Como adicionar um agente de recuperação EFS no Windows XP Professional

Este artigo descreve como criar uma chave do agente de recuperação e certificado para usuários selecionados no Encrypting File System (EFS) do Microsoft Windows XP Professional. Os agentes de recuperação podem usar seus certificados e chaves públicas para descriptografar arquivos. Um administrador pode adicionar o conteúdo de um certificado à política de recuperação do EFS para criar um agente de recuperação para usuários e importar o arquivo .PFX para recuperar arquivos individuais. No Editor de Objetos da Diretiva de Grupo é possível especificar o domínio ou a unidade organizacional de um agente de recuperação.

No EFS do Microsoft Windows 2000, a conta interna Administrador é usada como o agente de recuperação padrão. No Windows XP Professional, o certificado de recuperação do agente de recuperação do EFS não está definido como padrão. Essa alteração na configuração evita um tentativa mal-intencionada de decriptação usando a conta Administrador. Em sistemas atualizados a partir do Windows 2000, a conta Administrador definida como o agente de recuperação padrão é migrada e usada como o agente de recuperação do EFS padrão.

Para criar uma chave e certificado do agente de recuperação do EFS para usuários selecionados, execute as seguintes etapas.

Etapa 1: Exportar os certificados de recuperação e a chave privada

1. Faça o logon no computador como o usuário para o qual você deseja criar o arquivo criptografado.
2. Clique em Iniciar, em Executar, digite CMD e clique em OK.
3. No prompt de comando, digite o seguinte e pressione ENTER:
   cipher /r:nome_do_arquivo
4. Digite a senha que deseja usar quando a seguinte mensagem for exibida:
   Digite a senha para proteger o arquivo .PFX:
   
   O sistema cria um arquivo .PFX contendo o certificado e a chave privada, e um arquivo .CER contendo somente o certificado. A seguinte mensagem de verificação é exibida:
   Seu arquivo .CER foi criado com êxito.
   Seu arquivo .PFX foi criado com êxito.

Etapa 2: Importar os certificados de recuperação e a chave privada

1. Efetue logon no computador como administrador.
2. Clique em Iniciar, em Executar, digite gpedit.msc e clique em OK.
3. No Editor de Objetos da Diretiva de grupo, expanda os seguintes nós:
   Diretiva Computador local
   Configuração do computador
   Configuração do Windows
   Configurações de segurança
   Diretiva de chave pública
4. Clique com o botão direito do mouse em Encrypting File System e clique em Adicionar Agente de recuperação de dados.
5. Clique em Avançar e em Pesquisar pastas.
6. Selecione o arquivo *.CER criado anteriormente e clique em Abrir.
   
   ObservaçãoPor padrão, o certificado é criado na pasta %userprofile%.
7. Clique em Avançar e em Concluir.

Observação Recomendamos que seja feito o backup do certificado de recuperação (*.CER) e dos arquivos de chave privada (*.PFX) para um local seguro.