创建和验证加密文件系统 (EFS) 数据恢复代理 (DRA) 证书

适用范围:

  • Windows 10 版本 1607 和更高版本

如果你还没有 EFS DRA 证书,则需要在组织中使用 Windows 信息保护 (WIP) (以前称为企业数据保护 (EDP) )之前,从系统创建和提取一个证书。 在此部分中,我们将使用文件名 EFSDRA;但是,此名称可以替换为任何有意义的内容。

重要

如果你已经拥有适用于你的组织的 EFS DRA 证书,则可以跳过创建新证书这一步骤。 只需在策略中使用你当前的 EFS DRA 证书即可。 有关何时使用 PKI 和部署 DRA 证书应当采用的一般策略的详细信息,请参阅 TechNet 上的安全观察部署 EFS:第 1 部分文章。 有关 EFS 保护的更多常规信息,请参阅使用 EFS 加密硬盘来保护数据

如果你的 DRA 证书已过期,你将无法通过它加密文件。 若要解决此问题,你需要按照本主题中提供的步骤创建新的证书,然后将其部署在策略中。

手动创建 EFS DRA 证书

  1. 在没有安装 EFS DRA 证书的计算机上,使用提升的权限打开命令提示符,然后导航到你想要存储证书的位置。

  2. 运行此命令:

    cipher /r:EFSRA
    

    其中 EFSRA 是你要 .cer 创建的 .pfx 和 文件的名称。

  3. 出现提示时,请键入并确认密码来帮助保护新的个人信息交换 (.pfx) 文件。

    EFSDRA.cer 和 EFSDRA.pfx 文件在步骤 1 中指定的位置中创建。

    重要

    由于 DRA .pfx 文件中的私钥可以用来解密任何 WIP 文件,所以必须相应地对它们加以保护。 我们强烈建议离线存储这些文件,将副本保留在保护功能强的智能卡上以便正常使用,将主副本保留在安全的物理位置中。

  4. 使用部署工具(如 Microsoft Intune 或 Microsoft Endpoint Configuration Manager)将 EFS DRA证书添加到 WIP 策略

    备注

    此证书可在 Intune 中用于具有设备__ 注册和 MDM (的策略) 而无需在 MAM __ (注册) 。

验证数据恢复证书在 WIP 客户端计算机上是否正确设置

  1. 查找或创建使用 Windows 信息保护进行加密的文件。 例如,你可以打开允许的应用列表中的应用,然后创建并保存文件,以便它通过 WIP 进行加密。

  2. 打开受保护的应用列表中的应用,然后创建并保存文件,以便它通过 WIP 进行加密。

  3. 使用提升的权限打开命令提示符、导航到你刚创建的文件的存储位置,然后运行以下命令:

    cipher /c filename
    

    其中 filename 是你在步骤 1 中创建的文件的名称。

  4. 确保你的数据恢复证书位于恢复证书列表中。

在测试环境中使用 EFS DRA 证书恢复数据

  1. 将 WIP 加密的文件复制到你拥有管理员访问权限的位置。

  2. 使用 EFSDRA.pfx 文件的密码安装该文件。

  3. 使用提升的权限打开命令提示符、导航到加密文件,然后运行以下命令:

    cipher /d encryptedfile.extension
    

    其中 encryptedfile.extension 是加密文件的名称。 例如,corporatedata.docx

注销后恢复 WIP 保护

在从注销后的设备中吊销数据后,你可需要将数据全部还原。 如果返回缺少的设备或注销后的员工重新注册,就可能出现这种情况。 如果员工使用原始用户配置文件重新注册,并且吊销的密钥存储仍在设备上,则所有吊销的数据都可以一次还原。

重要

若要维持对企业数据的控制,并且能够在以后再次吊销,那么在员工重新注册设备后,必须执行且只能执行此过程。

  1. 让员工登录到注销的设备,打开提升的命令提示符,然后键入:

    Robocopy "%localappdata%\Microsoft\EDP\Recovery" "new_location" * /EFSRAW
    

    其中 "new_location" 位于不同的目录中。 它可以在员工的设备上或运行 Windows 8 或 Windows Server 2012 或更高版本的计算机上共享文件夹上,并且可在你以数据恢复代理身份登录时访问。

    若要在 S 模式下启动 Robocopy,请打开任务管理器。 单击 " > 文件""运行新任务",键入命令,然后单击"使用管理权限创建此任务"。

    在 S 模式下为 Robocopy。

    如果员工执行了干净安装,但没有用户配置文件,则需要从每个驱动器中的系统卷文件夹中恢复密钥。 类型:

    Robocopy "drive_letter:\System Volume Information\EDP\Recovery\" "new_location" * /EFSRAW
    
  2. 使用可以访问组织的 DRA 证书的管理员凭据登录到另一台设备,然后通过键入以下内容进行文件解密和恢复:

    cipher.exe /D "new_location"
    
  3. 让员工登录到注销后的设备,然后键入:

    Robocopy "new_location" "%localappdata%\Microsoft\EDP\Recovery\Input"
    
  4. 让员工锁定和解锁设备。

    Windows凭据服务会自动从位置恢复员工之前吊销的 Recovery\Input 密钥。

自动恢复加密密钥

从 Windows 10 版本 1709 开始,WIP 包含数据恢复功能,可以使员工在加密密钥丢失且文件不可访问时自动恢复对工作文件的访问。 这通常在员工重置操作系统分区映像,删除 WIP 密钥信息,或者设备被报告为丢失,你误将其他设备取消注册的情况下发生。

为了帮助确保员工始终可以访问文件,WIP 会创建一个自动恢复密钥,该密钥将备份到其Azure Active Directory (Azure AD) 标识。

员工体验是基于使用 Azure AD 工作帐户登录。 员工也可以:

  • 通过 Windows 设置 > 帐户 > 访问工作单位或学校 > 连接菜单来添加工作帐户。

    -或-

  • 打开 Windows 设置 > 帐户 > 访问工作单位或学校 > 连接 ,并选择备用操作下的将此设备加入 Azure Active Directory 链接。

    备注

    若要从“设置”页面执行 Azure AD 域加入,员工必须具有该设备的管理员权限。

登录后,将自动下载必要的 WIP 密钥信息,员工可以再次访问这些文件。

若要测试员工在 WIP 密钥恢复过程中看到的内容

  1. 请尝试在未注册的设备上打开工作文件。

    将出现连接到工作以访问工作文件框。

  2. 单击连接

    将显示访问工作或学校设置页面。

  3. 作为员工登录到 Azure AD 并验证现已打开文件

相关主题

备注

向我们提供编辑、添加和反馈的内容,帮助完善本主题。 有关如何完善本主题的信息,请参阅完善本文