本 文介紹了如何在運行 Microsoft Windows Server 2003、Microsoft Windows 2000 或 Microsoft Windows XP 的計算機上備份恢復代理加密文件系統 (EFS) 私鑰。當位于本地計算機上的 EFS 私鑰副本丟失時，請使用恢復代理的私鑰恢復數據。本文包含有關如何使用證書導出向導從工作組成員計算機以及從基于 Windows Server 2003 或 Windows 2000 的域控制器中導出恢復代理的私鑰的信息。 回到頂端

簡介

本文介紹了如何在 Windows Server 2003、Windows 2000 和 Windows XP 中備份恢復代理加...

本文介紹了如何在 Windows Server 2003、Windows 2000 和 Windows XP 中備份恢復代理加密文件系統 (EFS) 私鑰。當位于本地計算機上的 EFS 私鑰副本丟失時，您可以使用恢復代理的私鑰恢復數據。

您可以使用 EFS 加密數據文件以阻止未經授權的訪問。EFS 使用動態生成的加密密鑰來加密文件。文件加密密鑰 (FEK) 使用 EFS 公鑰加密，并且作為名為數據加密字段 (DDF) 的 EFS 屬性添加到文件。要解密 FEK，您必須具有“公鑰-私鑰”對的相應 EFS 私鑰。解密 FEK 后，就可以使用 FEK 解密文件。

如果 EFS 私鑰丟失，可以使用恢復代理來恢復加密的文件。每次加密文件時，FEK 也將使用恢復代理的公鑰進行加密。加密 FEK 將附加到具有副本的文件，此副本使用數據恢復字段 (DRF) 中的 EFS 公鑰進行加密。如果使用的是恢復代理的私鑰，則可以解密 FEK，然后解密文件。

默認情況下，如果運行 Microsoft Windows 2000 Professional 的計算機是工作組的成員或 Microsoft Windows NT 4.0 域的成員，則第一個登錄此計算機的本地管理員將被指定為默認的恢復代理。默認情況下，如果運行 Windows XP 或 Windows 2000 的計算機是 Windows Server 2003 域或 Windows 2000 域的成員，則此域中第一個域控制器上的內置管理員帳戶將被指定為默認的恢復代理。

注意，運行 Windows XP 且為工作組成員的計算機不具有默認的恢復代理。您必須手動創建本地恢復代理。 有關更多信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章： 255026? (http://support.microsoft.com/kb/255026/ ) 本地管理員不總是默認加密文件系統的恢復代理

重要說明：將私鑰導出到軟盤或其他可移動媒體后，請將此軟盤或媒體存放在安全位置。如果有人能夠獲取您的 EFS 私鑰，則他也能夠訪問您的加密數據。

回到頂端

從工作組成員計算機中導出恢復代理的私鑰

要從工作組成員計算機中導出恢復代理的私鑰，請按照下列步驟操作：

使用恢復代理的本地用戶帳戶登錄到計算機。

單擊開始，單擊運行，鍵入 mmc，然后單擊確定。

在“文件”菜單上，單擊“添加/刪除管理單元”，然后單擊“添加”。

在“可用的獨立管理單元”下，單擊“證書”，然后單擊“添加”。

單擊“我的用戶帳戶”，然后單擊“完成”。

單擊“關閉”，然后單擊“確定”。

雙擊“證書 – 當前用戶”，雙擊“個人”，然后雙擊“證書”。

在“預期目的”列中找到顯示“文件恢復”（無引號）一詞的證書。

右鍵單擊在步驟 8 中找到的證書，指向“所有任務”，然后單擊“導出”。“證書導出向導”將啟動。

單擊“下一步”。

單擊“是，導出私鑰”，然后單擊“下一步”。

單擊“個人信息交換 - PKCS #12 (.PFX)”。

注意：我們極力建議您單擊以選中“啟用強保護(要求 IE 5.0、NT 4.0 SP4 或更高版本)”復選框，從而防止他人對您的私鑰進行未經授權的訪問。

如果您單擊以選中“如果導出成功，刪除密鑰”復選框，則私鑰將從計算機刪除，并且無法解密所有加密文件。

單擊“下一步”。

指定密碼，然后單擊“下一步”。

指定要導出證書和私鑰的文件名和位置，然后單擊“下一步”。

注意：我們建議您將文件備份到磁盤或可移動媒體設備，然后將備份存儲在可以確認備份的物理安全的位置。

驗證在“正在完成證書導出向導”頁面上顯示的設置，然后單擊“完成”。

回到頂端

導出域恢復代理的私鑰

域 中的第一個域控制器包含內置管理員配置文件，其中包含用于域的默認恢復代理的公共證書和私鑰。公共證書被導入到默認的域策略，并使用組策略應用到域客戶 端。如果管理員配置文件或第一個域控制器不再可用，則用于解密加密文件的私鑰將丟失，且文件不可以通過恢復代理進行恢復。

要找到加密數據恢復策略，請在組策略對象編輯器管理單元中打開默認的域策略，依次展開“計算機配置”、“Windows 設置”、“安全設置”和“公鑰策略”。

要導出域恢復代理的私鑰，請按照下列步驟操作：

找到在域中提升的第一個域控制器。

使用內置管理員帳戶登錄到域控制器。

單擊開始，單擊運行，鍵入 mmc，然后單擊確定。

在“文件”菜單上，單擊“添加/刪除管理單元”，然后單擊“添加”。

在“可用的獨立管理單元”下，單擊“證書”，然后單擊“添加”。

單擊“我的用戶帳戶”，然后單擊“完成”。

單擊“關閉”，然后單擊“確定”。

雙擊“證書 – 當前用戶”，雙擊“個人”，然后雙擊“證書”。

在“預期目的”列中找到顯示“文件恢復”（無引號）一詞的證書。

右鍵單擊在步驟 9 中找到的證書，指向“所有任務”，然后單擊“導出”。“證書導出向導”將啟動。

單擊“下一步”。

單擊“是，導出私鑰”，然后單擊“下一步”。

單擊“個人信息交換 - PKCS #12 (.PFX)”。

注意：我們極力建議您單擊以選中“啟用較強保護(要求 IE 5.0、NT 4.0 SP4 或更高版本)”復選框，從而防止他人對您的私鑰進行未經授權的訪問。

如果您單擊以選中“如果導出成功，刪除密鑰”復選框，則此私鑰將從域控制器刪除。作為最佳做法，我們建議您使用此選項。只在需要恢復代理的私鑰來恢復文件的情況下，才安裝恢復代理的私鑰。在所有其他時間內，導出并脫機存儲恢復代理的私鑰以維護其安全性。

單擊“下一步”。

指定密碼，然后單擊“下一步”。

指定要導出證書和私鑰的文件名和位置，然后單擊“下一步”。

注意：我們建議您將文件備份到磁盤或可移動媒體設備，然后將備份存儲在可以確認備份的物理安全的位置。

驗證在“正在完成證書導出向導”頁面上顯示的設置，然后單擊“完成”。

回到頂端

轉載于:https://www.cnblogs.com/fengju/archive/2009/04/17/6173894.html

總結

以上是生活随笔為你收集整理的如何在 Windows Server 2003、Windows 2000 和 Windows XP 中备份恢复代理的加密文件系统 (EFS) 私钥...的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。