Suporte de autoridade de certificação de terceiros para encriptar o sistema de ficheiros

Traduções de Artigos Traduções de Artigos
Artigo: 273856 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo descreve como o Microsoft Windows 2000 suporta autoridades de certificação de terceiros (AC) que emitem certificados de encriptação de ficheiros (EFS) e certificados de agente de recuperação EFS.

Descrição geral

Este artigo está dividido em duas secções seguintes:
  • Uma breve explicação de EFS e respectiva utilização da infra-estrutura de chave públicas.
  • A forma em que uma AC de terceiros é permitida para emitir certificados para utilização pelo EFS para encriptação de ficheiros e recuperação.

Mais Informação

Descrição geral de EFS e a infra-estrutura chave públicas

O EFS é a solução no Windows 2000 para encriptar ficheiros em volumes de sistema de ficheiros NTFS. EFS utiliza a funcionalidade de arquitectura de criptografia e Public Key Infrastructure funcionalidade no Windows 2000.

Inscrição para certificados

Durante uma operação de encriptação, o EFS utiliza o certificado EFS actual. Se um não estiver disponível, o EFS procura o arquivo pessoal para um certificado adequado. Se o EFS não é possível localizar um certificado actual, se é para um certificado EFS. Um online AC do Windows 2000 que suporta o modelo de EFS pode emitir um certificado EFS. Um certificado auto-assinado é gerado pelo EFS se não é possível inscrever um certificado com uma AC online do Windows 2000 ou se não estiver a utilizar uma conta de domínio.

Depois de EFS escolher um certificado, não é possível alterá-lo através da interface utilizador do sistema. Além disso, o EFS não automaticamente muda certificados quando uma melhor fique disponível (tal como inscrever-quando o EFS utiliza próprio certificado auto-assinado e se para um EFS certificado a partir uma AC online do Windows 2000).

Existem duas formas de alterar o certificado EFS utiliza:
  • Para definir o novo certificado para o EFS, utilize SetUserFileEncryptionKey API, que é documentada pela Microsoft Developer Network (MSDN). O EFS é iniciado com o novo certificado imediatamente.
  • Altere o hash do certificado armazenado na seguinte chave de registo para o campo thumbprint o novo certificado:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\Current Version\EFS\CurrentKeys

    Valor: CertificateHash
    Tipo: REG_BINARY
    Dados: Thumbprint do certificado novo
EFS espera que as chaves para o certificado EFS para serem armazenados no conhecimento de encriptação Rivest-Shamir-Adelman (RSABase) criptográfico serviços Provider (CSP). O atributo de Informações de chave no certificado deve apontar para este CSP. Procura EFS no arquivo de certificados MY , que contém certificados e chaves privadas.

Ficheiro de dados de encriptação e desencriptação

O EFS utiliza uma chave simétrica gerado aleatoriamente para encriptar dados do ficheiro. Uma nova chave é gerada para cada ficheiro que está encriptado. O algoritmo de encriptação de dados que é utilizado é DESX (uma versão mais forte do Data Encryption Standard). Podem ser configurados sem outros algoritmos.

A chave de encriptação simétrica, em seguida, é encriptada utilizando a chave pública derivada do certificado EFS. Os dados encriptados resultantes, o nome a apresentar e um hash do certificado é armazenados numa sequência com nome no ficheiro que contém metadados de EFS. Quando o EFS desencripta um ficheiro, utiliza a chave privada para desencriptar a chave de encriptação simétrica. O EFS utiliza a chave simétrica para desencriptar os dados.

Para encriptar um ficheiro num servidor de rede, o EFS carrega o perfil na rede se tiver perfis guardados no servidor. Se não tiver perfis guardados no servidor, o EFS espera encontrar o certificado e chaves no servidor e tenta gerar existe um perfil.

Quando um ficheiro de EFS é copiado através de uma rede, é desencriptada e enviada pela rede em texto simples. Para proteger os ficheiros enquanto estiverem em trânsito na rede, utilize a segurança IP.

A renovação do certificado EFS

Quando o certificado EFS expira, EFS efectua renovação por inscrição para um novo certificado com um novo par de chaves. EFS, não renovar o certificado actual quando expirar.

Se renovar o certificado EFS e arquivar o antigo certificado antes de expirar, o EFS continua a utilizar o antigo certificado até expirar. Em seguida, vai EFS através do mesmo processo de inscrição para localizar um novo certificado no arquivo de ou para adquirir uma nova se não conseguir localizar um certificado válido. Ao procurar um novo certificado utilizar, o EFS pode obter um certificado diferente daquele que adquirido através de renovação, se existir mais do que um certificado EFS no arquivo de.

Depois de iniciar o EFS utilizar um novo certificado, se trata de um ficheiro que foi anteriormente encriptado com um certificado diferente, o EFS regenera os metadados para utilizar o novo certificado.

Verificação de revogação

O EFS não efectua qualquer verificação de revogação.

Agente de recuperação EFS

Pode utilizar agentes de recuperação do EFS para desencriptar um ficheiro encriptado se o utilizador que encriptou o ficheiro deixa a empresa. Pode inscrever certificados de agente de recuperação EFS utilizando o modelo Recuperação de EFS na AC do Windows 2000.

Pode definir certificados de agente de recuperação EFS na política de domínio globais para todos os utilizadores no domínio. Também pode definir estes certificados para todos os utilizadores no computador local na política de computador local. Se ambas as políticas estiverem presentes, a política global tem prioridade.

Para abrir o Assistente para adicionar agente de recuperação, clique em Política de grupo , clique em Políticas de chaves públicas e em seguida, clique em Agentes de recuperação de dados encriptados . Este assistente ajuda a designar os certificados de agente de recuperação. Pode clique em Procurar em pastas e, em seguida, clique no ficheiro certificado para importá-lo directamente do certificado de agente de recuperação. O certificado é importado com a notação de agente de recuperação de utilizador desconhecido . Isto ocorre para qualquer certificado de AC outros fabricantes que designou como um certificado de agente de recuperação.

Se publicar o certificado no directório para um utilizador (o que acontece se inscrever contra um online AC do Windows 2000 do certificado de agente de recuperação EFS do utilizador), pode utilizar o Assistente para importar directamente ao utilizador como um agente de recuperação. Procurar o directório e seleccione o utilizador que pretende designar como agente de recuperação.

Durante a encriptação de ficheiros, a chave de encriptação simétrica também é encriptada o agente de recuperação de chave pública e as informações são armazenadas na sequência nomeada que contém metadados de EFS. Em seguida para recuperar um ficheiro encriptado, o EFS utiliza a chave privada do agente de recuperação para desencriptar a chave encriptação simétrica, o EFS, utiliza para desencriptar os dados.

Regras para a AC de terceiros para criar e utilizar o EFS válido e agente de recuperação EFS certificados

Certificados EFS

As regras para formar o certificado são:
  • A extensão de utilização de chaves no certificado deve conter cifragem de chaves e Cifração de dados.
  • A extensão de utilização avançada de chaves no certificado tem de conter o identificador de sistema de ficheiros (1.3.6.1.4.1.311.10.3.4) do sistema de encriptação de ficheiros.
  • Durante a utilização, tem de guardar as chaves no CSP de RSABase Microsoft.
  • A propriedade de Informações de chave no certificado deve apontar para esta chave.
Para conter os valores correctos KeyUsage e EnhancedKeyUsage , poderá ter de personalizar as autoridades de certificação de terceiros para emitir certificados que contêm os valores correctos.

Existem duas formas de inscrição de certificados EFS utilizando produtos de outros fabricantes:
  • A AC de outros fabricantes pode fornecer uma inscrição é independente da arquitectura de criptografia Microsoft. Nesse caso, o terceiros tem de exportar o certificado e a chave privada que está associada com o certificado num ficheiro que pode ser importado para o seu perfil utilizando o snap-in MMC do Gestor de certificados. As chaves são importadas para o CSP de RSABase Microsoft e a propriedade de Informações de chave está definida para este CSP.
  • A AC de outros fabricantes pode fornecer um procedimento de inscrição baseada na Web que utiliza o controlo Microsoft XEnroll para clientes da Microsoft para inscrever certificados. Utilizar este método de inscrição, as chaves são armazenadas automaticamente no CSP RSABase do Microsoft e a propriedade de Informações de chave está definida.
Depois de inscrever um certificado ou depois de renovar um certificado, tem de informar EFS sobre a alteração se tiver utilizado qualquer certificado anteriormente. Tem de definir uma chamada para SetUserFileEncryptionKey aponta com o novo certificado. Se o certificado é criado antes de qualquer operação de EFS, não é necessário configurar uma chamada SetUserFileEncryptionKey . EFS localiza o novo certificado no arquivo de certificados pessoais e define como o certificado predefinido.

Certificados de recuperação EFS

As regras para formar o certificado são:
  • Utilização de chaves = cifragem de chaves
  • EKU = ficheiro Recovery(1.3.6.1.4.1.311.10.3.4.1)
Como mencionado na secção "Certificado EFS", a AC de outros fabricantes pode fornecer clientes da Microsoft com páginas de inscrição na Web de inscrição de certificados ou a AC de outros fabricantes pode exportar o certificado e a chave privada associada para um ficheiro que pode ser importado para um cliente da Microsoft.

Depois de criada, o certificado pode ser importado utilizando o Assistente de agente de recuperação.

Durante a recuperação de ficheiros, o certificado de recuperação do ficheiro e a chave privada têm de ser importadas para o sistema que é utilizado para recuperar os ficheiros de acordo com as seguintes directrizes:
  • As chaves tem de ser armazenadas no CSP RSABase do Microsoft.
  • A propriedade de Informações de chave no certificado deve apontar para esta chave de CSP RSABase. O nome do fornecedor deve ser "Microsoft Base Cryptographic Provider v1.0."
É possível utilizar Importar certificados snap-in MMC de certificados para importar o certificado e chave privada. importante : as regras que são descritas neste artigo foram validadas pela Microsoft, configurando um produto de autoridade de certificação de à esquerda de terceiros para emitir EFS e agente de recuperação EFS certificados. O EFS testar equipa testada encriptação e recuperação utilizando estes certificados.

Propriedades

Artigo: 273856 - Última revisão: 28 de fevereiro de 2007 - Revisão: 5.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Palavras-chave: 
kbmt kbarttypeinf kbefs kbfile kbinfo KB273856 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 273856

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com