Sichern von Recovery Agent (Encrypting File System, EFS) privaten Schlüssel in Windows

Der Support für Windows XP wurde eingestellt

Microsoft stellte am 8. April 2014 den Support für Windows XP ein. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Der Support für Windows Server 2003 ist am 14. Juli 2015 abgelaufen.

Microsoft beendete den Support für Windows Server 2003 am 14. Juli 2015. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 241201
Zusammenfassung
Dieser Artikel beschreibt, wie man den Privatschlüssel des Recovery Agent Encrypting File System (EFS) auf einem Computer sichert, auf dem Microsoft Windows Server 2003, Microsoft Windows 2000, Microsoft Windows XP, Windows Vista, Windows 7, Windows Server 2008 oder Windows Server 2008 R2 ausgeführt wird. Verwenden Sie den Wiederherstellungsagenten privaten Schlüssel Daten wiederherstellen, wenn die Kopie des privaten EFS-Schlüssels auf dem lokalen Computer verloren gegangen ist. Dieser Artikel enthält Informationen zum Export-Assistenten verwenden, um die Wiederherstellung des privaten Schlüssels von einem Computer, der Mitglied einer Arbeitsgruppe ist und von einem Windows Server 2003-basierten, Windows 2000, Windows Server 2008-basierten oder Windows Server 2008 R2-basierten Domänencontroller exportieren.
Einführung
Dieser Artikel beschreibt das Sichern des privaten EFS-Schlüssel (Encrypting File System, EFS) für die Wiederherstellung in Windows Server 2003, Windows 2000 in Windows XP, in Windows Vista, Windows 7, Windows Server 2008 und in Windows Server 2008 R2. Private Schlüssel des Wiederherstellungsagenten können Daten wiederherstellen, wenn die Kopie des privaten EFS-Schlüssels auf dem lokalen Computer verloren gegangen ist.

EFS können Sie um Dateien zum Schutz vor unberechtigtem Zugriff zu verschlüsseln. EFS verwendet einen Schlüssel, der zum Verschlüsseln der Datei dynamisch generiert wird. Die Datei Encryption Key (FEK) wird mit dem öffentlichen EFS-Schlüssel verschlüsselt und der Datei als EFS-Attribut mit dem Namen Daten Datenentschlüsselungsfeld (DDF) hinzugefügt. Um den FEK zu entschlüsseln, müssen Sie den entsprechenden privaten EFS-Schlüssel aus dem öffentlich-Private Schlüsselpaar. Nachdem Sie den FEK entschlüsselt haben, können Sie diesen zum Entschlüsseln der Datei verwenden.

Wenn Ihr private EFS-Schlüssel verloren geht, können einen Wiederherstellungsagenten Sie verschlüsselte Dateien wiederherstellen. Jedes Mal eine Datei verschlüsselt wird, wird diesen auch mit dem öffentlichen Schlüssel des Wiederherstellungsagenten verschlüsselt. Der verschlüsselte FEK wird mit der Kopie der Datei zugeordnet, die mit Ihrem öffentlichen EFS-Schlüssel in den Daten Datenwiederherstellungsfeld (DRF) verschlüsselt. Wenn Sie private Schlüssel des Wiederherstellungsagenten verwenden, können Sie zuerst den FEK und Entschlüsseln Sie die Datei.

Standardmäßig ist ein Computer mit Microsoft Windows 2000 Professional Mitglied einer Arbeitsgruppe oder einer Domäne Microsoft Windows NT 4.0 lokale Administrator zuerst am Computer anmelden als Standardwiederherstellungsagenten bezeichnet. Standardmäßig ist ein Computer mit Windows XP oder Windows 2000 Mitglied einer Windows Server 2003-Domäne oder einer Windows 2000-Domäne auf dem ersten Domänencontroller in der Domäne das integrierte Administratorkonto als Standardwiederherstellungsagenten bezeichnet.

Beachten Sie, dass Computer Windows XP ausgeführt wird und das Mitglied einer Arbeitsgruppe ist nicht über einen Standardwiederherstellungsagenten verfügt. Sie müssen manuell einen lokalen Wiederherstellungsagenten erstellen. Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
255026 Das lokale Administratorkonto ist nicht immer Standardwiederherstellungsagenten Verschlüsselndes Dateisystem


Wichtig Nach dem export des privaten Schlüssels auf einer Diskette oder andere Wechselmedien speichern Sie Diskette oder Medien an einem sicheren Ort. Wenn Person Zugriff auf Ihren privaten EFS-Schlüssel erlangt, kann diese Person auf Ihre verschlüsselten Daten zugreifen.

zurück zum Anfang

Exportieren der Wiederherstellungsagent privaten Schlüssel von einem Computer, der Mitglied einer Arbeitsgruppe ist

Um den privaten Schlüssel des Wiederherstellungsagenten von einem Computer zu exportieren, die Mitglied einer Arbeitsgruppe ist, gehen Sie folgendermaßen vor:
  1. Melden Sie sich am Computer mit der Wiederherstellungsagent Localuser Konto an.
  2. Klicken Sie auf Startund auf Ausführen, geben MMC, und klicken Sie dann auf OK.
  3. Klicken Sie im Menü Datei/RemoveSnap Add-in. Klicken Sie auf Hinzufügen unter Windows Server 2003, Windows XP oder Windows 2000. Oder klicken Sie auf " OK " in Windows Vista in Windows 7, Windows Server 2008 oder Windows Server 2008 R2.
  4. Unter Verfügbare eigenständige Snap-InsaufZertifikateund klicken Sie dann auf Hinzufügen.
  5. Klicken Sie auf eigenes Benutzerkonto, und klicken Sie dann aufFertig stellen.
  6. Klicken Sie auf Schließen, und klicken Sie auf " OK " in Windows Server 2003, Windows XP oder Windows 2000. Oder klicken Sie auf " OK " in Windows Vista in Windows 7, Windows Server 2008 oder Windows Server 2008 R2.
  7. Doppelklicken Sie auf Zertifikate - Aktueller Benutzer, doppelklicken Sie Persönlicheund dann aufZertifikate.
  8. Suchen Sie das Zertifikat, das "FileRecovery" (ohne Anführungszeichen) im Feld IntendedPurposes angezeigt.
  9. Klicken Sie in Schritt 8 ermittelte Zertifikat, zeigen Sie auf Alle Tasksund dann auf Exportieren. Der Zertifikatsexport-Assistent gestartet.
  10. Klicken Sie auf Weiter.
  11. Klicken Sie auf Ja, privaten Schlüssel exportieren, und dann klicken Sie auf Weiter.
  12. Klicken Sie auf Privater Informationsaustausch – PKCS #12 (. PFX).

    Hinweis Es wird dringend empfohlen, dass Sie auch aktivieren dieVerstärkte Sicherheit aktivieren (erfordert IE 5.0, NT 4.0 SP4 oder höherKontrollkästchen, um Ihren privaten Schlüssel vor nicht autorisiertem Zugriff zu schützen.

    WennSie aktivieren Sie das Kontrollkästchen Löschen der privaten Schlüssel If Issuccessful exportieren , der private Schlüssel entfernt vom Computer wurde nicht verschlüsselten Dateien entschlüsseln.
  13. Klicken Sie auf Weiter.
  14. Geben Sie ein Kennwort, und klicken Sie dann auf Weiter.
  15. Geben Sie einen Dateinamen und Speicherort Exportthe Zertifikat und den privaten Schlüssel, und klicken Sie dann aufWeiter.

    Hinweis Wir empfehlen, Sichern Sie die Datei auf einem Datenträger oder austauschbares Medium-Gerät und die Sicherung an einem Ort speichern, Canconfirm die physische Sicherheit der Sicherung.
  16. Überprüfen Sie die Einstellungen, die auf der Completingthe Seite angezeigt, und klicken Sie dann auf Fertig stellen.
zurück zum Anfang

Exportieren der privaten Schlüssel des Domänenwiederherstellungsagenten

Der erste Domänencontroller in einer Domäne enthält das vordefinierte Administratorprofil, das öffentliche Zertifikat und den privaten Schlüssel für den Standardwiederherstellungsagenten der Domäne enthält. Das öffentliche Zertifikat wird in die Standarddomänenrichtlinie importiert und mithilfe der Gruppenrichtlinie auf Domänenclients angewendet wird. Wenn der Administrator Profil oder wenn der erste Domänencontroller ist nicht mehr verfügbar, der private Schlüssel zum Entschlüsseln der verschlüsselten Dateien verwendet verloren geht, und Dateien können nicht über diese Recovery Agent wiederhergestellt.

Suchen die Richtlinie für Wiederherstellung von verschlüsselten Daten, die Standarddomänenrichtlinie im Gruppenrichtlinienobjekt-Editor-Snap-in öffnen, erweitern Computerkonfiguration, erweitern Windows-Einstellungen, erweitern Sicherheitund erweitern Richtlinien öffentlicher Schlüssel.

Gehen Sie folgendermaßen vor, um den privaten Schlüssel des Domänenwiederherstellungsagenten zu exportieren:
  1. Suchen Sie vom WebShield e500 verwendeten dem ersten Domänencontroller heraufgestuft wurde.
  2. Melden Sie sich an den Domänencontroller mit integrierten InAdministrator-Konto an.
  3. Klicken Sie auf Startund auf Ausführen, geben MMC, und klicken Sie dann auf OK.
  4. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen. Klicken Sie auf Hinzufügen unter Windows Server 2003 oder Windows 2000. Oder klicken Sie auf " OK " in Windows Server 2008 oder Windows Server 2008 R2.
  5. Unter Verfügbare eigenständige Snap-InsaufZertifikateund klicken Sie dann auf Hinzufügen.
  6. Klicken Sie auf eigenes Benutzerkonto, und klicken Sie dann aufFertig stellen.
  7. Klicken Sie auf Schließen, und klicken Sie auf " OK " in Windows Server 2003 oder Windows 2000. Oder klicken Sie auf " OK " in Windows Server 2008 oder Windows Server 2008 R2.
  8. Doppelklicken Sie auf Zertifikate - Aktueller Benutzer, doppelklicken Sie Persönlicheund dann aufZertifikate.
  9. Suchen Sie das Zertifikat, das "FileRecovery" (ohne Anführungszeichen) im Feld IntendedPurposes angezeigt.
  10. Mit der rechten Maustaste des Zertifikats, das Sie in Schritt 9 gefunden, zeigen Sie auf Alle Tasksund dann auf Exportieren. Der Zertifikatsexport-Assistent gestartet.
  11. Klicken Sie auf Weiter.
  12. Klicken Sie auf Ja, privaten Schlüssel exportieren, und dann klicken Sie auf Weiter.
  13. Klicken Sie auf Privater Informationsaustausch – PKCS #12 (. PFX).

    Hinweis Es wird dringend empfohlen, dass Sie klicken der Enablestrong Schutz (erfordert IE 5.0, NT 4.0 SP4 oder höherKontrollkästchen fallen Ihren privaten Schlüssel vor nicht autorisiertem Zugriff.

    Toselect das Kontrollkästchen den privaten Schlüssel exportieren erfolgreich löschenklicken, wird der private Schlüssel vom Domänencontroller entfernt. Als ein Bestpractice wird empfohlen, diese Option zu verwenden. Installieren Sie den Wiederherstellungsschlüssel agent'sprivate nur bei Bedarf Dateien wiederherstellen. Exportieren Sie an alle Othertimes und speichern Sie den Wiederherstellungsagenten private Schlüssel offline ausstiegsversuchen die Sicherheit.
  14. Klicken Sie auf Weiter.
  15. Geben Sie ein Kennwort, und klicken Sie dann auf Weiter.
  16. Geben Sie einen Dateinamen und Speicherort Exportthe Zertifikat und den privaten Schlüssel, und klicken Sie dann aufWeiter.

    Hinweis Wir empfehlen, Sichern Sie die Datei auf einem Datenträger oder austauschbares Medium-Gerät und die Sicherung an einem Ort speichern, Canconfirm die physische Sicherheit der Sicherung.
  17. Überprüfen Sie die Einstellungen, die auf der Completingthe Seite angezeigt, und klicken Sie dann auf Fertig stellen.
Informationsquellen
Weitere Informationen dazu, wie Sie bestimmen, wer der Wiederherstellungsagent für eine verschlüsselte Datei klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
243026 Efsinfo.exe verwenden Informationen über verschlüsselte Dateien
Weitere Informationen über EFS klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
223316 Best Practices für EFS
Weitere Informationen über EFS unter Windows Server finden Sie auf der folgenden Microsoft-Website: Weitere Informationen zum Arbeiten mit EFS unter Windows Server 2003 finden Sie auf der folgenden Microsoft-Website: Weitere Informationen zu verwandten Themen finden Sie auf der folgenden Microsoft-Website: zurück zum Anfang

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 241201 – Letzte Überarbeitung: 07/03/2016 07:41:00 – Revision: 2.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Windows Vista Business, Windows Vista Business 64-bit edition, Windows Vista Enterprise, Windows Vista Enterprise 64-bit edition, Windows Vista Ultimate, Windows Vista Ultimate 64-bit edition, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate

  • kbwinservds kbactivedirectory kbefs kbenv kbhowtomaster w2000efs kbmt KB241201 KbMtde
Feedback