如何在 Windows Server 2003、Windows 2000 和 Windows XP 中备份恢复代理的加密文件系统 (EFS) 私钥
2009-04-17 16:13
531 查看
本
文介绍了如何在运行 Microsoft Windows Server 2003、Microsoft Windows 2000 或
Microsoft Windows XP 的计算机上备份恢复代理加密文件系统 (EFS) 私钥。当位于本地计算机上的 EFS
私钥副本丢失时,请使用恢复代理的私钥恢复数据。本文包含有关如何使用证书导出向导从工作组成员计算机以及从基于 Windows Server
2003 或 Windows 2000 的域控制器中导出恢复代理的私钥的信息。
回到顶端
简介
本文介绍了如何在 Windows Server 2003、Windows 2000 和 Windows XP 中备份恢复代理加密文件系统 (EFS) 私钥。当位于本地计算机上的 EFS 私钥副本丢失时,您可以使用恢复代理的私钥恢复数据。
您可以使用 EFS 加密数据文件以阻止未经授权的访问。EFS 使用动态生成的加密密钥来加密文件。文件加密密钥 (FEK) 使用 EFS
公钥加密,并且作为名为数据加密字段 (DDF) 的 EFS 属性添加到文件。要解密 FEK,您必须具有“公钥-私钥”对的相应 EFS
私钥。解密 FEK 后,就可以使用 FEK 解密文件。
如果 EFS
私钥丢失,可以使用恢复代理来恢复加密的文件。每次加密文件时,FEK 也将使用恢复代理的公钥进行加密。加密 FEK
将附加到具有副本的文件,此副本使用数据恢复字段 (DRF) 中的 EFS 公钥进行加密。如果使用的是恢复代理的私钥,则可以解密
FEK,然后解密文件。
默认情况下,如果运行 Microsoft Windows 2000 Professional
的计算机是工作组的成员或 Microsoft Windows NT 4.0
域的成员,则第一个登录此计算机的本地管理员将被指定为默认的恢复代理。默认情况下,如果运行 Windows XP 或 Windows 2000
的计算机是 Windows Server 2003 域或 Windows 2000
域的成员,则此域中第一个域控制器上的内置管理员帐户将被指定为默认的恢复代理。
注意,运行 Windows XP 且为工作组成员的计算机不具有默认的恢复代理。您必须手动创建本地恢复代理。
有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
255026
(http://support.microsoft.com/kb/255026/
)
本地管理员不总是默认加密文件系统的恢复代理
重要说明:将私钥导出到软盘或其他可移动媒体后,请将此软盘或媒体存放在安全位置。如果有人能够获取您的 EFS 私钥,则他也能够访问您的加密数据。
回到顶端
使用恢复代理的本地用户帐户登录到计算机。
单击开始,单击运行,键入 mmc,然后单击确定。
在“文件”菜单上,单击“添加/删除管理单元”,然后单击“添加”。
在“可用的独立管理单元”下,单击“证书”,然后单击“添加”。
单击“我的用户帐户”,然后单击“完成”。
单击“关闭”,然后单击“确定”。
双击“证书 – 当前用户”,双击“个人”,然后双击“证书”。
在“预期目的”列中找到显示“文件恢复”(无引号)一词的证书。
右键单击在步骤 8 中找到的证书,指向“所有任务”,然后单击“导出”。“证书导出向导”将启动。
单击“下一步”。
单击“是,导出私钥”,然后单击“下一步”。
单击“个人信息交换 - PKCS #12 (.PFX)”。
注意:我们极力建议您单击以选中“启用强保护(要求 IE 5.0、NT 4.0 SP4 或更高版本)”复选框,从而防止他人对您的私钥进行未经授权的访问。
如果您单击以选中“如果导出成功,删除密钥”复选框,则私钥将从计算机删除,并且无法解密所有加密文件。
单击“下一步”。
指定密码,然后单击“下一步”。
指定要导出证书和私钥的文件名和位置,然后单击“下一步”。
注意:我们建议您将文件备份到磁盘或可移动媒体设备,然后将备份存储在可以确认备份的物理安全的位置。
验证在“正在完成证书导出向导”页面上显示的设置,然后单击“完成”。
回到顶端
中的第一个域控制器包含内置管理员配置文件,其中包含用于域的默认恢复代理的公共证书和私钥。公共证书被导入到默认的域策略,并使用组策略应用到域客户
端。如果管理员配置文件或第一个域控制器不再可用,则用于解密加密文件的私钥将丢失,且文件不可以通过恢复代理进行恢复。
要找到加密数据恢复策略,请在组策略对象编辑器管理单元中打开默认的域策略,依次展开“计算机配置”、“Windows 设置”、“安全设置”和“公钥策略”。
要导出域恢复代理的私钥,请按照下列步骤操作:
找到在域中提升的第一个域控制器。
使用内置管理员帐户登录到域控制器。
单击开始,单击运行,键入 mmc,然后单击确定。
在“文件”菜单上,单击“添加/删除管理单元”,然后单击“添加”。
在“可用的独立管理单元”下,单击“证书”,然后单击“添加”。
单击“我的用户帐户”,然后单击“完成”。
单击“关闭”,然后单击“确定”。
双击“证书 – 当前用户”,双击“个人”,然后双击“证书”。
在“预期目的”列中找到显示“文件恢复”(无引号)一词的证书。
右键单击在步骤 9 中找到的证书,指向“所有任务”,然后单击“导出”。“证书导出向导”将启动。
单击“下一步”。
单击“是,导出私钥”,然后单击“下一步”。
单击“个人信息交换 - PKCS #12 (.PFX)”。
注意:我们极力建议您单击以选中“启用较强保护(要求 IE 5.0、NT 4.0 SP4 或更高版本)”复选框,从而防止他人对您的私钥进行未经授权的访问。
如果您单击以选中“如果导出成功,删除密钥”复选框,则此私钥将从域控制器删除。作为最佳做法,我们建议您使用此选项。只在需要恢复代理的私钥来恢复文件的情况下,才安装恢复代理的私钥。在所有其他时间内,导出并脱机存储恢复代理的私钥以维护其安全性。
单击“下一步”。
指定密码,然后单击“下一步”。
指定要导出证书和私钥的文件名和位置,然后单击“下一步”。
注意:我们建议您将文件备份到磁盘或可移动媒体设备,然后将备份存储在可以确认备份的物理安全的位置。
验证在“正在完成证书导出向导”页面上显示的设置,然后单击“完成”。
回到顶端
文介绍了如何在运行 Microsoft Windows Server 2003、Microsoft Windows 2000 或
Microsoft Windows XP 的计算机上备份恢复代理加密文件系统 (EFS) 私钥。当位于本地计算机上的 EFS
私钥副本丢失时,请使用恢复代理的私钥恢复数据。本文包含有关如何使用证书导出向导从工作组成员计算机以及从基于 Windows Server
2003 或 Windows 2000 的域控制器中导出恢复代理的私钥的信息。
回到顶端
简介
本文介绍了如何在 Windows Server 2003、Windows 2000 和 Windows XP 中备份恢复代理加...
本文介绍了如何在 Windows Server 2003、Windows 2000 和 Windows XP 中备份恢复代理加密文件系统 (EFS) 私钥。当位于本地计算机上的 EFS 私钥副本丢失时,您可以使用恢复代理的私钥恢复数据。您可以使用 EFS 加密数据文件以阻止未经授权的访问。EFS 使用动态生成的加密密钥来加密文件。文件加密密钥 (FEK) 使用 EFS
公钥加密,并且作为名为数据加密字段 (DDF) 的 EFS 属性添加到文件。要解密 FEK,您必须具有“公钥-私钥”对的相应 EFS
私钥。解密 FEK 后,就可以使用 FEK 解密文件。
如果 EFS
私钥丢失,可以使用恢复代理来恢复加密的文件。每次加密文件时,FEK 也将使用恢复代理的公钥进行加密。加密 FEK
将附加到具有副本的文件,此副本使用数据恢复字段 (DRF) 中的 EFS 公钥进行加密。如果使用的是恢复代理的私钥,则可以解密
FEK,然后解密文件。
默认情况下,如果运行 Microsoft Windows 2000 Professional
的计算机是工作组的成员或 Microsoft Windows NT 4.0
域的成员,则第一个登录此计算机的本地管理员将被指定为默认的恢复代理。默认情况下,如果运行 Windows XP 或 Windows 2000
的计算机是 Windows Server 2003 域或 Windows 2000
域的成员,则此域中第一个域控制器上的内置管理员帐户将被指定为默认的恢复代理。
注意,运行 Windows XP 且为工作组成员的计算机不具有默认的恢复代理。您必须手动创建本地恢复代理。
有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
255026
(http://support.microsoft.com/kb/255026/
)
本地管理员不总是默认加密文件系统的恢复代理
重要说明:将私钥导出到软盘或其他可移动媒体后,请将此软盘或媒体存放在安全位置。如果有人能够获取您的 EFS 私钥,则他也能够访问您的加密数据。
回到顶端
从工作组成员计算机中导出恢复代理的私钥
要从工作组成员计算机中导出恢复代理的私钥,请按照下列步骤操作:使用恢复代理的本地用户帐户登录到计算机。
单击开始,单击运行,键入 mmc,然后单击确定。
在“文件”菜单上,单击“添加/删除管理单元”,然后单击“添加”。
在“可用的独立管理单元”下,单击“证书”,然后单击“添加”。
单击“我的用户帐户”,然后单击“完成”。
单击“关闭”,然后单击“确定”。
双击“证书 – 当前用户”,双击“个人”,然后双击“证书”。
在“预期目的”列中找到显示“文件恢复”(无引号)一词的证书。
右键单击在步骤 8 中找到的证书,指向“所有任务”,然后单击“导出”。“证书导出向导”将启动。
单击“下一步”。
单击“是,导出私钥”,然后单击“下一步”。
单击“个人信息交换 - PKCS #12 (.PFX)”。
注意:我们极力建议您单击以选中“启用强保护(要求 IE 5.0、NT 4.0 SP4 或更高版本)”复选框,从而防止他人对您的私钥进行未经授权的访问。
如果您单击以选中“如果导出成功,删除密钥”复选框,则私钥将从计算机删除,并且无法解密所有加密文件。
单击“下一步”。
指定密码,然后单击“下一步”。
指定要导出证书和私钥的文件名和位置,然后单击“下一步”。
注意:我们建议您将文件备份到磁盘或可移动媒体设备,然后将备份存储在可以确认备份的物理安全的位置。
验证在“正在完成证书导出向导”页面上显示的设置,然后单击“完成”。
回到顶端
导出域恢复代理的私钥
域中的第一个域控制器包含内置管理员配置文件,其中包含用于域的默认恢复代理的公共证书和私钥。公共证书被导入到默认的域策略,并使用组策略应用到域客户
端。如果管理员配置文件或第一个域控制器不再可用,则用于解密加密文件的私钥将丢失,且文件不可以通过恢复代理进行恢复。
要找到加密数据恢复策略,请在组策略对象编辑器管理单元中打开默认的域策略,依次展开“计算机配置”、“Windows 设置”、“安全设置”和“公钥策略”。
要导出域恢复代理的私钥,请按照下列步骤操作:
找到在域中提升的第一个域控制器。
使用内置管理员帐户登录到域控制器。
单击开始,单击运行,键入 mmc,然后单击确定。
在“文件”菜单上,单击“添加/删除管理单元”,然后单击“添加”。
在“可用的独立管理单元”下,单击“证书”,然后单击“添加”。
单击“我的用户帐户”,然后单击“完成”。
单击“关闭”,然后单击“确定”。
双击“证书 – 当前用户”,双击“个人”,然后双击“证书”。
在“预期目的”列中找到显示“文件恢复”(无引号)一词的证书。
右键单击在步骤 9 中找到的证书,指向“所有任务”,然后单击“导出”。“证书导出向导”将启动。
单击“下一步”。
单击“是,导出私钥”,然后单击“下一步”。
单击“个人信息交换 - PKCS #12 (.PFX)”。
注意:我们极力建议您单击以选中“启用较强保护(要求 IE 5.0、NT 4.0 SP4 或更高版本)”复选框,从而防止他人对您的私钥进行未经授权的访问。
如果您单击以选中“如果导出成功,删除密钥”复选框,则此私钥将从域控制器删除。作为最佳做法,我们建议您使用此选项。只在需要恢复代理的私钥来恢复文件的情况下,才安装恢复代理的私钥。在所有其他时间内,导出并脱机存储恢复代理的私钥以维护其安全性。
单击“下一步”。
指定密码,然后单击“下一步”。
指定要导出证书和私钥的文件名和位置,然后单击“下一步”。
注意:我们建议您将文件备份到磁盘或可移动媒体设备,然后将备份存储在可以确认备份的物理安全的位置。
验证在“正在完成证书导出向导”页面上显示的设置,然后单击“完成”。
回到顶端
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 如何在 Windows Server 2003、Windows 2000 和 Windows XP 中备份恢复代理的加密文件系统 (EFS) 私钥
- 浅谈如何将 Windows 2000 域控制器升级到 Windows Server 2003
- 在Windows Server 2003 、Windows XP或者Windows 2000中安装 SQL SERVER 2008 开发版和企业版时,会遇到“性能计数器注册表配置单元一致性”检查失败
- Windows 2000、Windows XP、Windows Server 2003 和 Windows Vista 的管理信息库支持
- Windows 2000、Windows XP、Windows Server 2003 和 Windows Vista 的管理信息库支持
- 如何使用 Active Directory 迁移工具(第 2 版)从 Windows 2000 迁移到 Windows Server 2003
- 在 Windows Server 2003、Windows 2000 和 Windows NT 中配置页面文件以进行优化和恢复
- 如何将Windows 2000域控制器升级到Windows Server 2003
- 如何将Windows 2000域控制器升级到Windows Server 2003
- 如何在 Windows XP 和 Windows Server 2003 中备份、编辑和还原注册表
- 如何从 Windows 2000 RIS 服务器 部署Windows XP 图像
- Windows Administration at the Command Line for Windows 2003, Windows XP, and Windows 2000: In the Fi
- 在 SQL Server 2000 中对链接服务器运行分布式事务在您安装 Windows Server 2003 或 Windows XP Service Pack 2 时可能收到 7391 错误信息
- Windows 2000 的注册表备份和恢复
- 服务器群集:Windows Server 2003 备份和恢复的最佳做法
- 如何在 Windows XP 或 Windows Server 2003 的应用程序开发中实现 URL 验证
- 如何解决 Windows Server 2003 和 Windows XP 中丢失网络连接图标的问题
- 如何在 Windows 2000 XP 2003中编辑 Boot.ini 文件实现多重启动及该文件作用
- Windows 2000/2003下如何使用组策略禁止用户修改密码
- WINDOWS 2003的加密文件系统―EFS