Резервное копирование закрытого ключа шифруемой файловой системы (EFS) агента восстановления в Windows

  • Статья

В этой статье описывается резервное копирование закрытого ключа агента восстановления шифруемой файловой системы (EFS) на компьютере.

Применимо к: Windows Server 7 с пакетом обновления 1, Windows Server 2012 R2
Исходный номер базы знаний: 241201

Сводка

Используйте закрытый ключ агента восстановления для восстановления данных в ситуациях, когда копия закрытого ключа EFS, расположенная на локальном компьютере, потеряна. В этой статье содержатся сведения об использовании мастера экспорта сертификатов для экспорта закрытого ключа агента восстановления с компьютера, входящего в рабочую группу, а также с контроллера домена под управлением Windows Server 2003, Windows 2000, Windows Server 2008 или Windows Server 2008 R2.

Введение

В этой статье описывается, как создать резервную копию закрытого ключа шифруемой файловой системы (EFS) агента восстановления в Windows Server 2003, Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2008 и Windows Server 2008 R2. Закрытый ключ агента восстановления можно использовать для восстановления данных в ситуациях, когда копия закрытого ключа EFS, расположенная на локальном компьютере, будет потеряна.

EfS можно использовать для шифрования файлов данных, чтобы предотвратить несанкционированный доступ. EFS использует ключ шифрования, который динамически создается для шифрования файла. Ключ шифрования файлов (FEK) шифруется с помощью открытого ключа EFS и добавляется в файл в виде атрибута EFS с именем Data Decryption Field (DDF). Для расшифровки FEK необходимо иметь соответствующий закрытый ключ EFS из пары открытого и закрытого ключей. После расшифровки FEK можно использовать FEK для расшифровки файла.

Если закрытый ключ EFS потерян, можно использовать агент восстановления для восстановления зашифрованных файлов. При каждом шифровании файла FEK также шифруется с помощью открытого ключа агента восстановления. Зашифрованный FEK присоединяется к файлу с копией, зашифрованной с помощью открытого ключа EFS в поле восстановления данных (DRF). Если вы используете закрытый ключ агента восстановления, можно расшифровать FEK, а затем расшифровать файл.

По умолчанию, если компьютер под управлением Microsoft Windows 2000 Professional входит в рабочую группу или является членом домена Microsoft Windows NT 4.0, локальный администратор, который сначала входит в систему, назначается агентом восстановления по умолчанию. По умолчанию, если компьютер под управлением Windows XP или Windows 2000 является членом домена Windows Server 2003 или windows 2000, встроенная учетная запись администратора на первом контроллере домена в домене назначается агентом восстановления по умолчанию.

Компьютер под управлением Windows XP и член рабочей группы не имеет агента восстановления по умолчанию. Необходимо вручную создать локальный агент восстановления.

Важно!

После экспорта закрытого ключа на гибкий диск или другой съемный носитель сохраните диск или носитель в безопасном расположении. Если кто-то получит доступ к закрытому ключу EFS, он может получить доступ к зашифрованным данным.

Экспорт закрытого ключа агента восстановления с компьютера, который является членом рабочей группы

Чтобы экспортировать закрытый ключ агента восстановления с компьютера, который является членом рабочей группы, выполните следующие действия.

  1. Войдите на компьютер с помощью локальной учетной записи пользователя агента восстановления.

  2. Нажмите кнопку Пуск, выберите пункт Выполнить, введите mmcи нажмите кнопку ОК.

  3. В меню Файл щелкните Добавить или удалить оснастку. Затем нажмите кнопку Добавить в Windows Server 2003, в Windows XP или Windows 2000. Или нажмите кнопку ОК в Windows Vista, Windows 7, Windows Server 2008 или Windows Server 2008 R2.

  4. В разделе Доступные автономные оснастки щелкните Сертификаты, а затем нажмите кнопку Добавить.

  5. Щелкните Моя учетная запись пользователя, а затем нажмите кнопку Готово.

  6. Нажмите кнопку Закрыть и нажмите кнопку ОК в Windows Server 2003, Windows XP или Windows 2000. Или нажмите кнопку ОК в Windows Vista, Windows 7, Windows Server 2008 или Windows Server 2008 R2.

  7. Дважды щелкните Сертификаты — текущий пользователь, дважды щелкните Личный, а затем дважды щелкните Сертификаты.

  8. Найдите сертификат, в котором отображаются слова "Восстановление файлов" (без кавычек) в столбце "Предполагаемые цели ".

  9. Щелкните правой кнопкой мыши сертификат, который вы указали на шаге 8, наведите указатель на пункт Все задачи и выберите пункт Экспорт. Запустится мастер экспорта сертификатов.

  10. Нажмите кнопку Далее.

  11. Нажмите кнопку Да, экспортируйте закрытый ключ, а затем нажмите кнопку Далее.

  12. Щелкните Обмен личной информацией — PKCS #12 (. PFX).

    Примечание.

    Настоятельно рекомендуется также щелкнуть флажок Включить строжную защиту (требуется IE 5.0, NT 4.0 с пакетом обновления 4 (SP4) или более поздней версии проверка, чтобы защитить закрытый ключ от несанкционированного доступа.

    Если щелкнуть флажок Удалить закрытый ключ, если экспорт успешно проверка, закрытый ключ будет удален с компьютера и вы не сможете расшифровать зашифрованные файлы.

  13. Нажмите кнопку Далее.

  14. Укажите пароль и нажмите кнопку Далее.

  15. Укажите имя файла и расположение для экспорта сертификата и закрытого ключа, а затем нажмите кнопку Далее.

    Примечание.

    Рекомендуется создать резервную копию файла на диск или на съемный носитель, а затем сохранить резервную копию в месте, где можно подтвердить физическую безопасность резервной копии.

  16. Проверьте параметры, отображаемые на странице Завершение работы мастера экспорта сертификатов, и нажмите кнопку Готово.

Экспорт закрытого ключа агента восстановления домена

Первый контроллер домена в домене содержит встроенный профиль администратора, содержащий открытый сертификат и закрытый ключ для агента восстановления домена по умолчанию. Открытый сертификат импортируется в политику домена по умолчанию и применяется к клиентам домена с помощью групповая политика. Если профиль администратора или первый контроллер домена больше недоступен, закрытый ключ, используемый для расшифровки зашифрованных файлов, теряется и файлы невозможно восстановить с помощью этого агента восстановления.

Чтобы найти политику восстановления зашифрованных данных, откройте политику домена по умолчанию в оснастке групповая политика объектных Редактор, разверните узел Конфигурация компьютера, Параметры Windows, Параметры безопасности и Политики открытых ключей.

Чтобы экспортировать закрытый ключ агента восстановления домена, выполните следующие действия.

  1. Найдите первый контроллер домена, который был повышен в домене.

  2. Войдите в контроллер домена с помощью встроенной учетной записи администратора.

  3. Нажмите кнопку Пуск, выберите пункт Выполнить, введите mmcи нажмите кнопку ОК.

  4. В меню Файл щелкните Добавить или удалить оснастку. Затем нажмите кнопку Добавить в Windows Server 2003 или в Windows 2000. Или нажмите кнопку ОК в Windows Server 2008 или Windows Server 2008 R2.

  5. В разделе Доступные автономные оснастки щелкните Сертификаты, а затем нажмите кнопку Добавить.

  6. Щелкните Моя учетная запись пользователя, а затем нажмите кнопку Готово.

  7. Нажмите кнопку Закрыть, а затем нажмите кнопку ОК в Windows Server 2003 или Windows 2000. Или нажмите кнопку ОК в Windows Server 2008 или Windows Server 2008 R2.

  8. Дважды щелкните Сертификаты — текущий пользователь, дважды щелкните Личный, а затем дважды щелкните Сертификаты.

  9. Найдите сертификат, в котором отображаются слова "Восстановление файлов" (без кавычек) в столбце "Предполагаемые цели ".

  10. Щелкните правой кнопкой мыши сертификат, который вы указали на шаге 9, наведите указатель на пункт Все задачи и выберите пункт Экспорт. Запустится мастер экспорта сертификатов.

  11. Нажмите кнопку Далее.

  12. Нажмите кнопку Да, экспортируйте закрытый ключ, а затем нажмите кнопку Далее.

  13. Щелкните Обмен личной информацией — PKCS #12 (. PFX).

    Примечание.

    Настоятельно рекомендуется выбрать флажок Включить строжную защиту (требуется IE 5.0, NT 4.0 с пакетом обновления 4 (SP4) или более поздней версии проверка, чтобы защитить закрытый ключ от несанкционированного доступа.

    Если щелкнуть флажок Удалить закрытый ключ, если экспорт успешно проверка, закрытый ключ будет удален из контроллера домена. Рекомендуется использовать этот параметр. Устанавливайте закрытый ключ агента восстановления только в тех случаях, когда он необходим для восстановления файлов. Во всех остальных случаях экспортируйте и сохраните закрытый ключ агента восстановления в автономном режиме, чтобы обеспечить безопасность.

  14. Нажмите кнопку Далее.

  15. Укажите пароль и нажмите кнопку Далее.

  16. Укажите имя файла и расположение для экспорта сертификата и закрытого ключа, а затем нажмите кнопку Далее.

    Примечание.

    Рекомендуется создать резервную копию файла на диск или на съемный носитель, а затем сохранить резервную копию в месте, где можно подтвердить физическую безопасность резервной копии.

  17. Проверьте параметры, отображаемые на странице Завершение работы мастера экспорта сертификатов, и нажмите кнопку Готово.