Если пользователь теряет свой закрытый ключ, все сведения, которые были зашифрованы соответствующим открытым ключом, становятся недоступными. Использование архивации и восстановления ключа помогает защитить зашифрованные данные от необратимой потери, если, например, необходимо переустановить операционную систему, больше не доступна учетная запись пользователя, которой исходно был выдан ключ шифрования, или ключ недоступен по какой-то другой причине. Чтобы помочь защитить закрытые ключи, центры сертификации предприятия, разработанные корпорацией Майкрософт, могут архивировать ключи пользователей в своей базе данных при выдаче сертификатов. Эти ключи шифруются и хранятся центром сертификации.

Архив закрытых ключей позволяет впоследствии восстановить ключ. Процесс восстановления ключа требует, чтобы администратор извлек зашифрованный сертификат и закрытый ключ, а затем агент восстановления ключа расшифровал их. При получении правильно подписанного запроса на восстановление ключа сертификат и закрытый ключ пользователя передаются запрашивающему лицу. Затем запрашивающее лицо может соответствующим образом использовать ключ или безопасно передать ключ пользователю для дальнейшего использования. Если закрытый ключ не скомпрометирован, сертификат не нужно заменять или обновлять с использованием другого ключа.

По умолчанию архивация и восстановление ключа не включены. Это вызвано тем, что многие организации считают хранение закрытого ключа в нескольких местах уязвимостью безопасности. Организациям необходимо принять четкие решения о том, на какие сертификаты распространяются архивация и восстановление ключа и кто сможет восстанавливать ключи из архива. Это поможет гарантировать, что архивация и восстановление ключа будут использоваться для повышения безопасности, а не ее снижения.

Для выполнения этой процедуры необходимо быть администратором центра сертификации. Для получения дополнительных сведений см. Реализация ролевого администрирования.

Настройка среды для архивации ключа сертификатов шифрованной файловой системы (EFS)
  1. Создайте учетную запись агента восстановления ключа или назначьте агентом восстановления ключа существующего пользователя.

  2. Настройте шаблон сертификатов агента восстановления ключа и внесите агента восстановления ключа в список на получение сертификата агента восстановления ключа. Для получения сведений см. Определение агента восстановления ключа.

  3. Зарегистрируйте нового агента восстановления ключа в центре сертификации. Для получения сведений см. Включение архивации ключа для центра сертификации.

  4. Настройте шаблон сертификата, например базовый EFS, для архивации ключа и зарегистрируйте пользователей для получения нового сертификата. Если у пользователей уже есть сертификаты EFS, убедитесь, что новый сертификат вытеснит сертификат, не содержащий архивацию ключа. Для получения сведений см. Настройка шаблона сертификата для архивации ключа.

  5. Зарегистрируйте пользователей для получения сертификатов шифрования, используя новый шаблон сертификата.

    Архивация ключа не защищает пользователей, пока они не подали заявку на сертификат, для которого включено восстановление ключа. Если у пользователей есть идентичные сертификаты, выданные до включения восстановления ключа, архивация ключа не охватывает данные, зашифрованные этими сертификатами.

Для получения дополнительных сведений об архивации и восстановлении ключей см. "Архивация и восстановление ключей в Windows Server 2008" (https://go.microsoft.com/fwlink/?LinkID=92523).

Дополнительные источники информации


Содержание