如何备份恢复代理加密文件系统 (EFS) 私钥在 Windows 中

文章翻译 文章翻译
文章编号: 241201 - 查看本文应用于的产品
本文的发布号曾为 CHS241201
展开全部 | 关闭全部

本文内容

概要

本文介绍如何在运行 Microsoft Windows Server 2003、 Microsoft Windows 2000、 Microsoft Windows XP、 Windows Vista、 Windows 7,Windows Server 2008 或 Windows Server 2008 R2 的计算机上备份恢复代理加密文件系统 (EFS) 私钥。使用恢复代理的私钥位于本地计算机的 EFS 私钥副本丢失时恢复数据。本文包含有关如何使用证书导出向导来导出恢复代理的私钥从一台计算机是工作组的成员和从基于 Windows Server 2003 的、 基于 Windows 2000 的、 基于 Windows Server 2008 的或 Windows Server 2008 R2 基于 Windows 2000 的域控制器的信息。

简介

本文介绍如何备份恢复代理加密文件系统 (EFS) 私钥 Windows Server 2003 中、 在 Windows 2000 中、 在 Windows XP、 Windows Vista 中、 在 Windows 7 中、 Windows Server 2008 中和 Windows Server 2008 R2 中。您可以使用恢复代理的私钥位于本地计算机的 EFS 私钥副本丢失时恢复数据的情况。

您可以使用 EFS 来加密数据文件若要防止未经授权的访问。EFS 使用动态加密密钥生成的文件进行加密。使用加密文件加密密钥 (FEK)EFS 公钥和作为名为 EFS 属性添加到文件数据解密字段 (DDF)。要解密 FEK,您必须具有相应的 EFS 私钥从公钥-私钥对。检查完解密 FEK,您可以使用 FEK 来解密该文件。

如果您的 EFS私钥丢失,您可以使用恢复代理来恢复加密的文件。文件加密的每次使用也加密 FEK故障恢复代理的公钥。加密的 FEK 将附加到该文件您的 EFS 公钥数据恢复字段中使用加密的副本(DRF)。如果使用恢复代理的私钥,则可以解密 FEK,然后再对该文件进行解密。

默认情况下,如果正在运行的计算机的Microsoft Windows 2000 专业版是工作组的成员或成员Microsoft Windows NT 4.0 域中,首次登录的本地管理员计算机被指定为默认故障恢复代理。默认情况下如果正在运行 Windows 2000 或 Windows XP 的计算机是 Windows 的成员Server 2003 域或 Windows 2000 的域,内置管理员帐户在第一个域控制器的域中被指定为默认值故障恢复代理。

请注意计算机的运行 Windows XP 和这是工作组的成员不具有默认故障恢复代理。您必须手动创建本地恢复代理。 有关详细信息信息,请单击下面的文章编号,以查看在文章Microsoft 知识库:
255026本地管理员并不总是默认加密文件系统故障恢复代理


重要之后您导出到软盘或其他专用可移动媒体,将软盘或媒体存储在安全位置。如果访问到您的 EFS 私钥,该用户可以访问的人加密的数据。

从工作组成员计算机中导出恢复代理的私钥

若要从计算机中导出恢复代理的私钥工作组成员的请按照下列步骤:
  1. 登录到通过使用恢复代理的计算机的本地用户帐户。
  2. 单击开始,然后单击运行,类型 mmc然后单击确定
  3. 在上 文件 菜单上,单击 添加/删除管理单元.然后单击 添加在 Windows Server 2003、 Windows XP 或 Windows 2000 中。或者单击 确定 在 Windows Vista 中,在 Windows 7 中,Windows Server 2008 中,或在 Windows Server 2008 R2 中。
  4. 在下 可用的独立管理单元单击证书然后单击 添加.
  5. 单击 我的用户帐户然后单击完成.
  6. 单击 关闭然后单击 确定 在 Windows Server 2003、 Windows XP 或 Windows 2000 中。或者单击 确定 在 Windows Vista 中,在 Windows 7 中,Windows Server 2008 中,或在 Windows Server 2008 R2 中。
  7. 双击 证书-当前用户,双击 个人然后双击证书.
  8. 找到显示单词"文件中的证书在恢复"(不带引号) 适用于目的 列。
  9. 用鼠标右键单击您在步骤 8 中找到证书指向 所有任务然后单击 导出.证书导出向导将启动。
  10. 单击 下一步.
  11. 单击 是,导出私钥并然后单击 下一步.
  12. 单击 个人信息交换 – pkcs # #12(.PFX)。

    注意我们强烈建议您同时单击以选中启用严密保护 (要求 IE 5.0、 NT 4.0 SP4 或更高若要防止未经授权访问您的私钥的复选框。

    如果单击以选中 如果导出,删除私人密钥成功 从计算机中删除复选框,专用密钥和您不能对任何加密的文件进行解密。
  13. 单击 下一步.
  14. 指定的密码,然后单击 下一步.
  15. 指定要导出的位置和文件名证书和私钥,然后单击下一步.

    注意我们建议您备份到磁盘或文件可移动媒体设备,然后存储在一个位置,您可以在其中备份确认备份的物理安全性。
  16. 验证显示在完成设置证书导出向导页,然后单击 完成.

导出域恢复代理的私钥

在域中的第一个域控制器包含内置管理员配置文件包含公共证书和私钥有关域的默认恢复代理。公钥证书导入到默认域策略,并通过使用应用到域客户端组策略。如果管理员配置式,或者如果第一个域控制器不再可用,将专用密钥,用于解密加密文件将会丢失,并通过恢复代理将无法恢复文件。

若要找到加密数据恢复策略,请打开 $ 默认域策略在组策略对象编辑器管理单元中,展开 计算机配置展开 Windows 设置展开 安全设置然后展开 公共密钥策略.

要导出域恢复代理的私钥请按照下列步骤操作:
  1. 查找在已升级的第一个域控制器域。
  2. 使用内置的登录到域控制器上管理员帐户。
  3. 单击开始,然后单击运行,类型 mmc然后单击确定
  4. 在上 文件 菜单上,单击 添加/删除管理单元.然后单击 添加在 Windows Server 2003,或在 Windows 2000 中。或者单击 确定 在 Windows Server 2008 或 Windows Server 2008 R2 中。
  5. 在下 可用的独立管理单元单击证书然后单击 添加.
  6. 单击 我的用户帐户然后单击完成.
  7. 单击 关闭然后单击 确定 在 Windows Server 2003,或在 Windows 2000 中。或者单击 确定 在 Windows Server 2008 或 Windows Server 2008 R2 中。
  8. 双击 证书-当前用户,双击 个人然后双击证书.
  9. 找到显示单词"文件中的证书在恢复"(不带引号) 适用于目的 列。
  10. 用鼠标右键单击您在步骤 9 中找到证书指向 所有任务然后单击 导出.证书导出向导将启动。
  11. 单击 下一步.
  12. 单击 是,导出私钥并然后单击 下一步.
  13. 单击 个人信息交换 – pkcs # #12(.PFX)。

    注意我们强烈建议您单击以选中 启用加强保护 (要求 IE 5.0、 NT 4.0 SP4 或更高复选框未经授权的访问来保护您的私钥。

    如果您单击以清除选择 如果导出成功,删除密钥从域控制器中删除复选框,专用密钥。作为最佳练习中,我们建议使用此选项。安装故障恢复代理仅在情况下,当您需要使用它来恢复文件的专用密钥。在所有其他时间、 导出和存储脱机恢复代理的私钥来帮助维护其安全性。
  14. 单击 下一步.
  15. 指定的密码,然后单击 下一步.
  16. 指定要导出的位置和文件名证书和私钥,然后单击下一步.

    注意我们建议您备份到磁盘或文件可移动媒体设备,然后存储在一个位置,您可以在其中备份确认备份的物理安全性。
  17. 验证显示在完成设置证书导出向导页,然后单击 完成.

参考

有关如何使用的详细信息确定故障恢复代理的一个加密文件中,单击下列文章编号,以查看 Microsoft 知识库中相应的文章:
243026使用 Efsinfo.exe 来确定有关加密文件的信息
有关详细信息有关 EFS,单击下面的文章编号,以查看文章在 Microsoft 知识库:
223316加密文件系统的最佳做法
有关 Windows 服务器中的 EFS 的详细信息请访问下面的 Microsoft 网站:
http://www.microsoft.com/technet/security/guidance/cryptographyetc/efs.mspx
有关如何使用 Windows 服务器中的 EFS 的详细信息2003,请访问下面的 Microsoft 网站:
http://technet2.microsoft.com/windowsserver/en/library/a3aa1b1f-98c9-41b3-ba05-9424e316a0781033.mspx
有关相关主题的详细信息,请访问以下Microsoft Web 站点:
http://technet2.microsoft.com/windowsserver/en/library/A3AA1B1F-98C9-41B3-BA05-9424E316A0781033.mspx

属性

文章编号: 241201 - 最后修改: 2012年10月7日 - 修订: 3.0
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Ultimate
  • Windows Vista Ultimate 64-bit edition
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
关键字:?
kbwinservds kbactivedirectory kbefs kbenv kbhowtomaster w2000efs kbmt KB241201 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 241201
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com