/library/A3AA1B1F-98C9-41B3-BA05-9424E316A0781033.mspx

Właściwości

Numer ID artykułu: 241201 - Ostatnia weryfikacja: 23 kwietnia 2007 - Weryfikacja: 11.2
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
Słowa kluczowe: 
kbhowtomaster kbactivedirectory kbenv kbefs kbwinservds KB241201

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com