Quando os utilizadores perdem as chaves privadas, quaisquer informações encriptadas de forma persistente com a chave pública correspondente deixarão de estar acessíveis. A utilização do arquivo e da recuperação de chaves ajuda a proteger dados encriptados contra uma perda permanente se, por exemplo, for necessário reinstalar o sistema operativo, a conta de utilizador para a qual a chave de encriptação foi inicialmente emitida deixou de estar disponível ou a chave deixou de estar acessível. Para ajudar a proteger chaves privadas, as autoridades de certificação (ACs) empresariais da Microsoft podem arquivar as chaves de um utilizador na respectiva base de dados quando forem emitidos certificados. Estas chaves são encriptadas e armazenadas pela AC.
Este arquivo de chaves privadas permite que a chave seja mais tarde recuperada. O processo de recuperação de chaves obriga a que um administrador obtenha o certificado encriptado e a chave privada e que depois um agente de recuperação de chaves proceda à sua desencriptação. Quando for recebido um pedido de recuperação de chave correctamente assinado, o certificado e a chave privada do utilizador são fornecidos ao solicitador. O solicitador utilizar então a chave, conforme apropriado, ou transfere a chave em segurança para o utilizador continuar a utilizar. Desde que a chave privada não esteja comprometida, o certificado não tem de ser substituído nem renovado com outra chave.
Por predefinição, o arquivo e a recuperação de chaves não estão activados. Isto deve-se ao facto de muitas organizações considerarem o armazenamento da chave privada em várias localizações uma vulnerabilidade de segurança. Obrigar as organizações a tomar decisões explícitas sobre os certificados que são abrangidos pelo arquivo e recuperação de chaves e sobre quem pode recuperar chaves arquivadas ajuda a garantir que o arquivo e a recuperação de chaves sejam utilizados para aumentar a segurança, em vez de reduzir a segurança.
Tem de ser um administrador de AC para concluir este procedimento. Para mais informações, consulte Implementar Administração Baseada em Funções.
 | Para configurar o seu ambiente para o arquivo de chaves de certificados do Sistema de Encriptação de Ficheiros (EFS) |
Crie uma conta de agente de recuperação de chaves ou designe um utilizador existente para agir como agente de recuperação de chaves.
Configure o modelo de certificado do agente de recuperação de chaves e inscreva o agente de recuperação de chaves para um certificado de agente de recuperação de chaves. Para obter informações, consulte Identificar Um Agente de Recuperação de Chaves.
Registe o novo agente de recuperação de chaves na AC. Para obter informações, consulte Activar o Arquivo de Chaves Para Uma AC.
Configure um modelo de certificado, por exemplo, EFS Básico, para o arquivo de chaves e inscreva utilizadores para o novo certificado. Se os utilizadores já tiverem certificados EFS, certifique-se de que o novo certificado irá substituir o certificado que não inclui o arquivo de chaves. Para obter informações, consulte Configurar um Modelo de Certificado Para Arquivo de Chaves.
Inscreva utilizadores para certificados de encriptação com base no novo modelo de certificado.
Os utilizadores não estão protegidos pelo arquivo de chaves enquanto não se tiverem inscrito para um certificado que tenha a recuperação de chaves activada. Se tiverem certificados idênticos que tenham sido emitidos antes da activação da recuperação de chaves, os dados encriptados com estes certificados não estão abrangidos pelo arquivo de chaves.
Para obter mais informações sobre o arquivo e a recuperação de chaves, consulte o artigo sobre o arquivo e a recuperação de chaves no Windows Server 2008 (