Создание и проверка сертификата агента восстановления данных (DRA) шифрованной файловой системы (EFS)
Примечание.
Начиная с июля 2022 г. корпорация Майкрософт не рекомендует использовать Windows Information Protection (WIP). Корпорация Майкрософт продолжит поддерживать WIP в поддерживаемых версиях Windows. Новые версии Windows не будут включать новые возможности для WIP, и они не будут поддерживаться в будущих версиях Windows. Дополнительные сведения см. в разделе Объявление о прекращении Information Protection Windows.
Для защиты данных корпорация Майкрософт рекомендует использовать Защита информации Microsoft Purview и Защита от потери данных Microsoft Purview. Purview упрощает настройку конфигурации и предоставляет расширенный набор возможностей.
Относится к:
- Windows 10
- Windows 11
Если у вас еще нет сертификата EFS DRA, необходимо создать и извлечь его из системы, прежде чем использовать windows Information Protection (WIP), ранее известную как защита корпоративных данных (EDP), в вашей организации. Для целей этого раздела мы будем использовать имя файла EFSDRA; однако это имя может быть заменено на все, что имеет смысл.
Важно.
Если у вас уже есть сертификат DRA файловой системы EFS для вашей организации, вы можете пропустить этап создания сертификата. Просто используйте текущий сертификат DRA файловой системы EFS в своей политике. Дополнительные сведения о том, когда применять PKI, и об общей стратегии, которую вам следует использовать для развертывания сертификатов DRA, см. в статье В поисках безопасности. Развертывание файловой системы EFS. Часть 1 на веб-сайте TechNet. Более общие сведения о защите файловой системы EFS см. в статье Защита данных путем шифрования жестких дисков с помощью файловой системы EFS.
Если срок действия сертификата DRA истек, вы не сможете шифровать файлы с его помощью. Чтобы решить эту проблему, вам потребуется создать другой сертификат, выполнив действия, описанные в этой статье, а затем развернуть его с помощью политики.
Создание сертификата EFS DRA вручную
На компьютере, на котором не установлен сертификат DRA файловой системы EFS, откройте командную строку с правами администратора и перейдите в расположение, в котором вы хотите сохранить сертификат.
Выполните следующую команду:
cipher /r:EFSRA
Где EFSRA — это имя
.cer
файлов и.pfx
, которые вы хотите создать.Когда отобразится соответствующий запрос, введите и подтвердите пароль для защиты нового файла обмена личной информацией (PFX-файла).
Файлы EFSDRA.cer и EFSDRA.pfx создаются в расположении, которое вы указали в действии 1.
Важно.
Так как закрытые ключи в PFX-файлах DRA можно использовать для расшифровки любого файла WIP, вам потребуется защитить их соответствующим образом. Настоятельно рекомендуется хранить эти файлы в автономном режиме. Для обычного использования храните файлы на смарт-карте с надежной защитой. Главные копии файлов храните в защищенном физическом расположении.
Добавьте сертификат EFS DRA в политику WIP с помощью средства развертывания, например Microsoft Intune или Microsoft Configuration Manager.
Примечание.
Этот сертификат можно использовать в Intune для политик как с регистрацией устройств (MDM), так и без регистрации устройств (MAM).
Проверка правильности настройки сертификата восстановления данных на клиентском компьютере WIP
Найдите или создайте файл, который зашифрован с помощью Windows Information Protection. Например, можно открыть приложение в списке разрешенных приложений, а затем создать и сохранить файл, чтобы он был зашифрован с помощью WIP.
Откройте приложение в списке защищенных приложений, а затем создайте и сохраните файл, чтобы он был зашифрован с помощью WIP.
Откройте командную строку с правами администратора, перейдите в расположение, в котором хранится только что созданный вами файл, и выполните следующую команду:
cipher /c filename
Здесь filename — имя файла, созданного в действии 1.
Убедитесь, что сертификат восстановления данных указан в списке Сертификаты восстановления.
Восстановление данных с помощью сертификата EFS DRA в тестовой среде
Скопируйте файл, зашифрованный с помощью WIP, в расположение, к которому у вас есть доступ с правами администратора.
Установите файл EFSDRA.pfx, используя пароль этого файла.
Откройте командную строку с правами администратора, перейдите к зашифрованному файлу, а затем выполните следующую команду:
cipher /d encryptedfile.extension
Здесь encryptedfile.extension — имя зашифрованного файла. Например,
corporatedata.docx
.
Восстановление защищенного WIP после отмены регистрации
Может случиться так, что вам потребуется отозвать данные с устройства, для которого отменена регистрация, а через некоторое время — восстановить все данные. Это может произойти в случае возврата утерянного устройства или если сотрудник, для которого отменена регистрация, будет снова зарегистрирован. Если сотрудник снова регистрируется с помощью исходного профиля пользователя, а отозванное хранилище ключей по-прежнему находится на устройстве, все отозванные данные можно восстановить одновременно.
Важно.
Чтобы сохранить контроль над корпоративными данными и иметь возможность отозвать их еще раз в будущем, вам необходимо выполнить этот процесс только после того как сотрудник выполнит повторную регистрацию устройства.
Предложите сотруднику войти на незарегистрированное устройство, открыть командную строку с повышенными привилегиями и введите:
Robocopy "%localappdata%\Microsoft\EDP\Recovery" "new_location" * /EFSRAW
Где "new_location" находится в другом каталоге. Это может быть на устройстве сотрудника или в общей папке на компьютере, на котором выполняется Windows 8, Windows Server 2012 или более поздней версии, и доступ к ней можно получить, когда вы вошли в систему в качестве агента восстановления данных.
Чтобы запустить Robocopy в S-режиме, откройте диспетчер задач. Щелкните Файл>Запустить новую задачу, введите команду и щелкните Создать эту задачу с правами администратора.
Если сотрудник выполнил чистую установку и нет профиля пользователя, необходимо восстановить ключи из папки Системный том на каждом диске. Тип:
Robocopy "drive_letter:\System Volume Information\EDP\Recovery\" "new_location" * /EFSRAW
Войдите в систему на другом устройстве с учетными данными администратора, у которого есть доступ к сертификату DRA вашей организации, и выполните расшифровку и восстановление файла. Для этого введите следующее:
cipher.exe /D "new_location"
Попросите сотрудника войти в систему на устройстве, для которого отменена регистрация, и введите следующее:
Robocopy "new_location" "%localappdata%\Microsoft\EDP\Recovery\Input"
Попросите сотрудника заблокировать, а затем разблокировать устройство.
Служба учетных данных Windows автоматически восстанавливает ранее отозванные ключи сотрудника из
Recovery\Input
расположения.
Автоматическое восстановление ключей шифрования
Начиная с Windows 10 версии 1709, WIP включает возможность восстановления данных, которая позволяет пользователям выполнять автоматическое восстановление доступа к рабочим файлам, если ключ шифрования был утерян, а файлы больше недоступны. Это обычно происходит, когда пользователь повторно создает образ раздела операционной системой, удаляя информацию о ключе WIP, или если устройство было утеряно и по ошибке было выбрано неверное целевое устройство для отмены регистрации.
Чтобы убедиться, что сотрудники всегда могут получать доступ к файлам, WIP создает ключ автоматического восстановления, резервную копию для Microsoft Entra удостоверения.
Взаимодействие с сотрудниками основано на входе с помощью Microsoft Entra ID рабочей учетной записи. Пользователь может:
Добавьте рабочую учетную запись с помощью меню Windows Settings > Accounts > Access work or school Connect (Подключение к рабочей или учебной>).
-ИЛИ-
Откройте Параметры > Windows Учетные > записи Доступ к рабочей или учебной программе > Подключиться и выберите ссылку Присоединить устройство к Microsoft Entra ID в разделе Альтернативные действия.
Примечание.
Чтобы выполнить Microsoft Entra присоединение к домену на странице Параметры, сотрудник должен иметь права администратора устройства.
После входа в систему необходимая информация о ключе WIP автоматически загружается и пользователи снова получают доступ к файлам.
Чтобы проверить, что видят пользователи во время процесса восстановления ключа WIP, выполните следующие действия.
Попробуйте открыть рабочий файл на устройстве, для которого отменена регистрация.
Откроется окно Подключиться к рабочему месту, чтобы получить доступ к рабочим файлам.
Нажмите кнопку Подключить.
Откроется страница Доступ к параметрам учетной записи рабочего места или учебного учреждения.
Войдите в Microsoft Entra ID в качестве сотрудника и убедитесь, что файлы открыты
Связанные темы
В поисках безопасности. Развертывание файловой системы EFS. Часть 1
Защита данных путем шифрования жестких дисков с помощью файловой системы EFS
Создание политики Windows Information Protection (WIP) с помощью Microsoft Intune
Создание политики Information Protection Windows (WIP) с помощью Microsoft Configuration Manager
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по