Como fazer backup da chave de particular de sistema de arquivos com criptografia (EFS) de agente de recuperação no Windows

Traduções de Artigos Traduções de Artigos
Artigo: 241201 - Ver produtos para os quais este artigo se aplica.
Este artigo foi publicado anteriormente em PT241201
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo descreve como fazer backup da chave particular do sistema de arquivos com criptografia (EFS) de agente de recuperação em um computador que esteja executando o Microsoft Windows Server 2003, Microsoft Windows 2000, Microsoft Windows XP, Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2. Use a chave particular do agente de recuperação para recuperar dados em situações quando a cópia da chave particular EFS localizada no computador local é perdida. Este artigo contém informações sobre como usar o Assistente para exportação de certificados para exportar a chave particular do agente de recuperação de um computador que seja membro de um grupo de trabalho e de um controlador de domínio baseado no Windows Server 2003, baseado no Windows 2000, baseado no Windows Server 2008 ou baseado no Windows Server 2008 R2.

INTRODUÇÃO

Este artigo descreve como fazer backup da chave particular do agente de recuperação do sistema de arquivos com criptografia (EFS) no Windows Server 2003, no Windows 2000, no Windows XP, no Windows Vista, no Windows 7, no Windows Server 2008 e no Windows Server 2008 R2. Você pode usar a chave particular do agente de recuperação para recuperar dados em situações quando a cópia da chave particular EFS localizada no computador local é perdida.

Você pode usar o EFS para criptografar os arquivos de dados Para evitar acesso não autorizado. O EFS usa uma chave de criptografia é dinamicamente gerada para criptografar o arquivo. A chave de criptografia de arquivo (FEK) é criptografada com a chave pública do EFS e adicionada ao arquivo como um atributo EFS chamado. Campo de descriptografia de dados (DDF). Para descriptografar a FEK, você deve ter o chave particular EFS correspondente do par de chaves pública-particular. Depois que você descriptografar o FEK, você pode usar a FEK para descriptografar o arquivo.

Se o EFS chave particular for perdida, você pode usar um agente de recuperação para recuperar arquivos criptografados. Sempre que um arquivo é criptografado, o FEK também é criptografado com o Chave pública do agente de recuperação. A FEK criptografado está anexado ao arquivo com o cópia é criptografada com a chave pública EFS no campo de recuperação de dados (DRF). Se você usar a chave particular do agente de recuperação, você pode descriptografar a FEK e, em seguida, descriptografar o arquivo.

Por padrão, se um computador que está executando Microsoft Windows 2000 Professional é um membro de um grupo de trabalho ou é um membro de um domínio do Microsoft Windows NT 4.0, o administrador local que o logon inicial o computador é designado como agente de recuperação padrão. Por padrão, se um computador que esteja executando o Windows XP ou Windows 2000 é um membro de um Windows Server 2003 ou um domínio do Windows 2000, a conta interna Administrador no domínio do primeiro controlador de domínio designado como padrão Agente de recuperação.

Observe que um computador que está executando o Windows XP e é que um membro de um grupo de trabalho não tem um agente de recuperação padrão. Você tem de criar manualmente um agente de recuperação local. Para obter mais informações informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
255026O administrador local nem sempre é o agente de recuperação EFS padrão


Importante Depois de exportar private key em um disquete ou outro mídia removível, armazene o disquete ou mídia em um local seguro. Se uma pessoa obtém acesso à chave particular EFS, essa pessoa pode acessar seus dados criptografados.

Exportar a chave particular do agente de recuperação de um computador que seja membro de um grupo de trabalho

Para exportar a chave particular do agente de recuperação de um computador que está um membro do grupo de trabalho, siga estas etapas:
  1. Faça logon no computador usando o agente de recuperação local do conta de usuário.
  2. Clique em Iniciar, Executar, tipo MMCe clique em OK.
  3. Sobre o Arquivo menu, clique em Adicionar ou remover Snap-in. Em seguida, clique em Adicionarno Windows Server 2003, Windows XP ou no Windows 2000. Ou clique em OK no Windows Vista, no Windows 7, no Windows Server 2008 ou no Windows Server 2008 R2.
  4. Em Snap-ins autônomos disponíveis, clique emCertificadose clique em Adicionar.
  5. Clique em Minha conta de usuárioe clique emConcluir.
  6. Clique em Fechare clique em OK no Windows Server 2003, Windows XP ou no Windows 2000. Ou clique em OK no Windows Vista, no Windows 7, no Windows Server 2008 ou no Windows Server 2008 R2.
  7. Clique duas vezes Certificados - usuário atual, Clique duas vezes Pessoale clique duas vezesCertificados.
  8. Localize o certificado que exibe as palavras "arquivo Recovery"(sem as aspas) na O objetivo Finalidades coluna.
  9. Clique com o botão direito do certificado localizado na etapa 8, aponte para Todas as tarefase clique em Exportação. Inicia o Assistente para exportação de certificados.
  10. Clique em Avançar.
  11. Clique em Sim, exportar a chave particular, e em seguida, clique em Avançar.
  12. Clique em Personal Information Exchange ? PKCS # #12 (.PFX).

    Observação Recomendamos que você clique para selecionar também oAtivar proteção de alta segurança (requer IE 5.0, NT 4.0 SP4 ou superiorcaixa de seleção para proteger a chave privada de acesso não autorizado.

    Se Clique para selecionar o Excluir a chave particular se a exportação bem-sucedida caixa de seleção, a chave privada é removida do computador e Você não poderá descriptografar os arquivos criptografados.
  13. Clique em Avançar.
  14. Especifique uma senha e clique em Avançar.
  15. Especifique um nome de arquivo e o local onde você deseja exportar o certificado e a chave particular e clique emAvançar.

    Observação Recomendamos que você faça backup do arquivo em um disco ou uma dispositivo de mídia removível e armazenamento, em seguida, o backup em um local onde você pode Confirme se a segurança física do backup.
  16. Verifique as configurações que são exibidas em Concluindo a página do Assistente para exportação de certificados e clique Concluir.

Exportar a chave particular do agente de recuperação do domínio

O primeiro controlador de domínio em um domínio contém interno Perfil do administrador que contém o certificado público e a chave particular Agente de recuperação padrão do domínio. O certificado público é importados para a diretiva de domínio padrão e é aplicado para clientes de domínio usando Diretiva de grupo. Se o perfil do administrador ou se for o primeiro controlador de domínio não está mais disponível, a privada chave que é usada para descriptografar o criptografado arquivos é perdida e arquivos não podem ser recuperados por meio deste agente de recuperação.

Para localizar a diretiva de recuperação de dados criptografados, abra o domínio padrão Diretiva no snap-in Editor de objeto de diretiva de grupo, expanda Computador Configuração, expanda Configurações do Windows, expanda Configurações de segurançae em seguida, expanda Chave pública Políticas.

Para exportar a chave particular do agente de recuperação de domínio, Siga estas etapas:
  1. Localize o primeiro controlador de domínio foi promovido a domínio.
  2. Faça logon no controlador de domínio usando interno Conta de administrador.
  3. Clique em Iniciar, Executar, tipo MMCe clique em OK.
  4. Sobre o Arquivo menu, clique em Adicionar/Remover Snap-in. Em seguida, clique em Adicionarno Windows Server 2003 ou no Windows 2000. Ou clique em OK no Windows Server 2008 ou no Windows Server 2008 R2.
  5. Em Snap-ins autônomos disponíveis, clique emCertificadose clique em Adicionar.
  6. Clique em Minha conta de usuárioe clique emConcluir.
  7. Clique em Fechare clique em OK no Windows Server 2003 ou no Windows 2000. Ou clique em OK no Windows Server 2008 ou no Windows Server 2008 R2.
  8. Clique duas vezes Certificados - usuário atual, Clique duas vezes Pessoale clique duas vezesCertificados.
  9. Localize o certificado que exibe as palavras "arquivo Recovery"(sem as aspas) na O objetivo Finalidades coluna.
  10. Clique com o botão direito do certificado localizado na etapa 9, aponte para Todas as tarefase clique em Exportação. Inicia o Assistente para exportação de certificados.
  11. Clique em Avançar.
  12. Clique em Sim, exportar a chave particular, e em seguida, clique em Avançar.
  13. Clique em Personal Information Exchange ? PKCS # #12 (.PFX).

    Observação Recomendamos que você clique para selecionar o Ativar proteção de alta segurança (requer IE 5.0, NT 4.0 SP4 ou superiorcaixa de seleção para proteger sua chave privada contra acesso não autorizado.

    Se você clicar em Selecione o Excluir a chave particular se a exportação tiver êxitocaixa de seleção, a chave privada é removida do controlador de domínio. Como uma melhor prática, recomendamos que você use essa opção. Instalar o agente de recuperação chave privada somente em situações quando precisar recuperar arquivos. Em todos os outros horários, exportar e, em seguida, armazenar a chave particular do agente de recuperação offline para ajudar a manter a segurança.
  14. Clique em Avançar.
  15. Especifique uma senha e clique em Avançar.
  16. Especifique um nome de arquivo e o local onde você deseja exportar o certificado e a chave particular e clique emAvançar.

    Observação Recomendamos que você faça backup do arquivo em um disco ou uma dispositivo de mídia removível e armazenamento, em seguida, o backup em um local onde você pode Confirme se a segurança física do backup.
  17. Verifique as configurações que são exibidas em Concluindo a página do Assistente para exportação de certificados e clique Concluir.

Referências

Para obter mais informações sobre como determinar quem é o agente de recuperação para um arquivo criptografado, clique em seguinte número de artigo para ler o artigo na Base de dados de Conhecimento da Microsoft:
243026Usando Efsinfo. exe para determinar informações sobre arquivos criptografados
Para obter mais informações informações sobre o EFS, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
223316Práticas recomendadas para EFS
Para obter mais informações sobre o EFS no Windows Server visite o seguinte site da Microsoft:
http://www.microsoft.com/technet/Security/Guidance/cryptographyetc/EFS.mspx
Para obter mais informações sobre como trabalhar com o EFS no Windows Server 2003, visite o seguinte site da Microsoft:
http://technet2.microsoft.com/WindowsServer/en/Library/a3aa1b1f-98c9-41b3-ba05-9424e316a0781033.mspx
Para obter mais informações sobre tópicos relacionados, visite o seguinte Site da Microsoft:
http://technet2.microsoft.com/WindowsServer/en/Library/A3AA1B1F-98C9-41B3-BA05-9424E316A0781033.mspx

Propriedades

Artigo: 241201 - Última revisão: 30 de setembro de 2012 - Revisão: 3.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Ultimate
  • Windows Vista Ultimate 64-bit edition
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
Palavras-chave: 
kbwinservds kbactivedirectory kbefs kbenv kbhowtomaster w2000efs kbmt KB241201 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 241201

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com