Suporte de autoridade de certificação de terceiros para encrypting file system

Traduções deste artigo Traduções deste artigo
ID do artigo: 273856 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo descreve como o Microsoft Windows 2000 oferece suporte a autoridades de certificação de terceiros (CAs) que emitem certificados EFS (sistema de arquivos) e certificados de agente de recuperação EFS.

Visão geral

Este artigo está dividido em duas seções a seguir:
  • Uma breve explicação do EFS e seu uso da infra-estrutura chave pública.
  • A maneira na qual uma CA de terceiros é permitida para emitir certificados para uso pelo EFS para criptografia de arquivo e recuperação.

Mais Informações

Visão geral sobre o EFS e a infra-estrutura pública de chave

O EFS é a solução no Windows 2000 para criptografar arquivos em volumes do sistema de arquivos NTFS. EFS usa o recurso de arquitetura de criptografia e o recurso Public Key Infrastructure no Windows 2000.

Inscrição de certificado

Durante uma operação de criptografia, EFS usa o certificado EFS atual. Se uma não estiver disponível, o EFS pesquisará seu armazenamento pessoal para um certificado apropriado. Se o EFS não é possível localizar um certificado atual, ele registra um certificado EFS. Uma CA de 2000 on-line do Windows que suporta o modelo EFS pode emitir um certificado EFS. Um certificado auto-assinado é gerado pelo EFS se ele não é possível registrar um certificado com uma certificação on-line do Windows 2000 ou se você não estiver usando uma conta de domínio.

Depois de EFS escolhe um certificado, você não pode alterá-lo através da interface do usuário de sistema. Além disso, o EFS não automaticamente alterna certificados quando uma melhor um estiver disponível (por exemplo, quando o EFS usa seu próprio certificado auto-assinado e registrar um certificado EFS de um certificação on-line do Windows 2000).

Há duas maneiras de alterar o certificado EFS usa:
  • Para definir o novo certificado para o EFS, use SetUserFileEncryptionKey API, que está documentado Microsoft Developer Network (MSDN). EFS inicia usando o novo certificado imediatamente.
  • Altere o hash do certificado armazenado na seguinte chave do Registro para o campo impressão digital no novo certificado:
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current Version\EFS\CurrentKeys

    Valor: CertificateHash
    Tipo: REG_BINARY
    Dados: Impressão digital do novo certificado
EFS espera que as chaves para o certificado EFS para ser armazenado no provedor de serviços Microsoft Rivest-Shamir-Adelman Base (RSABase) criptografia (CSP). O atributo de Informações de chave no certificado deve apontar para esse CSP. EFS procura no armazenamento de certificados MY , que contém certificados e chaves particulares.

Arquivo de dados de criptografia e descriptografia

O EFS usa uma chave simétrica gerado aleatoriamente para criptografar dados de arquivo. Uma nova chave é gerada para cada arquivo é criptografado. O algoritmo de criptografia de dados que é usado é DESX (uma versão mais forte do Data Encryption Standard). Outros algoritmos não podem ser configurados.

A chave de criptografia simétrica, em seguida, é criptografada usando a chave pública derivada do certificado EFS. Os dados criptografados resultantes, seu nome para exibição e um hash do certificado são armazenados em um fluxo nomeado no arquivo que contém metadados do EFS. Quando o EFS descriptografa um arquivo, ele usa sua chave particular para descriptografar a chave de criptografia simétrica. O EFS, em seguida, usa a chave simétrica para descriptografar os dados.

Para criptografar um arquivo em um servidor de rede, o EFS carrega o perfil na rede se você tiver perfis móveis. Se você não tiver os perfis móveis, o EFS espera encontrar seu certificado e as chaves no servidor e tenta gerar um perfil não existe.

Quando um arquivo do EFS é copiado em uma rede, ele é descriptografado e enviado pela rede em texto não criptografado. Para proteger seus arquivos enquanto eles estiverem em trânsito na rede, use segurança IP.

Renovação do certificado EFS

Quando o certificado EFS expira, o EFS executa renovação, registrando-se para um novo certificado com um novo par de chaves. EFS, si, não renovar o certificado atual quando ele expira.

Se você renovar o certificado EFS e arquivar o certificado antigo antes de expirar, o EFS continuará a usar o certificado antigo até que ela expire. EFS, em seguida, passa o mesmo processo de registro para localizar um novo certificado no armazenamento de ou para adquirir um novo se ele não é possível localizar um certificado válido. Ao procurar um novo certificado usar, EFS pode buscar um certificado que está diferente daquele que você adquiriu por meio de renovação, se houver mais de um certificado de EFS no armazenamento.

Depois que o EFS iniciar usar um novo certificado, se trata de um arquivo que foi anteriormente criptografado com um certificado diferente, o EFS regenera os metadados para usar o novo certificado.

Verificação de revogação

EFS não executa qualquer verificação de revogação.

Agente de recuperação EFS

Você pode usar agentes de recuperação EFS para descriptografar um arquivo criptografado se o usuário que criptografou o arquivo deixa sua empresa. Você pode registrar para certificados de agente de recuperação EFS usando o modelo de Recuperação EFS no Windows 2000 CAs.

Você pode definir certificados de agente de recuperação EFS na diretiva de domínio global para todos os usuários no domínio. Você também pode definir esses certificados para todos os usuários no computador local na diretiva do computador local. Se ambas as diretivas estiverem presentes, a diretiva global tem precedência.

Para abrir o Assistente para adicionar agente de recuperação, clique em Diretiva de grupo , clique em Diretivas de chave pública e, em seguida, clique em Agentes de recuperação de dados criptografados . Este assistente o ajuda a designar os certificados de agente de recuperação. Você pode clique em Procurar pastas e, em seguida, clique no arquivo certificado para importá-lo diretamente como o certificado de agente de recuperação. O certificado for importado com a notação de agente de recuperação de usuário desconhecido . Isso ocorre para qualquer certificado de autoridade de certificação de terceiros que você designar como um certificado de agente de recuperação.

Se você publicar o certificado no diretório para um usuário (o que ocorre se você inscrever-se contra uma CA de 2000 Windows online para o certificado de agente de recuperação EFS para o usuário), você pode usar o Assistente para importar diretamente o usuário como um agente de recuperação. Procurar o diretório e selecione o usuário que você deseja designar como o agente de recuperação.

Durante a criptografia de arquivo, a chave de criptografia simétrica também é criptografada à chave pública do agente de recuperação e as informações são armazenadas no fluxo nomeado que contém metadados do EFS. Para recuperar um arquivo criptografado, o EFS usa a chave particular do agente de recuperação para descriptografar a chave de criptografia simétrica, o EFS e usa para descriptografar os dados.

Regras para a CA de terceiros para criar e usar EFS válido e agente de recuperação EFS certificados

Certificados EFS

As regras para formar o certificado são:
  • A extensão de uso de chave no certificado deve conter codificação de chave e codificação de dados.
  • A extensão de uso avançado de chave no certificado deve conter o identificador de sistema de arquivos com criptografia (1.3.6.1.4.1.311.10.3.4).
  • Durante o uso, você deve armazenar as chaves no Microsoft RSABase CSP.
  • A propriedade de Informações de chave no certificado deve apontar para essa chave.
Para conter os valores corretos KeyUsage e EnhancedKeyUsage , talvez seja necessário personalizar as autoridades de certificação de terceiros para emitir certificados que contêm os valores corretos.

Há duas maneiras para registrar os certificados EFS usando os produtos de terceiros:
  • A CA de terceiros pode fornecer um registro é independente da arquitetura de criptografia da Microsoft. Nesse caso, o terceiros deve exportar o certificado e a chave particular associada ao certificado, em um arquivo que pode ser importado para seu perfil usando o snap-in do MMC do Gerenciador de certificados. As chaves são importadas para o CSP de RSABase Microsoft e a propriedade de Informações de chave é definida para esse CSP.
  • A CA de terceiros pode fornecer um procedimento de inscrição baseada na Web que usa o controle XEnroll Microsoft para clientes da Microsoft para registrar certificados. Usando esse método de registro, as chaves são armazenadas automaticamente em Microsoft RSABase CSP e a propriedade de Informações de chave é definida.
Após você registrar um certificado, ou após renovar um certificado, você deve informar EFS sobre a alteração se ele usou qualquer certificado anteriormente. Você precisa configurar uma chamada para SetUserFileEncryptionKey que aponte para o novo certificado. Se o certificado é criado antes de qualquer operação de EFS, não é necessário configurar uma chamada SetUserFileEncryptionKey . EFS localiza o novo certificado no armazenamento de certificados pessoais e define como o certificado padrão.

Certificados de recuperação EFS

As regras para formar o certificado são:
  • Uso de teclas = codificação de chave
  • EKU = arquivo Recovery(1.3.6.1.4.1.311.10.3.4.1)
Conforme mencionado na seção "Certificado EFS", a CA de terceiros pode fornecer clientes da Microsoft com páginas de registro da Web para registrar os certificados ou a CA de terceiros pode exportar o certificado e a chave particular associada em um arquivo que pode ser importado para um cliente Microsoft.

Depois de criado, o certificado pode ser importado usando o Assistente de agente de recuperação.

Durante a recuperação de arquivo, o certificado de recuperação de arquivos e a chave particular devem ser importados para o sistema que é usado para recuperar arquivos de acordo com as diretrizes a seguir:
  • As chaves devem ser armazenadas no Microsoft RSABase CSP.
  • A propriedade de Informações de chave no certificado deve apontar para essa chave no CSP RSABase. O nome do provedor deve ser "Microsoft Base Cryptographic Provider v1.0."
Você pode usar Importar de certificados no snap in MMC de certificados para importar o certificado e a chave particular. importante : as regras que são descritas neste artigo foram validadas pela Microsoft, configurando um produto de autoridade de certificação de terceiros, à esquerda para emitir o EFS e agente de recuperação EFS certificados. O EFS testar equipe testado criptografia e recuperação usando esses certificados.

Propriedades

ID do artigo: 273856 - Última revisão: quarta-feira, 28 de fevereiro de 2007 - Revisão: 5.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Palavras-chave: 
kbmt kbarttypeinf kbefs kbfile kbinfo KB273856 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 273856

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com