在 Windows 中备份恢复代理加密文件系统 (EFS) 私钥

  • 项目

本文介绍如何在计算机上备份恢复代理加密文件系统 (EFS) 私钥。

适用于:Windows 7 Service Pack 1,Windows Server 2012 R2
原始 KB 编号: 241201

摘要

在本地计算机上的 EFS 私钥副本丢失的情况下,使用恢复代理的私钥来恢复数据。 本文包含有关如何使用证书导出向导从作为工作组成员的计算机以及基于 Windows Server 2003、基于 Windows 2000、基于 Windows Server 2008 或基于 Windows Server 2008 R2 的域控制器导出恢复代理的私钥的信息。

简介

本文介绍如何在 Windows Server 2003、Windows 2000、Windows XP、Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 中备份恢复代理加密文件系统 (EFS) 私钥。 在本地计算机上的 EFS 私钥副本丢失的情况下,可以使用恢复代理的私钥来恢复数据。

可以使用 EFS 加密数据文件,以防止未经授权的访问。 EFS 使用动态生成的加密密钥来加密文件。 文件加密密钥 (FEK) 使用 EFS 公钥进行加密,并作为名为“数据解密字段”的 EFS 属性添加到文件中, (DDF) 。 若要解密 FEK,必须具有公钥-私钥对中的相应 EFS 私钥。 解密 FEK 后,可以使用 FEK 解密文件。

如果 EFS 私钥丢失,可以使用恢复代理来恢复加密的文件。 每次加密文件时,FEK 也会使用恢复代理的公钥进行加密。 加密的 FEK 与数据恢复字段中使用 EFS 公钥 (DRF) 进行加密的副本附加到该文件。 如果使用恢复代理的私钥,则可以解密 FEK,然后解密文件。

默认情况下,如果运行 Microsoft Windows 2000 Professional 的计算机是工作组的成员或 Microsoft Windows NT 4.0 域的成员,则首次登录到计算机的本地管理员被指定为默认恢复代理。 默认情况下,如果运行 Windows XP 或 Windows 2000 的计算机是 Windows Server 2003 域或 Windows 2000 域的成员,则域中第一个域控制器上的内置管理员帐户被指定为默认恢复代理。

运行 Windows XP 并且是工作组成员的计算机没有默认恢复代理。 必须手动创建本地恢复代理。

重要

将私钥导出到软盘或其他可移动媒体 后,将软盘或介质存储在安全位置。 如果有人获得了对 EFS 私钥的访问权限,该用户可以访问你的加密数据。

从属于工作组的计算机导出恢复代理的私钥

若要从属于工作组的计算机导出恢复代理的私钥,请执行以下步骤:

  1. 使用恢复代理的本地用户帐户登录到计算机。

  2. 单击“开始”,再单击“运行”,键入 mmc,然后单击“确定”。

  3. “文件”菜单上,单击“添加/删除管理单元”。 然后在 Windows Server 2003、Windows XP 或 Windows 2000 中单击“ 添加 ”。 或者在 Windows Vista、Windows 7、Windows Server 2008 或 Windows Server 2008 R2 中单击 “确定 ”。

  4. “可用的独立管理单元”下,单击“ 证书”,然后单击“ 添加”。

  5. 单击 “我的用户帐户”,然后单击“ 完成”。

  6. 单击“ 关闭”,然后在 Windows Server 2003、Windows XP 或 Windows 2000 中单击“ 确定 ”。 或者在 Windows Vista、Windows 7、Windows Server 2008 或 Windows Server 2008 R2 中单击 “确定 ”。

  7. 双击“ 证书 - 当前用户”,双击“ 个人”,然后双击“ 证书”。

  8. 找到显示“文件恢复”一词的证书, (“ 预期用途 ”列中没有引号) 。

  9. 右键单击在步骤 8 中找到的证书,指向 “所有任务”,然后单击“ 导出”。 证书导出向导将启动。

  10. 单击下一个

  11. 单击“ 是,导出私钥”,然后单击“ 下一步”。

  12. 单击“ 个人信息交换 - PKCS”#12 (。PFX) 。

    注意

    强烈建议同时单击以选中“启用强保护 (需要 IE 5.0、NT 4.0 SP4 或更高版本检查框,以保护私钥免受未经授权的访问。

    如果单击以选中“如果导出成功检查删除私钥”框,将从计算机中删除私钥,并且无法解密任何加密的文件。

  13. 单击下一个

  14. 指定密码,然后单击“ 下一步”。

  15. 指定要导出证书和私钥的文件名和位置,然后单击“ 下一步”。

    注意

    建议将文件备份到磁盘或可移动媒体设备,然后将备份存储在可以确认备份物理安全性的位置。

  16. 验证“完成证书导出向导”页上显示的设置,然后单击“ 完成”。

导出域恢复代理的私钥

域中的第一个域控制器包含内置管理员配置文件,该配置文件包含域的默认恢复代理的公共证书和私钥。 公共证书将导入默认域策略,并使用 组策略 应用于域客户端。 如果管理员配置文件或第一个域控制器不再可用,则用于解密加密文件的私钥将丢失,并且无法通过该恢复代理恢复文件。

若要查找“加密数据恢复”策略,请在“组策略对象”编辑器管理单元中打开“默认域策略”,依次展开“计算机配置”、“Windows 设置”、“安全设置”和“公钥策略”。

若要导出域恢复代理的私钥,请执行以下步骤:

  1. 找到在域中升级的第一个域控制器。

  2. 使用内置管理员帐户登录到域控制器。

  3. 单击“开始”,再单击“运行”,键入 mmc,然后单击“确定”。

  4. “文件”菜单上,单击“添加/删除管理单元”。 然后在 Windows Server 2003 或 Windows 2000 中单击“ 添加 ”。 或者在 Windows Server 2008 或 Windows Server 2008 R2 中单击“ 确定 ”。

  5. “可用的独立管理单元”下,单击“ 证书”,然后单击“ 添加”。

  6. 单击 “我的用户帐户”,然后单击“ 完成”。

  7. 单击“ 关闭”,然后在 Windows Server 2003 或 Windows 2000 中单击“ 确定 ”。 或者在 Windows Server 2008 或 Windows Server 2008 R2 中单击“ 确定 ”。

  8. 双击“ 证书 - 当前用户”,双击“ 个人”,然后双击“ 证书”。

  9. 找到显示“文件恢复”一词的证书, (“ 预期用途 ”列中没有引号) 。

  10. 右键单击在步骤 9 中找到的证书,指向 “所有任务”,然后单击“ 导出”。 证书导出向导将启动。

  11. 单击下一个

  12. 单击“ 是,导出私钥”,然后单击“ 下一步”。

  13. 单击“ 个人信息交换 - PKCS”#12 (。PFX) 。

    注意

    强烈建议单击以选中“启用强保护 (需要 IE 5.0、NT 4.0 SP4 或更高版本检查框,以保护私钥免受未经授权的访问。

    如果单击以选中“如果导出成功检查删除私钥”框,将从域控制器中删除私钥。 作为最佳做法,我们建议使用此选项。 仅在需要恢复文件时安装恢复代理的私钥。 在所有其他时间,导出恢复代理的私钥,然后脱机存储,以帮助维护其安全性。

  14. 单击下一个

  15. 指定密码,然后单击“ 下一步”。

  16. 指定要导出证书和私钥的文件名和位置,然后单击“ 下一步”。

    注意

    建议将文件备份到磁盘或可移动媒体设备,然后将备份存储在可以确认备份物理安全性的位置。

  17. 验证“完成证书导出向导”页上显示的设置,然后单击“ 完成”。