Share via

创建和验证加密文件系统 (EFS) 数据恢复代理 (DRA) 证书

  • 项目

注意

从 2022 年 7 月开始,Microsoft 将弃用 Windows 信息保护 (WIP) 。 Microsoft 将继续在受支持的 Windows 版本上支持 WIP。 新版本的 Windows 不包括 WIP 的新功能,并且将来的 Windows 版本中不支持它。 有关详细信息,请参阅宣布 Windows 信息保护的日落

为了满足数据保护需求,Microsoft 建议使用 Microsoft Purview 信息保护Microsoft Purview 数据丢失防护。 Purview 简化了配置设置,并提供一组高级功能。

适用于:

  • Windows 10
  • Windows 11

如果还没有 EFS DRA 证书,则需要先从系统创建并提取一个证书,然后才能在组织中使用 Windows 信息保护 (WIP) (以前称为企业数据保护 (EDP) )。 就本部分而言,我们将使用文件名 EFSDRA;但是,此名称可以替换为对你有意义的任何内容。

重要提示

如果你已经拥有适用于你的组织的 EFS DRA 证书,则可以跳过创建新证书这一步骤。 只需在策略中使用你当前的 EFS DRA 证书即可。 有关何时使用 PKI 和部署 DRA 证书应当采用的一般策略的详细信息,请参阅 TechNet 上的安全观察部署 EFS:第 1 部分文章。 有关 EFS 保护的更多常规信息,请参阅使用 EFS 加密硬盘来保护数据

如果 DRA 证书已过期,则无法使用它加密文件。 若要解决此问题,你需要按照本主题中提供的步骤创建新的证书,然后将其部署在策略中。

手动创建 EFS DRA 证书

  1. 在没有安装 EFS DRA 证书的计算机上,使用提升的权限打开命令提示符,然后导航到你想要存储证书的位置。

  2. 运行此命令:

    cipher /r:EFSRA

    其中 EFSRA 是要创建的 和 .pfx 文件的名称.cer

  3. 出现提示时,请键入并确认密码来帮助保护新的个人信息交换 (.pfx) 文件。

    EFSDRA.cer 和 EFSDRA.pfx 文件在步骤 1 中指定的位置中创建。

    重要提示

    由于 DRA .pfx 文件中的私钥可以用来解密任何 WIP 文件,所以必须相应地对它们加以保护。 我们强烈建议离线存储这些文件,将副本保留在保护功能强的智能卡上以便正常使用,将主副本保留在安全的物理位置中。

  4. 使用部署工具(如Microsoft IntuneMicrosoft Configuration Manager)将 EFS DRA 证书添加到 WIP 策略。

    注意

    此证书可在 Intune 中用于设备注册 (MDM) 的策略,并且无需设备注册 (MAM) 。

验证是否已在 WIP 客户端计算机上正确设置数据恢复证书

  1. 查找或创建使用 Windows 信息保护进行加密的文件。 例如,可以在允许的应用列表中打开应用,然后创建并保存文件,使其由 WIP 加密。

  2. 在受保护的应用列表中打开应用,然后创建并保存文件,以便通过 WIP 对其进行加密。

  3. 使用提升的权限打开命令提示符、导航到你刚创建的文件的存储位置,然后运行以下命令:

    cipher /c filename

    其中 filename 是你在步骤 1 中创建的文件的名称。

  4. 确保你的数据恢复证书位于恢复证书列表中。

在测试环境中使用 EFS DRA 证书恢复数据

  1. 将 WIP 加密的文件复制到你拥有管理员访问权限的位置。

  2. 使用 EFSDRA.pfx 文件的密码安装该文件。

  3. 使用提升的权限打开命令提示符、导航到加密文件,然后运行以下命令:

    cipher /d encryptedfile.extension

    其中 encryptedfile.extension 是加密文件的名称。 例如,corporatedata.docx

取消注册后恢复 WIP 保护

在从注销后的设备中吊销数据后,你可需要将数据全部还原。 如果返回缺少的设备或注销后的员工重新注册,就可能出现这种情况。 如果员工使用原始用户配置文件再次注册,并且吊销的密钥存储仍在设备上,则可以一次性还原所有已撤销的数据。

重要提示

若要维持对企业数据的控制,并且能够在以后再次吊销,那么在员工重新注册设备后,必须执行且只能执行此过程。

  1. 让员工登录到未注册的设备,打开提升的命令提示符,然后键入:

    Robocopy "%localappdata%\Microsoft\EDP\Recovery" "new_location" * /EFSRAW

    其中“new_location”位于其他目录中。 这可以位于员工的设备上,也可以位于运行Windows 8或Windows Server 2012或更高版本的计算机上的共享文件夹上,并且可以在以数据恢复代理身份登录时进行访问。

    若要在 S 模式下启动 Robocopy,请打开任务管理器。 单击“ 文件>运行新任务”,键入命令,然后单击“ 使用管理权限创建此任务”。

    S 模式下的 Robocopy。

    如果员工执行了干净安装,但没有用户配置文件,则需要从每个驱动器中的“系统卷”文件夹中恢复密钥。 类型:

    Robocopy "drive_letter:\System Volume Information\EDP\Recovery\" "new_location" * /EFSRAW

  2. 使用可以访问组织的 DRA 证书的管理员凭据登录到另一台设备,然后通过键入以下内容进行文件解密和恢复:

    cipher.exe /D "new_location"

  3. 让员工登录到注销后的设备,然后键入:

    Robocopy "new_location" "%localappdata%\Microsoft\EDP\Recovery\Input"

  4. 让员工锁定和解锁设备。

    Windows 凭据服务会自动从位置恢复员工以前吊销的 Recovery\Input 密钥。

自动恢复加密密钥

从 Windows 10 版本 1709 开始,WIP 包含数据恢复功能,可以使员工在加密密钥丢失且文件不可访问时自动恢复对工作文件的访问。 这通常在员工重置操作系统分区映像,删除 WIP 密钥信息,或者设备被报告为丢失,你误将其他设备取消注册的情况下发生。

为了帮助确保员工始终可以访问文件,WIP 创建了备份到其Microsoft Entra标识的自动恢复密钥。

员工体验基于使用Microsoft Entra ID工作帐户登录。 员工也可以:

  • 通过 Windows 设置>帐户访问工作或学校>连接菜单添加工作帐户>

    - 或 -

  • 打开“Windows 设置>帐户>访问工作或学校>连接”,然后选择“备用操作”下的“加入此设备以Microsoft Entra ID”链接。

    注意

    若要从“设置”页执行Microsoft Entra域加入,员工必须具有设备的管理员权限。

登录后,将自动下载必要的 WIP 密钥信息,员工可以再次访问这些文件。

若要测试员工在 WIP 密钥恢复过程中看到的内容

  1. 请尝试在未注册的设备上打开工作文件。

    将出现连接到工作以访问工作文件框。

  2. 单击连接

    将显示访问工作或学校设置页面。

  3. 以员工身份登录到Microsoft Entra ID,并验证文件现在是否打开