Создание резервной копии закрытого ключа EFS агента восстановления в Windows Server 2003, Windows 2000 и Windows XP

Переводы статьи Переводы статьи
Код статьи: 241201 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В статье описывается процедура создания резервной копии закрытого ключа EFS агента восстановления на компьютере под управлением Windows Server 2003, Windows 2000 или Windows XP. Этот ключ используется для восстановления данных в случае утраты копии закрытого ключа EFS, расположенной на локальном компьютере. В данной статье содержатся сведения об использовании мастера экспорта сертификатов для перемещения закрытого ключа агента восстановления из компьютера, который входит в состав рабочей группы, а также из контроллера домена, работающего под управлением Windows Server 2003 или Windows 2000.

Введение

В статье описана процедура создания резервной копии закрытого ключа EFS агента восстановления в Windows Server 2003, Windows 2000 и Windows XP. С помощью закрытого ключа можно восстанавливать данные в случае утраты копии закрытого ключа EFS, расположенной на локальном компьютере.

Файловая система EFS (Encrypting File System) служит для предотвращения несанкционированного доступа к файлам данных за счет их шифрования с помощью динамически создаваемого ключа. Ключ шифрования файла (FEK) шифруется с открытым ключом EFS и добавляется в файл в виде атрибута EFS, который носит название "поле шифрования данных" (DDF). Чтобы расшифровать ключ FEK, необходимо знать закрытый ключ EFS из пары закрытого и открытого ключей. После расшифровки ключа FEK его можно использовать для расшифровки файла.

Для расшифровки файлов в EFS в случае утраты закрытого ключа EFS используется агент восстановления. При каждом шифровании файла ключ FEK шифруется с помощью открытого ключа агента восстановления. Этот ключ FEK добавляется в файл вместе с копией ключа, зашифрованной с помощью открытого ключа EFS в поле восстановления данных (DRF). Закрытый ключ агента восстановления позволяет расшифровать ключ FEK, а следовательно, и сам файл.

На компьютерах под управлением Microsoft Windows 2000 Professional, являющихся членами рабочей группы или домена Microsoft Windows NT 4.0, статус агента восстановления, используемого по умолчанию, присваивается локальному администратору, который первым входит в систему. На компьютерах под управлением Windows XP или Windows 2000, которые входят в состав доменов Windows Server 2003 или Windows 2000, роль используемого по умолчанию агента восстановления присваивается встроенной учетной записи администратора на первом контроллере домена.

Следует иметь в виду, что на компьютере под управлением Windows XP, входящем в состав рабочей группы, отсутствует агент восстановления, используемый по умолчанию. Локальный агент восстановления должен создаваться вручную. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
255026 Локальный администратор не всегда является агентом восстановления EFS, используемым по умолчанию (Эта ссылка может указывать на содержимое полностью или частично на английском языке)


Внимание! Храните дискету или другой съемный носитель с копией закрытого ключа в безопасном месте. С помощью закрытого ключа злоумышленник может получить доступ к зашифрованным данным.

Экспорт закрытого ключа агента восстановления из компьютера, который входит в состав рабочей группы

Чтобы экспортировать закрытый ключ агента восстановления из компьютера, который входит в состав рабочей группы, выполните следующие действия:
  1. Войдите в систему с помощью локальной учетной записи агента восстановления.
  2. Выберите в меню Пуск пункт Выполнить, введите команду mmc и нажмите кнопку .
  3. В меню Файл выберите команду Добавить или удалить оснастку и нажмите кнопку Добавить.
  4. В окне Доступные изолированные оснастки выберите Сертификаты и нажмите кнопку Добавить.
  5. Выберите режим управления для моей учетной записи пользователя и нажмите кнопку Готово.
  6. Нажмите кнопку Закрыть, а затем кнопку ОК.
  7. Дважды щелкните раздел Сертификаты – текущий пользователь, а затем дважды щелкните разделы Личные и Сертификаты.
  8. Выберите сертификат, для которого в столбце Назначения указано "Восстановление файлов" (без кавычек).
  9. Щелкните правой кнопкой мыши сертификат, который был выбран на шаге 8, выберите команду Все задачи и нажмите кнопку Экспорт. Запустится мастер экспорта сертификатов.
  10. Нажмите кнопку Далее.
  11. Убедитесь, что установлен переключатель Да, экспортировать закрытый ключ, и нажмите кнопку Далее.
  12. Щелкните Файл обмена личной информацией – PKCS #12 (.PFX).

    Примечание. Настоятельно рекомендуется также установить флажок Включить усиленную защиту (требуется IE 5.0, NT 4.0 SP или выше) для защиты закрытого ключа от несанкционированного доступа.

    Если установлен флажок Удалить закрытый ключ после успешного экспорта, закрытый ключ будет удален с компьютера, и вы не сможете расшифровывать никакие зашифрованные файлы.
  13. Нажмите кнопку Далее.
  14. Введите пароль и нажмите кнопку Далее.
  15. Укажите имя файла, в котором будут сохранены сертификат и закрытый ключ, а также путь к нему, и нажмите кнопку Далее.

    Примечание. Рекомендуется создать резервную копию файла на диске или съемном носителе и хранить их в безопасном месте.
  16. На странице "Завершение работы мастера экспорта сертификатов" проверьте выбранные параметры и нажмите кнопку Готово.

Экспорт закрытого ключа агента восстановления домена

Первый контроллер домена содержит встроенный профиль администратора с открытым сертификатом и закрытым ключом для используемого по умолчанию агента восстановления в домене. Открытый сертификат импортируется в политику по умолчанию для домена и с помощью групповой политики применяется к клиентам домена. Если профиль администратора или первый контроллер домена более недоступны, закрытый ключ, который используется для расшифровки зашифрованных данных, будет утрачен, и восстановление файлов с помощью агента восстановления будет невозможным.

Чтобы перейти к политике восстановления шифрованных данных, запустите оснастку "Редактор объектов групповой политики", выберите пункт "Политика по умолчанию для домена" и последовательно разверните элементы Конфигурация компьютера, Конфигурация Windows, Параметры безопасности и Политики открытого ключа.

Чтобы экспортировать закрытый ключ агента восстановления домена, выполните следующие действия:
  1. Найдите первый контроллер домена, который был повышен до уровня домена.
  2. Войдите в систему с помощью встроенной учетной записи администратора.
  3. Выберите в меню Пуск пункт Выполнить, введите команду mmc и нажмите кнопку .
  4. В меню Файл выберите команду Добавить или удалить оснастку и нажмите кнопку Добавить.
  5. В окне Доступные изолированные оснастки выберите Сертификаты и нажмите кнопку Добавить.
  6. Выберите режим управления для моей учетной записи пользователя и нажмите кнопку Готово.
  7. Нажмите кнопку Закрыть, а затем кнопку ОК.
  8. Дважды щелкните раздел Сертификаты – текущий пользователь, а затем дважды щелкните разделы Личные и Сертификаты.
  9. Выберите сертификат, для которого в столбце Назначения указано "Восстановление файлов" (без кавычек).
  10. Щелкните правой кнопкой мыши сертификат, который был выбран на шаге 9, выберите команду Все задачи и нажмите кнопку Экспорт. Запустится мастер экспорта сертификатов.
  11. Нажмите кнопку Далее.
  12. Убедитесь, что установлен переключатель Да, экспортировать закрытый ключ, и нажмите кнопку Далее.
  13. Щелкните Файл обмена личной информацией – PKCS #12 (.PFX).

    Примечание. Настоятельно рекомендуется также установить флажок Включить усиленную защиту (требуется IE 5.0, NT 4.0 SP или выше) для защиты закрытого ключа от несанкционированного доступа.

    Если установлен флажок Удалить закрытый ключ после успешного экспорта, закрытый ключ будет удален из контроллера домена. Использование этой функции рекомендуется в большинстве случаев. Установка закрытого ключа агента восстановления необходима исключительно в тех случаях, когда требуется выполнить восстановление файлов. Во всех остальных случаях экспортируйте и сохраните закрытый ключ агента восстановления в недоступном месте для обеспечения безопасности.
  14. Нажмите кнопку Далее.
  15. Введите пароль и нажмите кнопку Далее.
  16. Укажите имя файла, в котором будут сохранены сертификат и закрытый ключ, а также путь к нему, и нажмите кнопку Далее.

    Примечание. Рекомендуется создать резервную копию файла на диске или съемном носителе и хранить их в безопасном месте.
  17. На странице "Завершение работы мастера экспорта сертификатов" проверьте выбранные параметры и нажмите кнопку Готово.

Ссылки

Дополнительные сведения об определении агента восстановления для зашифрованного файла см. в следующей статье базы знаний Майкрософт:
243026 Использование средства Efsinfo.exe для получения сведений о зашифрованных файлах (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Дополнительные сведения о файловой системе EFS см. в следующей статье базы знаний Майкрософт:
223316 Рекомендации по использованию файловой системы EFS
Дополнительные сведения о файловой системе EFS в Windows Server см. на веб-узле Майкрософт по адресу:
http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/cryptfs.mspx
Дополнительные сведения о работе с файловой системой EFS в Windows Server 2003 см. на веб-узле Майкрософт по адресу:
http://technet2.microsoft.com/windowsserver/en/library/A3AA1B1F-98C9-41B3-BA05-9424E316A0781033.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке)
Дополнительные сведения по этой теме см. на веб-узле корпорации Майкрософт по следующему адресу:
http://technet2.microsoft.com/windowsserver/en/library/A3AA1B1F-98C9-41B3-BA05-9424E316A0781033.mspx
(эта ссылка может указывать на содержимое полностью или частично на английском языке)

Свойства

Код статьи: 241201 - Последний отзыв: 21 февраля 2007 г. - Revision: 11.2
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Операционная система Microsoft Windows 2000 Professional
Ключевые слова: 
kbhowtomaster kbactivedirectory kbenv kbefs kbwinservds KB241201

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com