Τρόπος δημιουργίας αντιγράφων ασφαλείας του ιδιωτικού κλειδιού EFS (Encrypting File System) του παράγοντα αποκατάστασης στα Windows Server 2003, Windows 2000 και Windows XP

Περίληψη

Αυτό το άρθρο περιγράφει τον τρόπο δημιουργίας αντιγράφων ασφαλείας του ιδιωτικού κλειδιού EFS (Encrypting File System) του παράγοντα αποκατάστασης σε έναν υπολογιστή που εκτελεί Microsoft Windows Server 2003, Microsoft Windows 2000 ή Microsoft Windows XP. Χρησιμοποιήστε το ιδιωτικό κλειδί του παράγοντα αποκατάστασης για να επαναφέρετε δεδομένα σε καταστάσεις όπου το αντίγραφο του ιδιωτικού κλειδιού EFS που βρίσκεται στον τοπικό υπολογιστή έχει χαθεί. Το άρθρο αυτό περιέχει πληροφορίες σχετικά με τον τρόπο χρήσης του "Οδηγού εξαγωγής πιστοποιητικού" (Certificate Export Wizard) για την εξαγωγή του ιδιωτικού κλειδιού του παράγοντα αποκατάστασης από έναν υπολογιστή που είναι μέλος μιας ομάδας εργασίας και από έναν ελεγκτή τομέα που βασίζεται στα προγράμματα Windows Server 2003 ή Windows 2000.

ΕΙΣΑΓΩΓΗ

Αυτό το άρθρο περιγράφει τον τρόπο δημιουργίας αντιγράφων ασφαλείας του ιδιωτικού κλειδιού EFS (Encrypting File System) του παράγοντα αποκατάστασης στα Windows Server 2003, Windows 2000 και Windows XP. Μπορείτε να χρησιμοποιήσετε το ιδιωτικό κλειδί του παράγοντα αποκατάστασης για να επαναφέρετε δεδομένα σε καταστάσεις όπου το αντίγραφο του ιδιωτικού κλειδιού EFS που βρίσκεται στον τοπικό υπολογιστή έχει χαθεί.

Μπορείτε να χρησιμοποιήσετε το EFS για την κρυπτογράφηση αρχείων δεδομένων, ώστε να εμποδίσετε την μη εξουσιοδοτημένη πρόσβαση. Το EFS χρησιμοποιεί ένα κλειδί κρυπτογράφησης που έχει δημιουργηθεί με δυναμικό τρόπο για την κρυπτογράφηση του αρχείου. Το κλειδί κρυπτογράφησης αρχείου (File Encryption Key - FEK) κρυπτογραφείται με το δημόσιο κλειδί EFS και προστίθεται στο αρχείο ως χαρακτηριστικό EFS που ονομάζεται "Πεδίο αποκρυπτογράφησης δεδομένων" (Data Decryption Field - DDF). Για να αποκρυπτογραφήσετε το FEK, πρέπει να έχετε το αντίστοιχο ιδιωτικό κλειδί EFS από το ζεύγος δημόσιου-ιδιωτικού κλειδιού. Αφού αποκρυπτογραφήσετε το FEK, μπορείτε να χρησιμοποιήσετε το FEK για να αποκρυπτογραφήσετε το αρχείο.

Στην περίπτωση που χαθεί το ιδιωτικό κλειδί EFS , μπορείτε να χρησιμοποιήσετε έναν παράγοντα αποκατάστασης για να επαναφέρετε κρυπτογραφημένα αρχεία. Κάθε φορά που κρυπτογραφείται ένα αρχείο, το FEK κρυπτογραφείται επίσης με το δημόσιο κλειδί του "Παράγοντα αποκατάστασης" (Recovery Agent). Το κρυπτογραφημένο FEK επισυνάπτεται στο αρχείο μαζί με το αντίγραφο που είναι κρυπτογραφημένο με το δημόσιο κλειδί EFS στο "Πεδίο ανάκτησης δεδομένων" (Data Recovery Field - DRF). Εάν χρησιμοποιήσετε το ιδιωτικό κλειδί του παράγοντα αποκατάστασης, μπορείτε να αποκρυπτογραφήσετε το FEK και, στη συνέχεια, να αποκρυπτογραφήσετε το αρχείο.

Από προεπιλογή, αν ένας υπολογιστής που εκτελεί Microsoft Windows 2000 Professional είναι μέλος μιας ομάδας εργασίας ή είναι μέλος ενός τομέα των Microsoft Windows NT 4.0, ο τοπικός διαχειριστής που συνδέεται πρώτος στον υπολογιστή προσδιορίζεται ως ο προεπιλεγμένος παράγοντας αποκατάστασης. Από προεπιλογή, εάν ένας υπολογιστής που εκτελεί Windows XP ή Windows 2000 είναι μέλος ενός τομέα με Windows Server 2003 ή ενός τομέα με Windows 2000, ο ενσωματωμένος λογαριασμός Administrator του πρώτου ελεγκτή τομέα του τομέα προσδιορίζεται ως ο προεπιλεγμένος παράγοντας αποκατάστασης.


Σημειώστε ότι ένας υπολογιστής που εκτελεί Windows XP και είναι μέλος μιας ομάδας εργασίας δεν διαθέτει προεπιλεγμένο παράγοντα αποκατάστασης. Πρέπει να δημιουργήσετε με μη αυτόματο τρόπο έναν τοπικό παράγοντα αποκατάστασης.
Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
255026 Ο τοπικός διαχειριστής δεν είναι πάντοτε ο προεπιλεγμένος παράγοντας αποκατάστασης του Συστήματος κρυπτογράφησης αρχείων (Encrypting File System - EFS)Σημαντικό Μετά την εξαγωγή του ιδιωτικού κλειδιού σε μια δισκέτα ή άλλο αφαιρούμενο μέσο, αποθηκεύστε τη δισκέτα ή το μέσο σε μια ασφαλή θέση. Εάν κάποιος αποκτήσει πρόσβαση στο ιδιωτικό κλειδί EFS, το πρόσωπο αυτό μπορεί να αποκτήσει πρόσβαση στα κρυπτογραφημένα δεδομένα σας.

επιστροφή στην αρχή

Εξαγωγή του ιδιωτικού κλειδιού του παράγοντα αποκατάστασης από έναν υπολογιστή που είναι μέλος μιας ομάδας εργασίας

Για να κάνετε εξαγωγή του ιδιωτικού κλειδιού του παράγοντα αποκατάστασης από έναν υπολογιστή που είναι μέλος μιας ομάδας εργασίας, ακολουθήστε τα εξής βήματα:
 1. Συνδεθείτε στον υπολογιστή, χρησιμοποιώντας το λογαριασμό τοπικού χρήστη του παράγοντα αποκατάστασης.
 2. Κάντε κλικ στο κουμπί Έναρξη (Start), κατόπιν στην επιλογή Εκτέλεση (Run), πληκτρολογήστε mmc και τέλος κάντε κλικ στο κουμπί ΟΚ.
 3. Από το μενού Αρχείο (File), κάντε κλικ στην εντολή Προσθαφαίρεση συμπληρωματικών προγραμμάτων (Add/Remove Snap-in) και, κατόπιν, κάντε κλικ στην εντολή Προσθήκη (Add).
 4. Στην περιοχή Διαθέσιμα αυτόνομα συμπληρωματικά προγράμματα (Available Standalone Snap-ins), κάντε κλικ στο στοιχείο
  Certificates (Πιστοποιητικά) και, στη συνέχεια, κάντε κλικ στο κουμπί Προσθήκη (Add).
 5. Κάντε κλικ στην επιλογή Λογαριασμός χρήστη (My user account) και, στη συνέχεια, κάντε κλικ στο κουμπί Τέλος (Finish).
 6. Κάντε κλικ στο κουμπί Κλείσιμο (Close)και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
 7. Κάντε διπλό κλικ στην επιλογή Πιστοποιητικά - Τρέχων χρήστης (Certificates - Current User), κάντε διπλό κλικ στο στοιχείο Προσωπικά (Personal) και, στη συνέχεια, κάντε διπλό κλικ στην επιλογή Πιστοποιητικά (Certificates).
 8. Εντοπίστε το πιστοποιητικό που εμφανίζει τις λέξεις "Ανάκτηση αρχείου" ("File Recovery") (χωρίς τα εισαγωγικά) στη στήλη
  Προβλεπόμενες χρήσεις (Intended Purposes).
 9. Κάντε δεξιό κλικ στο πιστοποιητικό που εντοπίσατε στο βήμα 8, τοποθετήστε το δείκτη του ποντικιού στην εντολή Όλες οι εργασίες (All Tasks) και, στη συνέχεια, κάντε κλικ στην εντολή Εξαγωγή (Export). Θα ξεκινήσει ο "Οδηγός εξαγωγής πιστοποιητικού" (Certificate Export Wizard).
 10. Κάντε κλικ στο κουμπί Επόμενο (Next).
 11. Κάντε κλικ στην επιλογή Ναι, εξαγωγή του ιδιωτικού κλειδιού (Yes, export the private key), και κατόπιν κάντε κλικ στο κουμπί Επόμενο (Next).
 12. Κάντε κλικ στην επιλογή Ανταλλαγή προσωπικών πληροφοριών – PKCS #12 (.PFX). (Personal Information Exchange – PKCS #12 (.PFX).)

  Σημείωση Συνιστούμε αυστηρά να κάνετε επίσης κλικ για να επιλέξετε το πλαίσιο ελέγχου Ενεργοποίηση ισχυρής προστασίας (Enable Strong protection) (απαιτεί IE 5.0, NT 4.0 SP4 ή ανώτερο, για να προστατεύσετε το ιδιωτικό κλειδί σας από μη εξουσιοδοτημένη πρόσβαση.


  Εάν κάνετε κλικ για να επιλέξετε το πλαίσιο ελέγχου Διαγραφή του ιδιωτικού κλειδιού αν η εξαγωγή είναι επιτυχής (Delete the private key if the export is successful), το ιδιωτικό κλειδί καταργείται από τον υπολογιστή και δεν θα έχετε τη δυνατότητα αποκρυπτογράφησης κρυπτογραφημένων αρχείων.
 13. Κάντε κλικ στο κουμπί Επόμενο (Next).
 14. Καθορίστε έναν κωδικό πρόσβασης και κατόπιν κάντε κλικ στο κουμπί Επόμενο (Next).
 15. Καθορίστε ένα όνομα αρχείου και τη θέση όπου θέλετε να γίνει εξαγωγή του πιστοποιητικού και του ιδιωτικού κλειδιού και, στη συνέχεια, κάντε κλικ στο κουμπί Επόμενο (Next).

  Σημείωση Συνιστούμε να δημιουργείτε αντίγραφα ασφαλείας του αρχείου σε δίσκο ή σε μια συσκευή αφαιρούμενων μέσων και, στη συνέχεια, να αποθηκεύετε το αντίγραφο ασφαλείας σε μια θέση όπου μπορείτε να εξασφαλίσετε τη φυσική ασφάλεια του αντιγράφου ασφαλείας.
 16. Επιβεβαιώστε τις ρυθμίσεις που εμφανίζονται στη σελίδα "Ολοκλήρωση του οδηγού εξαγωγής πιστοποιητικού" (Completing the Certificate Export Wizard) και, στη συνέχεια, κάντε κλικ στο κουμπί Τέλος (Finish).
επιστροφή στην αρχή

Εξαγωγή του ιδιωτικού κλειδιού του παράγοντα αποκατάστασης του τομέα

Ο πρώτος ελεγκτής τομέα ενός τομέα περιέχει το ενσωματωμένο προφίλ Administrator, το οποίο περιέχει το δημόσιο πιστοποιητικό και το ιδιωτικό κλειδί για τον προεπιλεγμένο παράγοντα αποκατάστασης του τομέα. Το δημόσιο πιστοποιητικό εισάγεται στην Πολιτική προεπιλεγμένου τομέα και εφαρμόζεται στους υπολογιστές-πελάτες του τομέα χρησιμοποιώντας το συμπληρωματικό πρόγραμμα Πολιτική ομάδας (Group Policy). Εάν το προφίλ Administrator ή εάν ο πρώτος ελεγκτής τομέα δεν είναι πλέον διαθέσιμα, το ιδιωτικό κλειδί που χρησιμοποιείται για την αποκρυπτογράφηση των κρυπτογραφημένων αρχείων χάνεται και δεν είναι δυνατή η ανάκτηση των αρχείων μέσω αυτού του παράγοντα αποκατάστασης.

Για να εντοπίσετε την πολιτική "Ανάκτηση κρυπτογραφημένων δεδομένων" (Encrypted Data Recovery), ανοίξτε την Πολιτική προεπιλεγμένου τομέα (Default Domain Policy) του συμπληρωματικού προγράμματος Πρόγραμμα επεξεργασίας αντικειμένου (Object Editor) της Πολιτικής ομάδας (Group Policy), αναπτύξτε το στοιχείο Ρύθμιση παραμέτρων υπολογιστή (Computer Configuration), έπειτα το στοιχείο Ρυθμίσεις των Windows (Windows Settings), στη συνέχεια, το στοιχείο Ρυθμίσεις ασφαλείας (Security Settings) και, τέλος, αναπτύξτε το στοιχείο
Πολιτικές δημόσιου κλειδιού (Public Key Policies).

Για να κάνετε εξαγωγή του ιδιωτικού κλειδιού του παράγοντα αποκατάστασης του τομέα, ακολουθήστε τα εξής βήματα:
 1. Εντοπίστε τον πρώτο ελεγκτή τομέα που προβιβάστηκε στον τομέα.
 2. Συνδεθείτε στον ελεγκτή τομέα, χρησιμοποιώντας τον ενσωματωμένο λογαριασμό Administrator.
 3. Κάντε κλικ στο κουμπί Έναρξη (Start), κατόπιν στην επιλογή Εκτέλεση (Run), πληκτρολογήστε mmc και τέλος κάντε κλικ στο κουμπί ΟΚ.
 4. Από το μενού Αρχείο (File), κάντε κλικ στην εντολή Προσθαφαίρεση συμπληρωματικών προγραμμάτων (Add/Remove Snap-in) και, κατόπιν, κάντε κλικ στην εντολή Προσθήκη (Add).
 5. Στην περιοχή Διαθέσιμα αυτόνομα συμπληρωματικά προγράμματα (Available Standalone Snap-ins), κάντε κλικ στο στοιχείο
  Certificates (Πιστοποιητικά) και, στη συνέχεια, κάντε κλικ στο κουμπί Προσθήκη (Add).
 6. Κάντε κλικ στην επιλογή Λογαριασμός χρήστη (My user account) και, στη συνέχεια, κάντε κλικ στο κουμπί Τέλος (Finish).
 7. Κάντε κλικ στο κουμπί Κλείσιμο (Close)και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
 8. Κάντε διπλό κλικ στην επιλογή Πιστοποιητικά - Τρέχων χρήστης (Certificates - Current User), κάντε διπλό κλικ στο στοιχείο Προσωπικά (Personal) και, στη συνέχεια, κάντε διπλό κλικ στην επιλογή Πιστοποιητικά (Certificates).
 9. Εντοπίστε το πιστοποιητικό που εμφανίζει τις λέξεις "Ανάκτηση αρχείου" ("File Recovery") (χωρίς τα εισαγωγικά) στη στήλη
  Προβλεπόμενες χρήσεις (Intended Purposes).
 10. Κάντε δεξιό κλικ στο πιστοποιητικό που εντοπίσατε στο βήμα 9, τοποθετήστε το δείκτη του ποντικιού στην εντολή Όλες οι εργασίες (All Tasks) και, στη συνέχεια, κάντε κλικ στην εντολή Εξαγωγή (Export). Θα ξεκινήσει ο "Οδηγός εξαγωγής πιστοποιητικού" (Certificate Export Wizard).
 11. Κάντε κλικ στο κουμπί Επόμενο (Next).
 12. Κάντε κλικ στην επιλογή Ναι, εξαγωγή του ιδιωτικού κλειδιού (Yes, export the private key), και κατόπιν κάντε κλικ στο κουμπί Επόμενο (Next).
 13. Κάντε κλικ στην επιλογή Ανταλλαγή προσωπικών πληροφοριών – PKCS #12 (.PFX). (Personal Information Exchange – PKCS #12 (.PFX).)

  Σημείωση Συνιστούμε να κάνετε κλικ για να επιλέξετε το πλαίσιο ελέγχου
  Ενεργοποίηση ισχυρής προστασίας (Enable Strong protection) (απαιτεί IE 5.0, NT 4.0 SP4 ή ανώτερο, για να προστατεύσετε το ιδιωτικό κλειδί σας από μη εξουσιοδοτημένη πρόσβαση.

  Εάν κάνετε κλικ για να επιλέξετε το πλαίσιο ελέγχου Διαγραφή του ιδιωτικού κλειδιού αν η εξαγωγή είναι επιτυχής (Delete the private key if the export is successful), το ιδιωτικό κλειδί καταργείται από τον ελεγκτή τομέα. Ως βέλτιστη πρακτική, συνιστούμε να χρησιμοποιήσετε αυτήν την επιλογή. Εγκαταστήστε το ιδιωτικό κλειδί του παράγοντα αποκατάστασης μόνο σε περιπτώσεις κατά τις οποίες το χρειάζεστε για να ανακτήσετε αρχεία. Σε όλες τις υπόλοιπες περιπτώσεις, κάντε εξαγωγή και, στη συνέχεια, αποθήκευση του ιδιωτικού κλειδιού του παράγοντα αποκατάστασης χωρίς σύνδεση για να ενισχύσετε τη διατήρηση της ασφάλειάς του.
 14. Κάντε κλικ στο κουμπί Επόμενο (Next).
 15. Καθορίστε έναν κωδικό πρόσβασης και κατόπιν κάντε κλικ στο κουμπί Επόμενο (Next).
 16. Καθορίστε ένα όνομα αρχείου και τη θέση όπου θέλετε να γίνει εξαγωγή του πιστοποιητικού και του ιδιωτικού κλειδιού και, στη συνέχεια, κάντε κλικ στο κουμπί Επόμενο (Next).

  Σημείωση Συνιστούμε να δημιουργείτε αντίγραφα ασφαλείας του αρχείου σε δίσκο ή σε μια συσκευή αφαιρούμενων μέσων και, στη συνέχεια, να αποθηκεύετε το αντίγραφο ασφαλείας σε μια θέση όπου μπορείτε να εξασφαλίσετε τη φυσική ασφάλεια του αντιγράφου ασφαλείας.
 17. Επιβεβαιώστε τις ρυθμίσεις που εμφανίζονται στη σελίδα "Ολοκλήρωση του οδηγού εξαγωγής πιστοποιητικού" (Completing the Certificate Export Wizard) και, στη συνέχεια, κάντε κλικ στο κουμπί Τέλος (Finish).

Αναφορές

Για περισσότερες πληροφορίες σχετικά με τον τρόπο προσδιορισμού του παράγοντα αποκατάστασης για ένα κρυπτογραφημένο αρχείο, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
243026 Χρήση του Efsinfo.exe για τον προσδιορισμό πληροφοριών σχετικά με κρυπτογραφημένα αρχεία

Για περισσότερες πληροφορίες σχετικά με το EFS, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
223316 Βέλτιστες πρακτικές για το "Σύστημα κρυπτογράφησης αρχείων" (Encrypting File System)

Για περισσότερες πληροφορίες σχετικά με το EFS στον Windows Server, επισκεφτείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά): Για περισσότερες πληροφορίες σχετικά με τον τρόπο εργασίας με το EFS στο Windows Server 2003, επισκεφτείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά): Για περισσότερες πληροφορίες που αφορούν σχετικά θέματα, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά): επιστροφή στην αρχή
Ιδιότητες

Αναγνωριστικό άρθρου: 241201 - Τελευταία αναθεώρηση: 8 Ιαν 2008 - Αναθεώρηση: 1

Σχόλια