Sichern des privaten EFS-Schlüssels (Encrypting File System) des Wiederherstellungs-Agents unter Windows

  • Artikel

In diesem Artikel wird beschrieben, wie Sie den privaten EFS-Schlüssel (Encrypting File System) des Wiederherstellungs-Agents auf einem Computer sichern.

Gilt für: Windows 7 Service Pack 1, Windows Server 2012 R2
Ursprüngliche KB-Nummer: 241201

Zusammenfassung

Verwenden Sie den privaten Schlüssel des Wiederherstellungs-Agents, um Daten in Situationen wiederherzustellen, in denen die Kopie des privaten EFS-Schlüssels auf dem lokalen Computer verloren geht. Dieser Artikel enthält Informationen zur Verwendung des Zertifikatexport-Assistenten zum Exportieren des privaten Schlüssels des Wiederherstellungs-Agents von einem Computer, der Mitglied einer Arbeitsgruppe ist, und von einem Windows Server 2003-basierten, Windows 2000-basierten, Windows Server 2008- oder Windows Server 2008 R2-basierten Domänencontroller.

Einführung

In diesem Artikel wird beschrieben, wie Sie den privaten EFS-Schlüssel (Encrypting File System) des Wiederherstellungs-Agents in Windows Server 2003, Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2 sichern. Sie können den privaten Schlüssel des Wiederherstellungs-Agents verwenden, um Daten in Situationen wiederherzustellen, in denen die Kopie des privaten EFS-Schlüssels, die sich auf dem lokalen Computer befindet, verloren geht.

Sie können EFS verwenden, um Datendateien zu verschlüsseln, um nicht autorisierten Zugriff zu verhindern. EFS verwendet einen Verschlüsselungsschlüssel, der dynamisch generiert wird, um die Datei zu verschlüsseln. Der Dateiverschlüsselungsschlüssel (File Encryption Key, FEK) wird mit dem öffentlichen EFS-Schlüssel verschlüsselt und der Datei als EFS-Attribut mit dem Namen Data Decryption Field (DDF) hinzugefügt. Um den FEK zu entschlüsseln, benötigen Sie den entsprechenden privaten EFS-Schlüssel aus dem Öffentlich-Privaten Schlüsselpaar. Nachdem Sie den FEK entschlüsselt haben, können Sie den FEK verwenden, um die Datei zu entschlüsseln.

Wenn Ihr privater EFS-Schlüssel verloren geht, können Sie einen Wiederherstellungs-Agent verwenden, um verschlüsselte Dateien wiederherzustellen. Jedes Mal, wenn eine Datei verschlüsselt wird, wird der FEK auch mit dem öffentlichen Schlüssel des Wiederherstellungs-Agents verschlüsselt. Der verschlüsselte FEK wird mit der Kopie, die mit Ihrem öffentlichen EFS-Schlüssel im Datenwiederherstellungsfeld (DATA Recovery Field, DRF) verschlüsselt ist, an die Datei angefügt. Wenn Sie den privaten Schlüssel des Wiederherstellungs-Agents verwenden, können Sie den FEK entschlüsseln und dann die Datei entschlüsseln.

Wenn ein Computer, auf dem Microsoft Windows 2000 Professional ausgeführt wird, Mitglied einer Arbeitsgruppe oder Mitglied einer Microsoft Windows NT 4.0-Domäne ist, wird standardmäßig der lokale Administrator, der sich zuerst am Computer anmeldet, als Standardwiederherstellungs-Agent festgelegt. Wenn ein Computer, auf dem Windows XP oder Windows 2000 ausgeführt wird, Mitglied einer Windows Server 2003- oder Windows 2000-Domäne ist, wird standardmäßig das integrierte Administratorkonto auf dem ersten Domänencontroller in der Domäne als Standardwiederherstellungs-Agent festgelegt.

Ein Computer, auf dem Windows XP ausgeführt wird und Mitglied einer Arbeitsgruppe ist, verfügt nicht über einen Standardwiederherstellungs-Agent. Sie müssen manuell einen lokalen Wiederherstellungs-Agent erstellen.

Wichtig

Nachdem Sie den privaten Schlüssel auf eine Diskette oder ein anderes Wechselmedium exportiert haben, speichern Sie die Diskette oder das Medium an einem sicheren Speicherort. Wenn jemand Zugriff auf Ihren privaten EFS-Schlüssel erhält, kann diese Person Zugriff auf Ihre verschlüsselten Daten erhalten.

Exportieren des privaten Schlüssels des Wiederherstellungs-Agents von einem Computer, der Mitglied einer Arbeitsgruppe ist

Führen Sie die folgenden Schritte aus, um den privaten Schlüssel des Wiederherstellungs-Agents von einem Computer zu exportieren, der Mitglied einer Arbeitsgruppe ist:

  1. Melden Sie sich mit dem lokalen Benutzerkonto des Wiederherstellungs-Agents am Computer an.

  2. Klicken Sie auf Start und auf Ausführen. Geben Sie mmc ein, und klicken Sie dann auf OK.

  3. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen. Klicken Sie dann in Windows Server 2003, windows XP oder Windows 2000 auf Hinzufügen . Oder klicken Sie unter Windows Vista, Windows 7, Windows Server 2008 oder Windows Server 2008 R2 auf OK .

  4. Klicken Sie unter Verfügbare eigenständige Snap-Ins auf Zertifikate und dann auf Hinzufügen.

  5. Klicken Sie auf Mein Benutzerkonto und dann auf Fertig stellen.

  6. Klicken Sie auf Schließen und dann in Windows Server 2003, windows XP oder Windows 2000 auf OK . Oder klicken Sie unter Windows Vista, Windows 7, Windows Server 2008 oder Windows Server 2008 R2 auf OK .

  7. Doppelklicken Sie auf Zertifikate – Aktueller Benutzer, doppelklicken Sie auf Persönlich, und doppelklicken Sie dann auf Zertifikate.

  8. Suchen Sie das Zertifikat, das die Wörter "Dateiwiederherstellung" (ohne Anführungszeichen) in der Spalte Beabsichtigte Zwecke anzeigt.

  9. Klicken Sie mit der rechten Maustaste auf das Zertifikat, das Sie in Schritt 8 gefunden haben, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Exportieren. Der Zertifikatexport-Assistent wird gestartet.

  10. Klicken Sie auf Weiter.

  11. Klicken Sie auf Ja, privaten Schlüssel exportieren, und klicken Sie dann auf Weiter.

  12. Klicken Sie auf Persönlicher Informationsaustausch – PKCS #12 (. PFX).

    Hinweis

    Es wird dringend empfohlen, dass Sie auch das Kontrollkästchen Starken Schutz aktivieren aktivieren (erfordert IE 5.0, NT 4.0 SP4 oder höher ), um Ihren privaten Schlüssel vor nicht autorisiertem Zugriff zu schützen.

    Wenn Sie das Kontrollkästchen Privaten Schlüssel löschen aktivieren, wenn der Export erfolgreich war , wird der private Schlüssel vom Computer entfernt, und Sie können keine verschlüsselten Dateien entschlüsseln.

  13. Klicken Sie auf Weiter.

  14. Geben Sie ein Kennwort an, und klicken Sie dann auf Weiter.

  15. Geben Sie einen Dateinamen und einen Speicherort an, an den Sie das Zertifikat und den privaten Schlüssel exportieren möchten, und klicken Sie dann auf Weiter.

    Hinweis

    Es wird empfohlen, die Datei auf einem Datenträger oder auf einem Wechselmediengerät zu sichern und die Sicherung dann an einem Speicherort zu speichern, an dem Sie die physische Sicherheit der Sicherung bestätigen können.

  16. Überprüfen Sie die Einstellungen, die auf der Seite Assistenten zum Abschließen des Zertifikatexports angezeigt werden, und klicken Sie dann auf Fertig stellen.

Exportieren des privaten Schlüssels des Domänenwiederherstellungs-Agents

Der erste Domänencontroller in einer Domäne enthält das integrierte Administratorprofil, das das öffentliche Zertifikat und den privaten Schlüssel für den Standardwiederherstellungs-Agent der Domäne enthält. Das öffentliche Zertifikat wird in die Standarddomänenrichtlinie importiert und mithilfe von Gruppenrichtlinie auf Domänenclients angewendet. Wenn das Administratorprofil oder der erste Domänencontroller nicht mehr verfügbar ist, geht der private Schlüssel, der zum Entschlüsseln der verschlüsselten Dateien verwendet wird, verloren, und die Dateien können nicht über diesen Wiederherstellungs-Agent wiederhergestellt werden.

Um die Richtlinie für die Wiederherstellung verschlüsselter Daten zu finden, öffnen Sie die Standarddomänenrichtlinie im Snap-In Gruppenrichtlinie Object Editor, erweitern Sie Computerkonfiguration, erweitern Sie Windows-Einstellungen, sicherheitseinstellungen und dann Richtlinien für öffentliche Schlüssel.

Führen Sie die folgenden Schritte aus, um den privaten Schlüssel des Domänenwiederherstellungs-Agents zu exportieren:

  1. Suchen Sie den ersten Domänencontroller, der in der Domäne höhergestuft wurde.

  2. Melden Sie sich mit dem integrierten Administratorkonto beim Domänencontroller an.

  3. Klicken Sie auf Start und auf Ausführen. Geben Sie mmc ein, und klicken Sie dann auf OK.

  4. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen. Klicken Sie dann in Windows Server 2003 oder Windows 2000 auf Hinzufügen . Oder klicken Sie in Windows Server 2008 oder Windows Server 2008 R2 auf OK .

  5. Klicken Sie unter Verfügbare eigenständige Snap-Ins auf Zertifikate und dann auf Hinzufügen.

  6. Klicken Sie auf Mein Benutzerkonto und dann auf Fertig stellen.

  7. Klicken Sie auf Schließen und dann in Windows Server 2003 oder Windows 2000 auf OK . Oder klicken Sie in Windows Server 2008 oder Windows Server 2008 R2 auf OK .

  8. Doppelklicken Sie auf Zertifikate – Aktueller Benutzer, doppelklicken Sie auf Persönlich, und doppelklicken Sie dann auf Zertifikate.

  9. Suchen Sie das Zertifikat, das die Wörter "Dateiwiederherstellung" (ohne Anführungszeichen) in der Spalte Beabsichtigte Zwecke anzeigt.

  10. Klicken Sie mit der rechten Maustaste auf das Zertifikat, das Sie in Schritt 9 gefunden haben, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Exportieren. Der Zertifikatexport-Assistent wird gestartet.

  11. Klicken Sie auf Weiter.

  12. Klicken Sie auf Ja, privaten Schlüssel exportieren, und klicken Sie dann auf Weiter.

  13. Klicken Sie auf Persönlicher Informationsaustausch – PKCS #12 (. PFX).

    Hinweis

    Es wird dringend empfohlen, dass Sie das Kontrollkästchen Starken Schutz aktivieren (erfordert IE 5.0, NT 4.0 SP4 oder höher ) aktivieren, um Ihren privaten Schlüssel vor nicht autorisiertem Zugriff zu schützen.

    Wenn Sie das Kontrollkästchen Privaten Schlüssel löschen aktivieren, wenn der Export erfolgreich war , wird der private Schlüssel vom Domänencontroller entfernt. Als bewährte Methode wird empfohlen, diese Option zu verwenden. Installieren Sie den privaten Schlüssel des Wiederherstellungs-Agents nur in Situationen, in der Sie ihn zum Wiederherstellen von Dateien benötigen. Exportieren Und speichern Sie den privaten Schlüssel des Wiederherstellungs-Agents offline, um die Sicherheit zu gewährleisten.

  14. Klicken Sie auf Weiter.

  15. Geben Sie ein Kennwort an, und klicken Sie dann auf Weiter.

  16. Geben Sie einen Dateinamen und einen Speicherort an, an den Sie das Zertifikat und den privaten Schlüssel exportieren möchten, und klicken Sie dann auf Weiter.

    Hinweis

    Es wird empfohlen, die Datei auf einem Datenträger oder auf einem Wechselmediengerät zu sichern und die Sicherung dann an einem Speicherort zu speichern, an dem Sie die physische Sicherheit der Sicherung bestätigen können.

  17. Überprüfen Sie die Einstellungen, die auf der Seite Assistenten zum Abschließen des Zertifikatexports angezeigt werden, und klicken Sie dann auf Fertig stellen.