Fazer backup da chave privada do EFS (sistema de arquivos de criptografia) do agente de recuperação no Windows

  • Artigo

Este artigo descreve como fazer backup da chave privada EFS (sistema de arquivos de criptografia) do agente de recuperação em um computador.

Aplica-se a: Windows 7 Service Pack 1, Windows Server 2012 R2
Número de KB original: 241201

Resumo

Use a chave privada do agente de recuperação para recuperar dados em situações em que a cópia da chave privada EFS localizada no computador local é perdida. Este artigo contém informações sobre como usar o Assistente de Exportação de Certificados para exportar a chave privada do agente de recuperação de um computador que é membro de um grupo de trabalho e de um controlador de domínio baseado no Windows Server 2003, baseado em Windows 2000, com base no Windows Server 2008 ou no Windows Server 2008 R2.

Introdução

Este artigo descreve como fazer backup da chave privada do EFS (recovery agent Encrypting File System) no Windows Server 2003, no Windows 2000, no Windows XP, no Windows Vista, no Windows 7, no Windows Server 2008 e no Windows Server 2008 R2. Você pode usar a chave privada do agente de recuperação para recuperar dados em situações em que a cópia da chave privada EFS localizada no computador local é perdida.

Você pode usar o EFS para criptografar arquivos de dados para impedir o acesso não autorizado. O EFS usa uma chave de criptografia gerada dinamicamente para criptografar o arquivo. A FEK (Chave de Criptografia de Arquivo) é criptografada com a chave pública EFS e é adicionada ao arquivo como um atributo EFS chamado DDF (Campo de Descriptografia de Dados). Para descriptografar o FEK, você deve ter a chave privada EFS correspondente do par de chaves público-privada. Depois de descriptografar o FEK, você pode usar o FEK para descriptografar o arquivo.

Se sua chave privada EFS for perdida, você poderá usar um agente de recuperação para recuperar arquivos criptografados. Sempre que um arquivo é criptografado, o FEK também é criptografado com a chave pública do Agente de Recuperação. O FEK criptografado é anexado ao arquivo com a cópia criptografada com sua chave pública EFS no Campo de Recuperação de Dados (DRF). Se você usar a chave privada do agente de recuperação, poderá descriptografar o FEK e descriptografar o arquivo.

Por padrão, se um computador que está executando o Microsoft Windows 2000 Professional for membro de um grupo de trabalho ou for membro de um domínio do Microsoft Windows NT 4.0, o administrador local que faz logon no computador será designado como o agente de recuperação padrão. Por padrão, se um computador que está executando o Windows XP ou Windows 2000 for membro de um domínio do Windows Server 2003 ou de um domínio do Windows 2000, a conta de administrador interna no primeiro controlador de domínio no domínio será designada como o agente de recuperação padrão.

Um computador que está executando o Windows XP e que é membro de um grupo de trabalho não tem um agente de recuperação padrão. Você precisa criar manualmente um agente de recuperação local.

Importante

Depois de exportar a chave privada para um disquete ou outra mídia removível, armazene o disquete ou a mídia em um local seguro. Se alguém tiver acesso à chave privada do EFS, essa pessoa poderá obter acesso aos seus dados criptografados.

Exportar a chave privada do agente de recuperação de um computador que é membro de um grupo de trabalho

Para exportar a chave privada do agente de recuperação de um computador que é membro de um grupo de trabalho, siga estas etapas:

  1. Faça logon no computador usando a conta de usuário local do agente de recuperação.

  2. Clique em Iniciar, clique em Executar, digite mmc e clique em OK.

  3. No menu Arquivo, clique em Adicionar/Remover Snap-in. Em seguida, clique em Adicionar no Windows Server 2003, no Windows XP ou no Windows 2000. Ou clique em OK no Windows Vista, no Windows 7, no Windows Server 2008 ou no Windows Server 2008 R2.

  4. Em Snap-ins autônomos disponíveis, clique em Certificados e clique em Adicionar.

  5. Clique em Minha conta de usuário e clique em Concluir.

  6. Clique em Fechar e clique em OK no Windows Server 2003, no Windows XP ou no Windows 2000. Ou clique em OK no Windows Vista, no Windows 7, no Windows Server 2008 ou no Windows Server 2008 R2.

  7. Clique duas vezes em Certificados – Usuário Atual, clique duas vezes em Pessoal e clique duas vezes em Certificados.

  8. Localize o certificado que exibe as palavras "Recuperação de Arquivo" (sem as aspas) na coluna Propósitos pretendidos .

  9. Clique com o botão direito do mouse no certificado localizado na etapa 8, aponte para Todas as Tarefas e clique em Exportar. O Assistente de Exportação de Certificados é iniciado.

  10. Clique em Próximo.

  11. Clique em Sim, exporte a chave privada e clique em Avançar.

  12. Clique em Troca de Informações Pessoais – PKCS #12 (. PFX).

    Observação

    Recomendamos que você também clique para selecionar a caixa Habilitar proteção forte (requer IE 5.0, NT 4.0 SP4 ou superior marcar caixa para proteger sua chave privada contra acesso não autorizado.

    Se você clicar para selecionar a caixa Excluir a chave privada se a exportação for bem-sucedida marcar caixa, a chave privada será removida do computador e você não poderá descriptografar nenhum arquivo criptografado.

  13. Clique em Próximo.

  14. Especifique uma senha e clique em Avançar.

  15. Especifique um nome de arquivo e local em que você deseja exportar o certificado e a chave privada e clique em Avançar.

    Observação

    Recomendamos fazer backup do arquivo em um disco ou em um dispositivo de mídia removível e armazenar o backup em um local onde você pode confirmar a segurança física do backup.

  16. Verifique as configurações exibidas na página Concluir o Assistente de Exportação de Certificados e clique em Concluir.

Exportar a chave privada do agente de recuperação de domínio

O primeiro controlador de domínio em um domínio contém o perfil de administrador interno que contém o certificado público e a chave privada para o agente de recuperação padrão do domínio. O certificado público é importado para a Política de Domínio Padrão e é aplicado a clientes de domínio usando Política de Grupo. Se o perfil administrador ou se o primeiro controlador de domínio não estiver mais disponível, a chave privada usada para descriptografar os arquivos criptografados será perdida e os arquivos não poderão ser recuperados por meio desse agente de recuperação.

Para localizar a política de Recuperação de Dados Criptografados, abra a Política de Domínio Padrão no Política de Grupo Objeto Editor snap-in, expanda Configuração do Computador, expanda Configurações do Windows, expanda Configurações de Segurança e expanda Políticas de Chave Pública.

Para exportar a chave privada do agente de recuperação de domínio, siga estas etapas:

  1. Localize o primeiro controlador de domínio que foi promovido no domínio.

  2. Faça logon no controlador de domínio usando a conta interna do Administrador.

  3. Clique em Iniciar, clique em Executar, digite mmc e clique em OK.

  4. No menu Arquivo, clique em Adicionar/Remover Snap-in. Em seguida, clique em Adicionar no Windows Server 2003 ou no Windows 2000. Ou clique em OK no Windows Server 2008 ou no Windows Server 2008 R2.

  5. Em Snap-ins autônomos disponíveis, clique em Certificados e clique em Adicionar.

  6. Clique em Minha conta de usuário e clique em Concluir.

  7. Clique em Fechar e clique em OK no Windows Server 2003 ou no Windows 2000. Ou clique em OK no Windows Server 2008 ou no Windows Server 2008 R2.

  8. Clique duas vezes em Certificados – Usuário Atual, clique duas vezes em Pessoal e clique duas vezes em Certificados.

  9. Localize o certificado que exibe as palavras "Recuperação de Arquivo" (sem as aspas) na coluna Propósitos pretendidos .

  10. Clique com o botão direito do mouse no certificado localizado na etapa 9, aponte para Todas as Tarefas e clique em Exportar. O Assistente de Exportação de Certificados é iniciado.

  11. Clique em Próximo.

  12. Clique em Sim, exporte a chave privada e clique em Avançar.

  13. Clique em Troca de Informações Pessoais – PKCS #12 (. PFX).

    Observação

    Recomendamos que você clique para selecionar a caixa Habilitar proteção forte (requer IE 5.0, NT 4.0 SP4 ou superior marcar caixa para proteger sua chave privada contra acesso não autorizado.

    Se você clicar para selecionar a tecla Excluir a chave privada se a exportação for bem-sucedida marcar caixa, a chave privada será removida do controlador de domínio. Como prática recomendada, recomendamos que você use essa opção. Instale a chave privada do agente de recuperação somente em situações quando você precisar dela para recuperar arquivos. Em todos os outros momentos, exporte e armazene a chave privada do agente de recuperação offline para ajudar a manter sua segurança.

  14. Clique em Próximo.

  15. Especifique uma senha e clique em Avançar.

  16. Especifique um nome de arquivo e local em que você deseja exportar o certificado e a chave privada e clique em Avançar.

    Observação

    Recomendamos fazer backup do arquivo em um disco ou em um dispositivo de mídia removível e armazenar o backup em um local onde você pode confirmar a segurança física do backup.

  17. Verifique as configurações exibidas na página Concluir o Assistente de Exportação de Certificados e clique em Concluir.