如何備份修復代理加密檔案系統 (EFS) 私密金鑰在 Windows 中

文章翻譯 文章翻譯
文章編號: 241201 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本文說明如何在執行 Microsoft Windows Server 2003、 Microsoft Windows 2000,Microsoft Windows XP,Windows Vista,Windows 7,Windows Server 2008 或 Windows Server 2008 R2 的電腦上備份修復代理加密檔案系統 (EFS) 私密金鑰。若要復原資料的情況下,在本機電腦上的 EFS 私密金鑰副本遺失時使用修復代理的私密金鑰。本文包含有關如何使用 「 憑證匯出精靈 」 來匯出修復代理的私密金鑰,從工作群組成員電腦和 Windows Server 2003 為主、 以 Windows 2000 為基礎、 Windows Server 2008 為基礎或 Windows Server 2008 R2 為基礎的網域控制站的資訊。

簡介

本文說明如何備份修復代理加密檔案系統 (EFS) 私密金鑰 Windows Server 2003 中、 在 Windows 2000 中、 在 Windows XP 中、 在 Windows Vista 中、 在 Windows 7 中,Windows Server 2008 中和在 Windows Server 2008 R2。若要復原資料的情況下,在本機電腦上的 EFS 私密金鑰副本遺失時,您可以使用修復代理的私密金鑰。

您可以使用 EFS 來加密資料檔案,防止未經授權的存取。EFS 使用動態產生加密檔案的加密金鑰。檔案加密金鑰 (FEK) 使用 EFS 的公開金鑰進行加密,並以名為資料解密欄位 」 (DDF) EFS 屬性加入至檔案。如果要解密 FEK,您必須有對應 EFS 私密金鑰從公開-私密金鑰組。解密 FEK 之後,您可以使用 FEK 解密檔案。

如果您的 EFS 私密金鑰遺失,您可以使用修復代理來修復加密的檔案。檔案加密時,每次 FEK 也以修復代理的公開金鑰加密。加密的 FEK 被附加到檔案以您 EFS 公開金鑰加密資料修復欄位 (DRF) 中的複本。如果您使用修復代理的私密金鑰,您可以解密 FEK,,然後解密檔案。

根據預設,如果正在執行 Microsoft Windows 2000 專業版的電腦是工作群組的成員或成員的 Microsoft Windows NT 4.0 網域中,第一次登入電腦的本機系統管理員會指定為預設的修復代理。根據預設,如果執行 Windows XP 或 Windows 2000 的電腦是 Windows Server 2003 網域或 Windows 2000 網域的成員在網域中的第一個網域控制站上內建的系統管理員帳戶指定為預設的修復代理。

請注意正在執行 Windows XP,電腦工作群組的成員並沒有預設的修復代理。您必須以手動方式建立本機修復代理。 如需詳細資訊,按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
255026 本機系統管理員不是預設的加密檔案系統修復代理


重要私密金鑰匯出到磁片或其他卸除式媒體後,請在安全的位置中儲存的軟式磁碟機或媒體。如果有人取得您的 EFS 私密金鑰的存取,該人員可以存取您的加密資料。

從工作群組的成員的電腦匯出修復代理的私密金鑰

若要從工作群組的成員的電腦匯出修復代理的私密金鑰,請依照下列步驟執行:
  1. 使用修復代理的 localuser 帳戶登入電腦。
  2. 按一下 [開始],按一下 [執行] 型別 mmc然後按一下[確定]
  3. 在 [檔案] 功能表上按一下/RemoveSnap 增益集。然後按一下 [新增Windows Server 2003 中,在 Windows XP 中或在 Windows 2000 中。或按一下[確定]在 Windows Vista 中、 在 Windows 7 中,在 Windows Server 2008 中或在 Windows Server 2008 R2。
  4. 可用的獨立嵌入式管理單元] 下按一下 [憑證],然後按一下 [新增]。
  5. 按一下 [我的使用者帳戶],然後按一下 [完成]
  6. 按一下 [關閉],然後按一下 [確定Windows Server 2003 中,在 Windows XP 中或在 Windows 2000 中。或按一下[確定]在 Windows Vista 中、 在 Windows 7 中,在 Windows Server 2008 中或在 Windows Server 2008 R2。
  7. 按兩下 [憑證-目前的使用者,按兩下 [個人],然後按兩下憑證
  8. 找出IntendedPurposes資料行中顯示的文字"FileRecovery"(不含引號) 的憑證。
  9. 以滑鼠右鍵按一下您在步驟 8 中找到的憑證,指向 [所有工作],然後按一下 [匯出。「 憑證匯出精靈 」 會啟動。
  10. 按一下 [下一步]。
  11. 按一下 [是,匯出私密金鑰],然後按一下 [下一步]
  12. 按一下 [的個人資訊交換 – PKCS #12 (。PFX)。

    附註我們強烈建議您也按一下選取啟用加強保護 (需要 IE 5.0 NT 4.0 SP4 以上,您的私密金鑰防止未經授權的存取] 核取方塊。

    貴按一下以選取刪除私用的索引鍵如果匯出 issuccessful ] 核取方塊,移除私密金鑰從電腦 andyou 將無法解密任何加密的檔案。
  13. 按一下 [下一步]。
  14. 指定的密碼,然後按一下 [下一步]
  15. 指定檔案名稱和您想要 exportthe 憑證及私密金鑰,位置然後按一下 [下一步]

    附註我們建議您將檔案備份到磁碟或 aremovable 媒體裝置,然後將備份儲存在一個位置,canconfirm 備份的實體安全性。
  16. 請確認顯示在 [Completingthe 憑證匯出精靈] 頁面上,然後按一下 [完成]的設定。

匯出網域修復代理的私密金鑰

在網域中的第一個網域控制站包含內建的系統管理員設定檔,包含預設的修復代理的網域的公開憑證和私密金鑰。公開金鑰憑證匯入到預設網域原則,並使用群組原則套用至網域用戶端。如果系統管理員設定檔,或如果第一個網域控制站不再可用,私密金鑰用於解密加密的檔案遺失,且無法透過修復代理修復檔案。

若要找到加密資料修復原則,請開啟 「 預設網域原則群組原則物件編輯器嵌入式管理單元、 展開 [電腦設定、 展開 [ Windows 設定、 展開 [安全性設定],然後展開 [公開金鑰原則

若要匯出網域修復代理的私密金鑰,請依照下列步驟執行:
  1. 在 thedomain 中,找出第一個升級的網域控制站。
  2. 使用內建 inAdministrator 帳戶登入網域控制站。
  3. 按一下 [開始],按一下 [執行] 型別 mmc然後按一下[確定]
  4. 在 [檔案] 功能表上按一下 [新增/移除嵌入式管理單元]。然後按一下 [新增Windows 2000 或 Windows Server 2003 中。或按一下[確定]或 [Windows Server 2008 R2 Windows Server 2008 中。
  5. 可用的獨立嵌入式管理單元] 下按一下 [憑證],然後按一下 [新增]。
  6. 按一下 [我的使用者帳戶],然後按一下 [完成]
  7. 按一下 [關閉],然後按一下[確定]或 [Windows 2000 中 Windows Server 2003。或按一下[確定]或 [Windows Server 2008 R2 Windows Server 2008 中。
  8. 按兩下 [憑證-目前的使用者,按兩下 [個人],然後按兩下憑證
  9. 找出IntendedPurposes資料行中顯示的文字"FileRecovery"(不含引號) 的憑證。
  10. 以滑鼠右鍵按一下您在步驟 9 中找到的憑證,指向 [所有工作],然後按一下 [匯出。「 憑證匯出精靈 」 會啟動。
  11. 按一下 [下一步]。
  12. 按一下 [是,匯出私密金鑰],然後按一下 [下一步]
  13. 按一下 [的個人資訊交換 – PKCS #12 (。PFX)。

    附註我們強烈建議您按一下以選取Enablestrong 保護 (需要 IE 5.0 NT 4.0 SP4 以上核取方塊 toprotect 您的私密金鑰防止未經授權的存取。

    如果您按一下 [套用到選取刪除私密金鑰匯出成功時] 核取方塊,私用金鑰會移除從網域控制站。為 bestpractice,我們建議您使用這個選項。當您需要修復檔案時,請只在情況下安裝修復 agent'sprivate 金鑰。在所有的 othertimes,匯出並儲存修復代理的私密金鑰離線 helpmaintain 其安全性。
  14. 按一下 [下一步]。
  15. 指定的密碼,然後按一下 [下一步]
  16. 指定檔案名稱和您想要 exportthe 憑證及私密金鑰,位置然後按一下 [下一步]

    附註我們建議您將檔案備份到磁碟或 aremovable 媒體裝置,然後將備份儲存在一個位置,canconfirm 備份的實體安全性。
  17. 請確認顯示在 [Completingthe 憑證匯出精靈] 頁面上,然後按一下 [完成]的設定。

?考

如需有關如何判斷誰修復代理程式 」 是加密檔案的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
243026 使用 Efsinfo.exe 判斷加密檔案的相關資訊
如需有關 EFS 的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
223316 加密檔案系統的最佳作法
如需有關在 Windows Server 中的 EFS 的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/technet/security/guidance/cryptographyetc/efs.mspx
如需有關如何使用 Windows Server 2003 中的 EFS 的詳細資訊,請造訪下列 Microsoft 網站:
http://technet2.microsoft.com/windowsserver/en/library/a3aa1b1f-98c9-41b3-ba05-9424e316a0781033.mspx
如需有關相關主題的詳細資訊,請造訪下列 Microsoft 網站:
http://technet2.microsoft.com/windowsserver/en/library/A3AA1B1F-98C9-41B3-BA05-9424E316A0781033.mspx

屬性

文章編號: 241201 - 上次校閱: 2014年4月2日 - 版次: 2.0
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Windows Vista 商用入門版
  • Windows Vista 商用入門 64 位元版
  • Windows Vista 商用進階版
  • Windows Vista 商用進階 64 位元版
  • Windows Vista 旗艦版
  • Windows Vista 旗艦 64 位元版
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
關鍵字:?
kbwinservds kbactivedirectory kbefs kbenv kbhowtomaster w2000efs kbmt KB241201 KbMtzh
機器翻譯
請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。
按一下這裡查看此文章的英文版本:241201
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com