Teil 5e: Einen Datenwiederherstellungs-Agent für EFS konfigurieren

Sollte eine Sicherheitsrichtlinie im Unternehmen das Archivieren der privaten Schlüssel nicht gestatten, kann mit dem privaten Schlüssel des Zertifikats des Datenwiederherstellungs-Agent eine Wiederherstellung verschlüsselter Dateien durchgeführt werden.

Eine Zertifikatsvorlage für den Datenwiederherstellungs-Agent konfigurieren

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Tools > Certification Authority
  3. Einfaches-Netzwerk SubCA erweitern
  4. Den Ordner Certificate Templates rechts anklicken > Manage
  5. Die Zertifikatsvorlage EFS Recovery Agent rechts anklicken > Duplicate Template
  6. Properties of New Template
  7. Reiter General:
    1. Template display name: CUSTOM – EFS Recovery Agent
    2. Validity period: 5 years
      EFS_DRA-001
  8. Fenster mit OK schließen
    EFS_DRA-002
  9. Certificate Templates-Konsole schließen
  10. In der Certification Authority-Konsole Certificate Templates rechts anklicken > New > Certificate Template to Issue
  11. CUSTOM – EFS Recovery Agent markieren > OK
    EFS_DRA-003
  12. EFS Recovery Agent-Template rechts anklicken > Delete
    EFS_DRA-004
  13. Alle Fenster schließen

Das Zertifikat für den Data Recovery Agent anfordern und exportieren

  1. MMC (Admin) starten
  2. Das Snap-in Certificates für My user account importieren
  3. Den Ordner Personal rechts anklicken > All Tasks > Request New Certificate…
  4. Certificate Enrollment
    1. Before You Begin: Next
    2. Select Certificate Enrollment Policy > Next
    3. Request Certificates: CUSTOM – EFS Recovery Agent > Enroll
      EFS_DRA-005
  5. Finish
    EFS_DRA-006
  6. Das Zertifikat rechts anklicken > All Tasks > Export…
    EFS_DRA-007
  7. Certificate Export Wizard
    1. Welcome… : Next
    2. Export private key: No, do not export the private key > Next
      EFS_DRA-008
    3. Export File Format: DER > Next
      EFS_DRA-009
    4. File to Export: C:\Temp\Einfaches-Netzwerk EFS-DRA.cer > Next
      EFS_DRA-010
    5. Finish
      EFS_DRA-011
  8. Das Zertifikat rechts anklicken > All Tasks > Export…
  9. Certificate Export Wizard
    1. Welcome… : Next
    2. Export Private Key: Yes, export the private key > Next
      EFS_DRA-012
    3. Export File Format: Personal Information Exchange – PKCS #12 (.PFX) > Next
      EFS_DRA-013
    4. Security: Passwort Password1 > Next
      EFS_DRA-014
    5. File to Export: C:\Temp\Einfaches-Netzwerk EFS-DRA.pfx > Next
      EFS_DRA-015
    6. Finish
      EFS_DRA-016
  10. Alle Fenster schließen

Das DRA-Zertifikat mittels Gruppenrichtlinen verteilen

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. Forest\Domain\intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  4. Das GPO CUSTOM – Client Standard Settings rechts anklicken > Edit…
  5. Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies erweitern
  6. Encrypting File System rechts anklicken > Add Data Recovery Agent…
    EFS_DRA-017
  7. Add Recovery Agent Wizard:
    1. Welcome… > Next
    2. Select Recovery Agents: Browse Folders… > C:\Temp\Einfaches-Netzwerk EFS-DRA.cer > NextEFS_DRA-018
    3. Finish
      EFS_DRA-019
      EFS_DRA-020
  8. Alle Fenster schließen

Die Zertifikate für den EFS-DRA sollten auf einen externen Datenträger kopiert und im Safe aufbewahrt werden. Die Kopien auf dem Server anschließend löschen.

Weitere Informationen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert