Назад | Перейти на главную страницу

Агент восстановления групповой политики EFS не используется

Я пытаюсь заставить EFS работать на наших рабочих станциях. Сначала, когда я попытался настроить каталог для шифрования, я получил предупреждение о том, что сертификат агента восстановления недействителен.

Оказалось, что срок действия по умолчанию, установленного при первой настройке моего домена много лет назад, истек, поэтому я создал новый и добавил «Агент восстановления данных EFS» в объект групповой политики в разделе Конфигурация компьютера -> Политики -> Настройки Windows - > Политики безопасности -> Политики открытого ключа -> Шифрованная файловая система.

Когда я выполняю «Результаты групповой политики» для данной рабочей станции и пользователя, он показывает новый агент, поэтому он определенно находится в групповой политике.

Кроме того, после запуска "gpupdate / force / wait: -1" и ожидания 24 часа! когда я пытаюсь настроить каталог для шифрования, я больше не получаю предупреждение о недопустимом агенте восстановления.

Я думал, что пока все хорошо. Однако агент восстановления не используется, что я доказал

  1. резервное копирование удаления "пользовательского" сертификата EFS и просто импортирование сертификата агента восстановления и закрытого ключа - при попытке чтения файла мне отказывают в доступе
  2. запустив cipher / c, я получаю «Сертификат восстановления не найден».
  3. При детализации свойств файла и дополнительных сведений о шифровании список агентов восстановления остается пустым.

У кого-нибудь есть идеи, что происходит и как я могу использовать агент восстановления?

Я не совсем уверен, что мешает установке DRA в файл, но вот разбивка имеющихся у меня объектов групповой политики EFS, которые могут помочь вам проверить наличие всех компонентов. Если вы спросите меня, установка EFS - это довольно сложная лоскутная смесь компонентов.

  • Компьютерный GPO для политики восстановления. Похоже, вы правильно настроили этот сертификат с сертификатом DRA. У вас есть шаблон сертификата, определенный в вашем ЦС, который используется для автоматических запросов сертификатов EFS?
  • Компьютерный объект групповой политики для отключения самозаверяющих сертификатов. Это отключает в реестре возможность использовать самозаверяющие сертификаты.
  • Пользовательский GPO для включения автоматической регистрации сертификатов и роуминга учетных данных. Включите автоматическую регистрацию новых сертификатов для вошедшего в систему пользователя. Кроме того, позвольте сертификату и ключам пользователя перемещаться вместе с пользователем, где бы он ни входил в систему.
  • Пользовательский GPO для шифрования папок. Сценарий входа в систему, который запускает cipher.exe от имени пользователя для шифрования своих папок.

Эта конфигурация предполагает, что вы используете службы сертификации Microsoft AD, а не самозаверяющие сертификаты.