加密檔案系統的協力廠商憑證授權單位支援

文章翻譯 文章翻譯
文章編號: 273856 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本文將告訴您,如何 Microsoft Windows 2000 支援協力廠商憑證授權單位 (CA) 發出加密檔案系統 (EFS) 憑證和 EFS 修復代理憑證。

概觀

本文分為下列兩個章節:
  • EFS 和其使用公開金鑰基礎結構的一段簡短說明。
  • 在其中協力廠商 CA 所允許發行憑證用於 EFS 檔案加密及修復的方法。

其他相關資訊

EFS 概觀與公開金鑰基層結構

EFS 是在 Windows 2000 中解決方案的加密檔案在 NTFS 檔案系統磁碟區上。EFS 使用 Windows 2000 中加密架構功能和公開金鑰基礎結構功能。

憑證註冊

加密作業期間 EFS 會使用目前的 EFS 憑證。如果其中一個沒有可用,EFS 會搜尋適當的憑證您個人的存放區。如果 EFS 找不到目前的憑證,它 enrolls 您的 EFS 憑證。支援 EFS 範本的線上 Windows 2000 CA 可發行 EFS 憑證。自我簽署的憑證是由 EFS 所產生的如果它不能註冊與線上的 Windows 2000 CA 憑證,或您不使用網域帳戶。

EFS 會選擇一個憑證之後您無法透過系統使用者介面變更它。此外,EFS 並不會自動切換憑證可以有更佳的保護其中一個使用時 (例如當 EFS 使用自己自我簽署的憑證與您註冊的 EFS 憑證從線上的 Windows 2000 CA)。

有兩種方法來變更 EFS 使用的憑證:
  • 您可以使用 SetUserFileEncryptionKey Microsoft 開發 o 人 h 員 ? 工 u 具 ? 網路 (MSDN) 將被記載的 API 來設定新的憑證對於 EFS。EFS 會啟動立即使用新的憑證。
  • 變更儲存在下列登錄機碼,以新的憑證中的 [指紋] 欄位中的憑證的雜湊:
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current Version\EFS\CurrentKeys

    值: CertificateHash
    型別: REG_BINARY
    資料: 憑證碼的新憑證
EFS 所預期 EFS 憑證儲存在 Microsoft 具有 Shamir Adelman 基底 (RSABase) 「 加密服務提供者 (CSP) 的按鍵。憑證上的 金鑰資訊 屬性應該指向此 CSP。EFS 會包含憑證和私密金鑰 憑證儲存查詢。

檔案資料加密和解密

EFS 使用隨機產生的對稱金鑰來加密檔案資料。新金鑰產生的每個檔案已加密的。使用資料加密演算法是 DESX (強壯版本的資料加密標準)。您可以設定其他的演算法。

採用衍生自您的 EFS 憑證的公開金鑰是再加密對稱加密金鑰。產生已加密的資料]、 [您的顯示名稱] 及 [憑證的雜湊會儲存在中包含 EFS 中繼資料之檔案的具名資料流中。當 EFS 解密檔案時,它會使用您的私密金鑰來解密對稱式加密金鑰。EFS 然後會使用對稱金鑰來解密資料。

若要加密網路伺服器上的一個檔案,EFS 會載入您網路上的設定檔,如果您有漫遊設定檔。如果您沒有漫遊設定檔 EFS 預期可找到在伺服器上的憑證和金鑰,並嘗試產生那里的設定檔。

EFS 檔案在網路上複製時, 它是解密,而且在網路上以純文字傳送。若要保護您的檔案不在網路上傳輸時,使用 [IP 安全性]。

EFS 憑證更新

當 EFS 憑證過期時,EFS 會執行更新,以註冊新的憑證,以新的金鑰組。它到期時,EFS 本身,並不更新目前的憑證。

如果您更新 EFS 憑證,並封存舊憑證,它到期之前 EFS 會繼續使用舊的憑證,直到過期為止。EFS 然後經歷以尋找新的憑證存放區中,或如果找不到有效的憑證,取得一個新的註冊相同的程序。尋找要使用的新憑證,時 EFS 可以擷取如果存放區中一個以上的 EFS 憑證會是與更新,透過取得的一個不同的憑證。

EFS 開始將使用新的憑證,如果它處理先前已使用不同的憑證加密的檔案後 EFS 會重新產生中繼資料,以使用新的憑證。

撤銷檢查

EFS 並不會執行任何撤銷檢查。

EFS 修復代理

您可以使用 EFS 修復代理來解密已加密的檔案,若加密檔案使用者離開您的公司。您可以註冊在 Windows 2000 CA 上使用 EFS 修復 範本的 EFS 修復代理憑證。

您可以為所有使用者設定 EFS 修復代理] 憑證通用網域原則,網域上。您也可以在本機電腦原則中的本機電腦上的所有使用者設定這些憑證。如果這兩個原則都存在,通用原則優先。

若要開啟 [新增修復代理精靈、 按一下 [群組原則]、 按一下 [公開金鑰原則],然後按一下 [加密資料修復代理。這個精靈會幫助您將指定修復代理] 憑證。您可以按一下 [瀏覽資料夾,然後按一下 [直接為修復代理憑證匯入憑證檔案。憑證匯入與修復代理程式 」 標記法 未知的使用者。這種情況會發生個指定為修復代理憑證的任何協力廠商 CA 憑證。

如果您將憑證發佈使用者 (如果您對使用者的 EFS 修復代理憑證的線上 Windows 2000 CA 註冊,就會發生) 的目錄中,您可以使用該精靈直接匯入為修復代理使用者。瀏覽目錄,並選取您要指定為修復代理的使用者。

在檔案加密期間對稱的加密金鑰也加密修復代理的公開金鑰而資訊儲存在具名包含 EFS 中繼資料的資料流中。若要復原已加密的檔案,EFS 使用修復代理的私密金鑰來解密對稱式加密金鑰,而哪些 EFS,然後使用來解密資料。

規則的建立和使用有效的 EFS 和 EFS 修復代理程式 」 的協力廠商 CA 憑證

EFS 憑證

對於形成憑證規則如下:
  • 金鑰使用方法擴充功能,在憑證中的必須包含金鑰加密和資料加密。
  • 增強金鑰使用方法擴充功能,在憑證中的必須包含加密檔案系統 (1.3.6.1.4.1.311.10.3.4) 識別項。
  • 在使用,您就必須在 Microsoft RSABase CSP 中儲存索引鍵。
  • 憑證上的 [索引鍵資訊] 屬性必須指向此機碼。
要包含右的 KeyUsageEnhancedKeyUsage 值,您可能必須自訂協力廠商憑證授權單位來發行憑證包含正確的值。

有兩種方法來註冊使用協力廠商產品的 EFS 憑證:
  • 協力廠商 CA 可能會提供 Microsoft 加密架構無關的註冊。在這種情況下將憑證及私密金鑰,與該憑證到可以匯入您的設定檔,使用憑證管理員 」 MMC 嵌入式管理單元中的檔案相關聯,必須匯出協力廠商。金鑰匯入 Microsoft RSABase CSP 且 金鑰資訊] 屬性設定為此 CSP。
  • 協力廠商 CA 可能會提供 Web 註冊程序,使用 Microsoft XEnroll 控制項,為 Microsoft 用戶端,註冊憑證。使用此方法的註冊,索引鍵會自動儲存在 Microsoft RSABase CSP,且 金鑰資訊 屬性設定。
之後您註冊一個憑證或更新憑證後您必須通知 EFS 有關變更如果具有先前使用的任何憑證。您必須設定 SetUserFileEncryptionKey 所指向新的憑證時的呼叫。如果憑證建立任何 EFS 作業之前,您沒有設定呼叫 SetUserFileEncryptionKey。EFS 在您的個人憑證存放區中尋找新的憑證,並將它設定為預設憑證。

EFS 修復憑證

對於形成憑證規則如下:
  • 金鑰使用方式 = 機碼加密
  • EKU = 檔案 Recovery(1.3.6.1.4.1.311.10.3.4.1)
如 < EFS 憑證 > 一節中所述,協力廠商 CA 可能會提供使用網頁註冊頁註冊此憑證的 Microsoft 用戶端或匯協力廠商 CA 可能出憑證及相關的私密金鑰到可以匯入 Microsoft 用戶端的檔案。

建立完成後可由使用修復代理精靈匯入憑證。

檔案復原期間檔案修復憑證和私密金鑰必須匯入系統,用來修復檔案,根據下列指引來:
  • 索引鍵必須儲存在 Microsoft RSABase CSP。
  • 憑證上的 [索引鍵資訊] 屬性必須指向在 RSABase CSP 這個機碼。提供者名稱應該是 Microsoft 基本密碼編譯提供者 v1.0。
您可以使用 憑證匯入 憑證 MMC 嵌入式管理單元中匯入憑證和私密金鑰。 重要: 本文中所述的規則已由 Microsoft 驗證藉由設定前置、 協力廠商憑證授權單位產品發行 EFS 和 EFS 修復代理程式 」 的憑證。EFS 會測試小組測試加密和修復藉由使用這些憑證。

屬性

文章編號: 273856 - 上次校閱: 2007年2月28日 - 版次: 5.2
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
關鍵字:?
kbmt kbarttypeinf kbefs kbfile kbinfo KB273856 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:273856
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com