在 Windows 中備份復原代理程式加密檔案系統 (EFS) 私鑰

  • 發行項

本文說明如何在計算機上備份復原代理程式加密文件系統 (EFS) 私鑰。

適用於:Windows 7 Service Pack 1,Windows Server 2012 R2
原始 KB 編號: 241201

摘要

當位於本機電腦上的 EFS 私鑰複本遺失時,請使用復原代理程式的私鑰來復原數據。 本文包含如何使用憑證導出精靈,從工作組成員的計算機,以及 Windows Server 2003 型 Windows 2000 型 Windows Server 2008 或 Windows Server 2008 R2 型域控制器導出復原代理程式私鑰的相關信息。

簡介

本文說明如何備份復原代理程式加密文件系統 (EFS) Windows Server 2003、Windows 2000、Windows XP、Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 中的私鑰。 當位於本機電腦上的 EFS 私鑰複本遺失時,您可以使用復原代理程式的私鑰來復原數據。

您可以使用 EFS 來加密資料檔,以防止未經授權的存取。 EFS 會使用動態產生的加密金鑰來加密檔案。 FEK) (檔案加密金鑰會使用 EFS 公鑰加密,並以 EFS 屬性新增至檔案,其名稱為數據解密字段 (DDF) 。 若要解密 FEK,您必須具有公開-私鑰組中對應的 EFS 私鑰。 解密 FEK 之後,您可以使用 FEK 來解密檔案。

如果您的 EFS 私鑰遺失,您可以使用復原代理程式來復原加密的檔案。 每次檔案加密時,FEK 也會使用復原代理程式的公鑰進行加密。 加密的FEK會附加至檔案,並在 [資料復原欄位] (DRF) 中使用EFS公鑰加密的複本。 如果您使用復原代理程式的私鑰,您可以解密 FEK,然後解密檔案。

根據預設,如果執行 Microsoft Windows 2000 Professional 的電腦是工作組的成員,或是 Microsoft Windows NT 4.0 網域的成員,則會將第一次登入計算機的本機系統管理員指定為默認復原代理程式。 根據預設,如果執行 Windows XP 或 Windows 2000 的電腦是 Windows Server 2003 網域或 Windows 2000 網域的成員,則網域中第一個域控制器上的內建系統管理員帳戶會指定為預設復原代理程式。

執行 Windows XP 且為工作組成員的電腦沒有預設的復原代理程式。 您必須手動建立本機復原代理程式。

重要事項

將私鑰導出至軟碟或其他抽取式媒體之後,請將磁碟或媒體儲存在安全的位置。 如果有人取得 EFS 私鑰的存取權,該人員就可以存取您的加密數據。

從工作組成員的計算機匯出復原代理程式的私鑰

若要從工作組成員的計算機匯出復原代理程式的私鑰,請遵循下列步驟:

  1. 使用復原代理程式的本機用戶帳戶登入計算機。

  2. 依次按一下 [開始]、[執行],輸入 mmc,然後按一下 [確定]。

  3. 在 [檔案] 功能表中,按一下 [新增/移除嵌入式管理單元]。 然後按兩下 Windows Server 2003、Windows XP 或 Windows 2000 中的 [ 新增 ]。 或在 Windows Vista、Windows 7、Windows Server 2008 或 Windows Server 2008 R2 中按兩下 [ 確定 ]。

  4. [可用的獨立嵌入式管理單元] 下,單擊 [ 憑證],然後按兩下 [ 新增]

  5. 按兩下 [我的使用者帳戶],然後按兩下 [ 完成]

  6. 單擊 [關閉],然後在 Windows Server 2003、Windows XP 或 Windows 2000 中按兩下 [ 確定 ]。 或在 Windows Vista、Windows 7、Windows Server 2008 或 Windows Server 2008 R2 中按兩下 [ 確定 ]。

  7. 按兩下 [ 憑證 - 目前使用者],按兩下 [ 個人],然後按兩下 [ 憑證]

  8. 找出在 [ 預定用途 ] 數據行中,不含引號 () 顯示 「檔案復原」字詞的憑證。

  9. 以滑鼠右鍵按下您在步驟 8 中找到的憑證,指向 [ 所有工作],然後按兩下 [ 導出]。 [憑證導出精靈] 隨即啟動。

  10. 按一下[下一步]

  11. 按兩下 [是],匯出私鑰,然後按 [ 下一步]

  12. 按兩下 [個人資訊交換 - PKCS #12 (]。PFX) 。

    注意事項

    我們強烈建議您也按兩下以選取 [ 啟用強式保護 (需要 IE 5.0、NT 4.0 SP4 或更新版本 ] 複選框,以保護您的私鑰免於未經授權的存取。

    如果您按下以選取 [ 如果匯出成功時刪除私鑰 ] 複選框,則會從電腦移除私鑰,而且您將無法解密任何加密的檔案。

  13. 按一下[下一步]

  14. 指定密碼,然後按 [ 下一步]

  15. 指定要匯出憑證和私鑰的檔名和位置,然後按 [ 下一步]

    注意事項

    建議您將檔案備份至磁碟或卸除式媒體裝置,然後將備份儲存在可確認備份實體安全性的位置。

  16. 確認 [正在完成憑證匯出精靈] 頁面上顯示的設定,然後按兩下 [ 完成]

匯出網域復原代理程式的私鑰

網域中的第一個域控制器包含內建的系統管理員配置檔,其中包含公用憑證和網域默認復原代理程式的私鑰。 公用憑證會匯入預設網域原則,並使用 群組原則 套用至網域用戶端。 如果系統管理員配置檔或第一個域控制器已無法使用,則用來解密加密檔案的私鑰將會遺失,而且無法透過該復原代理程序復原檔案。

若要找出加密數據復原原則,請在 [群組原則 物件] 編輯器 嵌入式管理單元中開啟 [預設網域原則],依序展開 [計算機設定]、[Windows 設定]、[安全性設定],然後展開 [公鑰原則]

若要匯出網域復原代理程式的私鑰,請遵循下列步驟:

  1. 找出網域中升級的第一個域控制器。

  2. 使用內建的系統管理員帳戶登入域控制器。

  3. 依次按一下 [開始]、[執行],輸入 mmc,然後按一下 [確定]。

  4. 在 [檔案] 功能表中,按一下 [新增/移除嵌入式管理單元]。 然後按下 Windows Server 2003 或 Windows 2000 中的 [ 新增 ]。 或在 Windows Server 2008 或 Windows Server 2008 R2 中按兩下 [ 確定 ]。

  5. [可用的獨立嵌入式管理單元] 下,單擊 [ 憑證],然後按兩下 [ 新增]

  6. 按兩下 [我的使用者帳戶],然後按兩下 [ 完成]

  7. 按兩下 [關閉],然後在 Windows Server 2003 或 Windows 2000 中按兩下 [ 確定 ]。 或在 Windows Server 2008 或 Windows Server 2008 R2 中按兩下 [ 確定 ]。

  8. 按兩下 [ 憑證 - 目前使用者],按兩下 [ 個人],然後按兩下 [ 憑證]

  9. 找出在 [ 預定用途 ] 數據行中,不含引號 () 顯示 「檔案復原」字詞的憑證。

  10. 以滑鼠右鍵按下您在步驟 9 中找到的憑證,指向 [ 所有工作],然後按兩下 [ 導出]。 [憑證導出精靈] 隨即啟動。

  11. 按一下[下一步]

  12. 按兩下 [是],匯出私鑰,然後按 [ 下一步]

  13. 按兩下 [個人資訊交換 - PKCS #12 (]。PFX) 。

    注意事項

    強烈建議您按下以選取 [ 啟用強式保護 (需要 IE 5.0、NT 4.0 SP4 或更新版本 ] 複選框,以保護您的私鑰免於未經授權的存取。

    如果您按下以選取 [ 如果匯出成功時刪除私鑰 ] 複選框,則會從域控制器中移除私鑰。 最佳做法是建議您使用此選項。 只有在您需要復原檔案時,才安裝復原代理程式的私鑰。 在所有其他時間,匯出,然後離線儲存復原代理程式的私鑰,以協助維護其安全性。

  14. 按一下[下一步]

  15. 指定密碼,然後按 [ 下一步]

  16. 指定要匯出憑證和私鑰的檔名和位置,然後按 [ 下一步]

    注意事項

    建議您將檔案備份至磁碟或卸除式媒體裝置,然後將備份儲存在可確認備份實體安全性的位置。

  17. 確認 [正在完成憑證匯出精靈] 頁面上顯示的設定,然後按兩下 [ 完成]