Создание и проверка сертификата агента восстановления данных (DRA) шифрованной файловой системы (EFS)

  • Статья

Примечание.

Начиная с июля 2022 г. корпорация Майкрософт не рекомендует использовать Windows Information Protection (WIP). Корпорация Майкрософт продолжит поддерживать WIP в поддерживаемых версиях Windows. Новые версии Windows не будут включать новые возможности для WIP, и они не будут поддерживаться в будущих версиях Windows. Дополнительные сведения см. в разделе Объявление о прекращении Information Protection Windows.

Для защиты данных корпорация Майкрософт рекомендует использовать Защита информации Microsoft Purview и Защита от потери данных Microsoft Purview. Purview упрощает настройку конфигурации и предоставляет расширенный набор возможностей.

Относится к:

  • Windows 10
  • Windows 11

Если у вас еще нет сертификата EFS DRA, необходимо создать и извлечь его из системы, прежде чем использовать windows Information Protection (WIP), ранее известную как защита корпоративных данных (EDP), в вашей организации. Для целей этого раздела мы будем использовать имя файла EFSDRA; однако это имя может быть заменено на все, что имеет смысл.

Важно.

Если у вас уже есть сертификат DRA файловой системы EFS для вашей организации, вы можете пропустить этап создания сертификата. Просто используйте текущий сертификат DRA файловой системы EFS в своей политике. Дополнительные сведения о том, когда применять PKI, и об общей стратегии, которую вам следует использовать для развертывания сертификатов DRA, см. в статье В поисках безопасности. Развертывание файловой системы EFS. Часть 1 на веб-сайте TechNet. Более общие сведения о защите файловой системы EFS см. в статье Защита данных путем шифрования жестких дисков с помощью файловой системы EFS.

Если срок действия сертификата DRA истек, вы не сможете шифровать файлы с его помощью. Чтобы решить эту проблему, вам потребуется создать другой сертификат, выполнив действия, описанные в этой статье, а затем развернуть его с помощью политики.

Создание сертификата EFS DRA вручную

  1. На компьютере, на котором не установлен сертификат DRA файловой системы EFS, откройте командную строку с правами администратора и перейдите в расположение, в котором вы хотите сохранить сертификат.

  2. Выполните следующую команду:

    cipher /r:EFSRA

    Где EFSRA — это имя .cer файлов и .pfx , которые вы хотите создать.

  3. Когда отобразится соответствующий запрос, введите и подтвердите пароль для защиты нового файла обмена личной информацией (PFX-файла).

    Файлы EFSDRA.cer и EFSDRA.pfx создаются в расположении, которое вы указали в действии 1.

    Важно.

    Так как закрытые ключи в PFX-файлах DRA можно использовать для расшифровки любого файла WIP, вам потребуется защитить их соответствующим образом. Настоятельно рекомендуется хранить эти файлы в автономном режиме. Для обычного использования храните файлы на смарт-карте с надежной защитой. Главные копии файлов храните в защищенном физическом расположении.

  4. Добавьте сертификат EFS DRA в политику WIP с помощью средства развертывания, например Microsoft Intune или Microsoft Configuration Manager.

    Примечание.

    Этот сертификат можно использовать в Intune для политик как с регистрацией устройств (MDM), так и без регистрации устройств (MAM).

Проверка правильности настройки сертификата восстановления данных на клиентском компьютере WIP

  1. Найдите или создайте файл, который зашифрован с помощью Windows Information Protection. Например, можно открыть приложение в списке разрешенных приложений, а затем создать и сохранить файл, чтобы он был зашифрован с помощью WIP.

  2. Откройте приложение в списке защищенных приложений, а затем создайте и сохраните файл, чтобы он был зашифрован с помощью WIP.

  3. Откройте командную строку с правами администратора, перейдите в расположение, в котором хранится только что созданный вами файл, и выполните следующую команду:

    cipher /c filename

    Здесь filename — имя файла, созданного в действии 1.

  4. Убедитесь, что сертификат восстановления данных указан в списке Сертификаты восстановления.

Восстановление данных с помощью сертификата EFS DRA в тестовой среде

  1. Скопируйте файл, зашифрованный с помощью WIP, в расположение, к которому у вас есть доступ с правами администратора.

  2. Установите файл EFSDRA.pfx, используя пароль этого файла.

  3. Откройте командную строку с правами администратора, перейдите к зашифрованному файлу, а затем выполните следующую команду:

    cipher /d encryptedfile.extension

    Здесь encryptedfile.extension — имя зашифрованного файла. Например, corporatedata.docx.

Восстановление защищенного WIP после отмены регистрации

Может случиться так, что вам потребуется отозвать данные с устройства, для которого отменена регистрация, а через некоторое время — восстановить все данные. Это может произойти в случае возврата утерянного устройства или если сотрудник, для которого отменена регистрация, будет снова зарегистрирован. Если сотрудник снова регистрируется с помощью исходного профиля пользователя, а отозванное хранилище ключей по-прежнему находится на устройстве, все отозванные данные можно восстановить одновременно.

Важно.

Чтобы сохранить контроль над корпоративными данными и иметь возможность отозвать их еще раз в будущем, вам необходимо выполнить этот процесс только после того как сотрудник выполнит повторную регистрацию устройства.

  1. Предложите сотруднику войти на незарегистрированное устройство, открыть командную строку с повышенными привилегиями и введите:

    Robocopy "%localappdata%\Microsoft\EDP\Recovery" "new_location" * /EFSRAW

    Где "new_location" находится в другом каталоге. Это может быть на устройстве сотрудника или в общей папке на компьютере, на котором выполняется Windows 8, Windows Server 2012 или более поздней версии, и доступ к ней можно получить, когда вы вошли в систему в качестве агента восстановления данных.

    Чтобы запустить Robocopy в S-режиме, откройте диспетчер задач. Щелкните Файл>Запустить новую задачу, введите команду и щелкните Создать эту задачу с правами администратора.

    Robocopy в S-режиме.

    Если сотрудник выполнил чистую установку и нет профиля пользователя, необходимо восстановить ключи из папки Системный том на каждом диске. Тип:

    Robocopy "drive_letter:\System Volume Information\EDP\Recovery\" "new_location" * /EFSRAW

  2. Войдите в систему на другом устройстве с учетными данными администратора, у которого есть доступ к сертификату DRA вашей организации, и выполните расшифровку и восстановление файла. Для этого введите следующее:

    cipher.exe /D "new_location"

  3. Попросите сотрудника войти в систему на устройстве, для которого отменена регистрация, и введите следующее:

    Robocopy "new_location" "%localappdata%\Microsoft\EDP\Recovery\Input"

  4. Попросите сотрудника заблокировать, а затем разблокировать устройство.

    Служба учетных данных Windows автоматически восстанавливает ранее отозванные ключи сотрудника из Recovery\Input расположения.

Автоматическое восстановление ключей шифрования

Начиная с Windows 10 версии 1709, WIP включает возможность восстановления данных, которая позволяет пользователям выполнять автоматическое восстановление доступа к рабочим файлам, если ключ шифрования был утерян, а файлы больше недоступны. Это обычно происходит, когда пользователь повторно создает образ раздела операционной системой, удаляя информацию о ключе WIP, или если устройство было утеряно и по ошибке было выбрано неверное целевое устройство для отмены регистрации.

Чтобы убедиться, что сотрудники всегда могут получать доступ к файлам, WIP создает ключ автоматического восстановления, резервную копию для Microsoft Entra удостоверения.

Взаимодействие с сотрудниками основано на входе с помощью Microsoft Entra ID рабочей учетной записи. Пользователь может:

  • Добавьте рабочую учетную запись с помощью меню Windows Settings > Accounts > Access work or school Connect (Подключение к рабочей или учебной>).

    -ИЛИ-

  • Откройте Параметры > Windows Учетные > записи Доступ к рабочей или учебной программе > Подключиться и выберите ссылку Присоединить устройство к Microsoft Entra ID в разделе Альтернативные действия.

    Примечание.

    Чтобы выполнить Microsoft Entra присоединение к домену на странице Параметры, сотрудник должен иметь права администратора устройства.

После входа в систему необходимая информация о ключе WIP автоматически загружается и пользователи снова получают доступ к файлам.

Чтобы проверить, что видят пользователи во время процесса восстановления ключа WIP, выполните следующие действия.

  1. Попробуйте открыть рабочий файл на устройстве, для которого отменена регистрация.

    Откроется окно Подключиться к рабочему месту, чтобы получить доступ к рабочим файлам.

  2. Нажмите кнопку Подключить.

    Откроется страница Доступ к параметрам учетной записи рабочего места или учебного учреждения.

  3. Войдите в Microsoft Entra ID в качестве сотрудника и убедитесь, что файлы открыты