Tworzenie kopii zapasowej klucza prywatnego programu Recovery Agent Encrypting File System (EFS) w systemie Windows

  • Artykuł

W tym artykule opisano sposób tworzenia kopii zapasowej klucza prywatnego programu Recovery Agent Encrypting File System (EFS) na komputerze.

Dotyczy systemów: Windows 7 z dodatkiem Service Pack 1 i Windows Server 2012 R2
Oryginalny numer KB: 241201

Podsumowanie

Użyj klucza prywatnego agenta odzyskiwania, aby odzyskać dane w sytuacjach utraty kopii klucza prywatnego EFS znajdującego się na komputerze lokalnym. Ten artykuł zawiera informacje dotyczące sposobu używania Kreatora eksportu certyfikatów do eksportowania klucza prywatnego agenta odzyskiwania z komputera należącego do grupy roboczej oraz z kontrolera domeny opartego na systemie Windows Server 2003 z systemem Windows Server 2000, Windows Server 2008 lub Windows Server 2008 R2.

Wprowadzenie

W tym artykule opisano sposób tworzenia kopii zapasowej klucza prywatnego programu Recovery Agent Encrypting File System (EFS) w systemie Windows Server 2003, Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2008 i Windows Server 2008 R2. Klucz prywatny agenta odzyskiwania umożliwia odzyskiwanie danych w sytuacjach, gdy zostanie utracona kopia klucza prywatnego efs znajdującego się na komputerze lokalnym.

Za pomocą systemu EFS można szyfrować pliki danych, aby zapobiec nieautoryzowanemu dostępowi. Program EFS używa klucza szyfrowania, który jest generowany dynamicznie do szyfrowania pliku. Klucz szyfrowania plików (FEK) jest szyfrowany przy użyciu klucza publicznego efs i jest dodawany do pliku jako atrybut EFS o nazwie Data Decryption Field (DDF). Aby odszyfrować klucz FEK, musisz mieć odpowiedni klucz prywatny EFS z pary kluczy publiczno-prywatnych. Po odszyfrowywaniu klucza FEK możesz użyć klucza FEK do odszyfrowania pliku.

Jeśli klucz prywatny efs zostanie utracony, możesz użyć agenta odzyskiwania do odzyskania zaszyfrowanych plików. Za każdym razem, gdy plik jest szyfrowany, klucz FEK jest również szyfrowany przy użyciu klucza publicznego agenta odzyskiwania. Zaszyfrowany klucz FEK jest dołączony do pliku z kopią zaszyfrowaną za pomocą klucza publicznego EFS w polu odzyskiwania danych (DRF). Jeśli używasz klucza prywatnego agenta odzyskiwania, możesz odszyfrować klucz FEK, a następnie odszyfrować plik.

Domyślnie, jeśli komputer z systemem Microsoft Windows 2000 Professional jest członkiem grupy roboczej lub jest członkiem domeny systemu Microsoft Windows NT 4.0, administrator lokalny, który po raz pierwszy loguje się do komputera jest wyznaczony jako domyślny agent odzyskiwania. Domyślnie, jeśli komputer z systemem Windows XP lub Windows 2000 jest członkiem domeny systemu Windows Server 2003 lub systemu Windows 2000, wbudowane konto administratora na pierwszym kontrolerze domeny w domenie jest wyznaczony jako domyślny agent odzyskiwania.

Komputer z systemem Windows XP, który jest członkiem grupy roboczej, nie ma domyślnego agenta odzyskiwania. Musisz ręcznie utworzyć lokalnego agenta odzyskiwania.

Ważna

Po wyeksportowaniu klucza prywatnego na dyskietkę lub inny nośnik wymienny zapisz dyskietkę lub nośnik w bezpiecznej lokalizacji. Jeśli ktoś uzyska dostęp do twojego klucza prywatnego efs, ta osoba może uzyskać dostęp do zaszyfrowanych danych.

Eksportowanie klucza prywatnego agenta odzyskiwania z komputera należącego do grupy roboczej

Aby wyeksportować klucz prywatny agenta odzyskiwania z komputera należącego do grupy roboczej, wykonaj następujące kroki:

  1. Zaloguj się na komputerze przy użyciu konta użytkownika lokalnego agenta odzyskiwania.

  2. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz mmc, a następnie kliknij przycisk OK.

  3. W menu Plik kliknij polecenie Dodaj/Usuń przystawkę. Następnie kliknij pozycję Dodaj w systemie Windows Server 2003, Windows XP lub Windows 2000. Możesz też kliknąć przycisk OK w systemie Windows Vista, Windows 7, Windows Server 2008 lub Windows Server 2008 R2.

  4. W obszarze Dostępne autonomiczne przystawki kliknij pozycję Certyfikaty, a następnie kliknij pozycję Dodaj.

  5. Kliknij pozycję Moje konto użytkownika, a następnie kliknij przycisk Zakończ.

  6. Kliknij przycisk Zamknij, a następnie kliknij przycisk OK w systemie Windows Server 2003, Windows XP lub Windows 2000. Możesz też kliknąć przycisk OK w systemie Windows Vista, Windows 7, Windows Server 2008 lub Windows Server 2008 R2.

  7. Kliknij dwukrotnie pozycję Certyfikaty — bieżący użytkownik, kliknij dwukrotnie pozycję Osobiste, a następnie kliknij dwukrotnie pozycję Certyfikaty.

  8. Znajdź certyfikat, który wyświetla słowa "Odzyskiwanie plików" (bez cudzysłowów) w kolumnie Zamierzone cele .

  9. Kliknij prawym przyciskiem myszy certyfikat znajdujący się w kroku 8, wskaż pozycję Wszystkie zadania, a następnie kliknij pozycję Eksportuj. Zostanie uruchomiony Kreator eksportu certyfikatów.

  10. Kliknij Dalej.

  11. Kliknij przycisk Tak, wyeksportuj klucz prywatny, a następnie kliknij przycisk Dalej.

  12. Kliknij pozycję Wymiana informacji osobistych — PKCS #12 (. PFX).

    Uwaga

    Zdecydowanie zalecamy również kliknięcie opcji Włącz silną ochronę (wymaga pola wyboru IE 5.0, NT 4.0 z dodatkiem SP4 lub nowszym w celu ochrony klucza prywatnego przed nieautoryzowanym dostępem.

    Jeśli klikniesz, aby zaznaczyć pole wyboru Usuń klucz prywatny, jeśli eksport zakończy się pomyślnie , klucz prywatny zostanie usunięty z komputera i nie będzie można odszyfrować żadnych zaszyfrowanych plików.

  13. Kliknij Dalej.

  14. Określ hasło, a następnie kliknij przycisk Dalej.

  15. Określ nazwę pliku i lokalizację, w której chcesz wyeksportować certyfikat i klucz prywatny, a następnie kliknij przycisk Dalej.

    Uwaga

    Zalecamy utworzenie kopii zapasowej pliku na dysku lub na wymiennym urządzeniu multimedialnym, a następnie zapisanie kopii zapasowej w lokalizacji, w której można potwierdzić fizyczne bezpieczeństwo kopii zapasowej.

  16. Sprawdź ustawienia wyświetlane na stronie Kończenie pracy Kreatora eksportu certyfikatów, a następnie kliknij przycisk Zakończ.

Eksportowanie klucza prywatnego agenta odzyskiwania domeny

Pierwszy kontroler domeny w domenie zawiera wbudowany profil administratora, który zawiera certyfikat publiczny i klucz prywatny dla domyślnego agenta odzyskiwania domeny. Certyfikat publiczny jest importowany do domyślnych zasad domeny i stosowany do klientów domeny przy użyciu zasady grupy. Jeśli profil administratora lub pierwszy kontroler domeny nie jest już dostępny, klucz prywatny używany do odszyfrowywania zaszyfrowanych plików zostaje utracony i nie można odzyskać plików za pośrednictwem tego agenta odzyskiwania.

Aby zlokalizować zasady odzyskiwania zaszyfrowanych danych, otwórz domyślne zasady domeny w przystawce Redaktor obiektu zasady grupy, rozwiń węzeł Konfiguracja komputera, rozwiń węzeł Ustawienia systemu Windows, rozwiń węzeł Ustawienia zabezpieczeń, a następnie rozwiń węzeł Zasady klucza publicznego.

Aby wyeksportować klucz prywatny agenta odzyskiwania domeny, wykonaj następujące kroki:

  1. Znajdź pierwszy kontroler domeny, który został promowany w domenie.

  2. Zaloguj się do kontrolera domeny przy użyciu wbudowanego konta administratora.

  3. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz mmc, a następnie kliknij przycisk OK.

  4. W menu Plik kliknij polecenie Dodaj/Usuń przystawkę. Następnie kliknij pozycję Dodaj w systemie Windows Server 2003 lub Windows 2000. Możesz też kliknąć przycisk OK w systemie Windows Server 2008 lub Windows Server 2008 R2.

  5. W obszarze Dostępne autonomiczne przystawki kliknij pozycję Certyfikaty, a następnie kliknij pozycję Dodaj.

  6. Kliknij pozycję Moje konto użytkownika, a następnie kliknij przycisk Zakończ.

  7. Kliknij przycisk Zamknij, a następnie kliknij przycisk OK w systemie Windows Server 2003 lub Windows 2000. Możesz też kliknąć przycisk OK w systemie Windows Server 2008 lub Windows Server 2008 R2.

  8. Kliknij dwukrotnie pozycję Certyfikaty — bieżący użytkownik, kliknij dwukrotnie pozycję Osobiste, a następnie kliknij dwukrotnie pozycję Certyfikaty.

  9. Znajdź certyfikat, który wyświetla słowa "Odzyskiwanie plików" (bez cudzysłowów) w kolumnie Zamierzone cele .

  10. Kliknij prawym przyciskiem myszy certyfikat znajdujący się w kroku 9, wskaż polecenie Wszystkie zadania, a następnie kliknij pozycję Eksportuj. Zostanie uruchomiony Kreator eksportu certyfikatów.

  11. Kliknij Dalej.

  12. Kliknij przycisk Tak, wyeksportuj klucz prywatny, a następnie kliknij przycisk Dalej.

  13. Kliknij pozycję Wymiana informacji osobistych — PKCS #12 (. PFX).

    Uwaga

    Zdecydowanie zalecamy kliknięcie opcji Włącz silną ochronę (wymaga pola wyboru IE 5.0, NT 4.0 z dodatkiem SP4 lub nowszym w celu ochrony klucza prywatnego przed nieautoryzowanym dostępem.

    Jeśli klikniesz, aby zaznaczyć pole wyboru Usuń klucz prywatny, jeśli eksport zakończy się pomyślnie , klucz prywatny zostanie usunięty z kontrolera domeny. Najlepszym rozwiązaniem jest użycie tej opcji. Zainstaluj klucz prywatny agenta odzyskiwania tylko w sytuacjach, gdy jest on potrzebny do odzyskania plików. W innym czasie wyeksportuj, a następnie zapisz klucz prywatny agenta odzyskiwania w trybie offline, aby pomóc w utrzymaniu jego zabezpieczeń.

  14. Kliknij Dalej.

  15. Określ hasło, a następnie kliknij przycisk Dalej.

  16. Określ nazwę pliku i lokalizację, w której chcesz wyeksportować certyfikat i klucz prywatny, a następnie kliknij przycisk Dalej.

    Uwaga

    Zalecamy utworzenie kopii zapasowej pliku na dysku lub na wymiennym urządzeniu multimedialnym, a następnie zapisanie kopii zapasowej w lokalizacji, w której można potwierdzić fizyczne bezpieczeństwo kopii zapasowej.

  17. Sprawdź ustawienia wyświetlane na stronie Kończenie pracy Kreatora eksportu certyfikatów, a następnie kliknij przycisk Zakończ.