我正在尝试让 EFS 在我们的工作站上运行。首先,当我尝试设置要加密的目录时,我收到一条关于恢复代理证书无效的警告。
事实证明,多年前我第一次设置域名时设置的默认设置已经过期,因此我创建了一个新的,并在计算机配置->策略-> Windows 设置->安全策略->公钥策略->加密文件系统的 GPO 中添加了“EFS 数据恢复代理”。
当我针对给定的工作站和用户执行“组策略结果”时,它会显示新的代理,因此它肯定在组策略中
另外,运行“gpupdate /force /wait:-1”并等待 24 小时后!当我尝试设置要加密的目录时,我不再收到有关无效恢复代理的警告。
到目前为止,我认为一切都很好。然而,恢复剂没有被使用,这一点我已经通过以下方式证实:
- 备份删除“用户”EFS 证书并仅导入恢复代理证书和私钥 - 尝试读取文件时拒绝访问
- 运行密码/c 我得到“未找到恢复证书”。
- 深入研究文件的属性和高级加密详细信息,恢复代理列表是空白的。
有人知道发生了什么事以及我如何使用恢复代理吗?
答案1
我不太清楚是什么阻止了在文件上设置 DRA,但这是我拥有的 EFS GPO 的细分,可能有助于您验证所有组件是否都已到位。如果您问我,设置 EFS 是一个相当复杂的组件拼凑过程。
- 恢复策略的计算机 GPO。听起来您已正确设置了 DRA 的证书。您的 CA 上是否定义了用于自动 EFS 证书请求的证书模板?
- 计算机 GPO 禁用自签名证书。这将在注册表中禁用使用自签名证书的能力。
- 用户 GPO 启用证书自动注册和凭据漫游. 为登录用户启用自动注册新证书。此外,让用户的证书和密钥随用户在任何地方登录。
- 用户 GPO 加密文件夹. 以用户身份运行cipher.exe 来加密其文件夹的登录脚本。
此配置假定您正在使用 Microsoft AD 证书服务而不是自签名证书。