單擊“開(kāi)始”、“運行”，鍵入 mmc ，然后單擊“確定”按鈕。打開(kāi)“Microsoft 管理控制臺”。

在“文件”菜單中，選擇“添加/刪除管理單元”，然后單擊“添加”按鈕。

在“添加獨立管理單元”中，單擊“證書(shū)，然后單擊“添加”按鈕。

選擇“我的用戶(hù)帳戶(hù)”單選項，再單擊“確定”按鈕。

單擊“關(guān)閉”按鈕，再單擊“確定”按鈕。

雙擊“證書(shū)－當前用戶(hù)”、“個(gè)人”，然后雙擊“證書(shū)”。

在“這個(gè)證書(shū)的目的是”一欄中單擊顯示字樣為“文件恢復”的證書(shū)。

右鍵單擊該證書(shū)，選擇“所有任務(wù)”，單擊“導出”按鈕。

按照“證書(shū)導出向導”中的說(shuō)明，導出該證書(shū)和相關(guān)的私鑰，并以 .pfx 文件格式保存。

單擊“開(kāi)始”、“控制面板”，在“控制面板”窗口中，雙擊“管理工具”，然后雙擊“Active Directory 用戶(hù)與計算機”。

右鍵單擊需要更改恢復策略的域，然后單擊“屬性”。

選擇“組策略”選項卡。

右鍵單擊要更改的恢復策略，然后單擊“編輯”。

在控制臺樹(shù)（左欄）中，單擊“加密文件系統”。該選項位于以下導航路徑中：“計算機配置”、“Windows 設置”、“安全設置”、“公鑰策略”、“加密文件系統”。

在詳細信息欄（右欄）中，單擊右鍵，選擇“創(chuàng )建數據恢復代理”。
注意：按照“創(chuàng )建恢復代理向導”的提示，從文件或 Active Directory 中添加用戶(hù)作為恢復代理。從文件添加恢復代理時(shí)，用戶(hù)被標識為“未知用戶(hù)”。這是因為該用戶(hù)名沒(méi)有存儲在這個(gè)文件中。

要從 Active Directory 添加恢復代理，EFS 恢復代理證書(shū)（文件恢復證書(shū)）必須在 Active Directory 中發(fā)布。 但是，由于默認的 EFS 文件恢復證書(shū)模板沒(méi)有發(fā)布這些證書(shū)，所以需要創(chuàng )建一個(gè)這樣的模板。要達到這個(gè)目的，請在“證書(shū)模板”管理單元，復制默認的 EFS 文件恢復證書(shū)模板，以創(chuàng )建一個(gè)新模板，右鍵單擊這個(gè)新模板，選擇“屬性”，并在“常規”選項卡的“屬性” 對話(huà)框中找到復制的證書(shū)，然后選中“在 Active Directory 中發(fā)布證書(shū)”復選框。

按照 “創(chuàng )建恢復代理向導”中的說(shuō)明，完成創(chuàng )建基于域的恢復代理。

單擊“開(kāi)始”、“運行”，鍵入 mmc ，然后單擊“確定”按鈕。

在“文件”菜單中，選擇“添加/刪除管理單元”，然后單擊“添加”按鈕。

在“添加獨立管理單元”中，單擊“組策略對象編輯器”，然后單擊“添加”按鈕。

在“組策略對象”中，確定已經(jīng)顯示了“本地計算機”，然后單擊“完成”按鈕。

單擊“關(guān)閉”按鈕，再單擊“確定”按鈕。

在“本地計算機策略”中，導航到“本地”、“計算機策略”、“計算機配置”、“Windows 設置”、“安全設置”、“公鑰策略”。

在詳細信息欄中，右鍵單擊“加密文件系統”，再單擊“添加數據恢復代理” 或“創(chuàng )建數據恢復代理”。

注意：向導會(huì )提示您輸入恢復代理用戶(hù)名。您可提供具有發(fā)布的文件恢復證書(shū)的用戶(hù)名給向導，或瀏覽恢復證書(shū)文件（.cer文件），此類(lèi)文件中包含有關(guān)恢復代理的信息。文件恢復證書(shū)可以從證書(shū)頒發(fā)機構 (CA) 獲得。要標識文件恢復證書(shū)，請在“證書(shū)”管理單元和詳細信息欄中的“增強型密鑰用法”字段中，查找值“文件恢復 (1.3.6.1.4.1.311.10.3.4.1)”。在本地計算機文件系統或 Active Directory 中，以 .cer 文件存儲文件恢復證書(shū)。

從文件中添加恢復代理時(shí)，用戶(hù)被標識為“未知用戶(hù)”，因為該文件中未存儲此用戶(hù)名。

根據向導中的說(shuō)明，結束該過(guò)程。

打開(kāi) Windows 資源管理器。

右鍵單擊要加密的文件或文件夾，在彈出的菜單中，選擇“屬性”項。

在“常規”選項卡中，單擊“高級”。

選中“加密內容以保護數據”復選框，單擊“確定”按鈕。

在“屬性” 對話(huà)框中，單擊“確定”，然后執行下列步驟中之一：

單擊“確定”按鈕，確認并應用加密選項。

運行“注冊編輯器”，導航到以下注冊表路徑：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

在詳細信息欄（右欄）中，單擊右鍵，在彈出的快捷菜單中，依次選擇“新建”、“雙字節值”。

鍵入 EncryptionContextMenu 作為雙字節值的名稱(chēng)，并按“回車(chē)”鍵確認。

右鍵單擊新建的雙字節注冊表項，單擊“修改”。

在“編輯雙字節值”對話(huà)框中的“數值數據”欄中，輸入一個(gè)值，然后單擊“確定”按鈕。

單擊“文件”菜單，選擇“退出”，關(guān)閉“注冊表編輯器”。

打開(kāi) Windows 資源管理器。

右鍵單擊要改變的加密文件，在彈出的快捷菜單中選擇“屬性”。

在“常規”選項卡中，單擊“高級”。

在“高級屬性”中，單擊“詳細信息”。

要添加用戶(hù)到這個(gè)文件中，請單擊“添加”，然后執行以下步驟中的一種：

以域的第一個(gè)域控制器的管理員帳戶(hù)登錄。

單擊“開(kāi)始”，然后單擊“運行”。

鍵入 mmc.exe ，并按“回車(chē)”鍵。

單擊“文件”、“添加/刪除管理單元”。

單擊“添加”。將彈出當前計算機上注冊的所有管理單元列表。

雙擊“證書(shū)”管理單元，單擊“我的用戶(hù)帳戶(hù)”，然后單擊“完成”。

在“添加獨立管理單元”對話(huà)框中，單擊“關(guān)閉”按鈕，然后在“添加/刪除管理單元”對話(huà)框中，單擊“確定”按鈕。MMC 當前顯示適合管理員帳戶(hù)的個(gè)人證書(shū)。

導航到“證書(shū)”、“當前用戶(hù)”、“個(gè)人”、“證書(shū)”。
詳細信息欄（右欄）中將顯示管理員帳戶(hù)所有證書(shū)列表。默認情況下，通常顯示兩個(gè)證書(shū)。選擇默認域的 DRA 證書(shū)。

雙擊默認域的 DRA 證書(shū)，選擇“所有任務(wù)”，然后單擊“導出” 按鈕，啟動(dòng)“證書(shū)導出向導”。

要點(diǎn)： 在導出過(guò)程中，選擇正確的密鑰至關(guān)重要，因為一旦導出過(guò)程結束，原始私鑰和相應的證書(shū)將從計算機上被刪除。如果密鑰沒(méi)有還原到計算機上，那么使用 DRA 證書(shū)將無(wú)法進(jìn)行文件恢復。

單擊“是，導出私鑰”，然后單擊“下一步”。導出過(guò)程的結束時(shí)，私鑰將被刪除。

在“導出文件格式”頁(yè)中，單擊“個(gè)人信息交換 PKCS #12 (.PFX)”，選中“啟用增強型保護”和“如果導出成功，刪除私鑰”這兩個(gè)復選框，單擊“下一步”。
最佳做法是，導出成功結束后，從系統中刪除私鑰，增強型私鑰保護應當作為私鑰安全的特殊級別使用。
導出私鑰時(shí)，請使用 .pfx 文件格式。.pfx 文件格式是基于 PKCS #12 標準的，該標準是一種可移植格式，用于存儲或傳輸包括私鑰、證書(shū)和各種機密信息在內的用戶(hù)信息。此外，.pfx 文件格式 (PKCS #12) 還允許使用密碼，來(lái)保護存儲在文件中的私鑰。

在“密碼”頁(yè)中的“密碼”“密碼確認”編輯框中，輸入一個(gè)強密碼，然后單擊“下一步”。

最后一步是保存真正的 .pfx 文件。證書(shū)與私鑰可以導出到任何可寫(xiě)入設備中，包括網(wǎng)絡(luò )驅動(dòng)器或軟盤(pán)。

在“導出文件”頁(yè)中，鍵入或瀏覽路徑并指定文件名，然后單擊“下一步”。

通知將報告導出操作是否成功。

如果文件和相關(guān)私鑰丟失，將無(wú)法解密任何使用該 DRA 證書(shū)作為數據恢復代理的加密文件。.pfx 文件和私鑰一旦被導出，就要按照企業(yè)的安全規則與做法，在穩定的可移動(dòng)媒體的安全位置存儲該文件。例如，企業(yè)可以把 .pfx 文件保存在一各或多個(gè) CD-ROM 光盤(pán)中，將這些光盤(pán)存放于一個(gè)安全的存放盒或隔間內，并在這些地點(diǎn)實(shí)施嚴格的物理訪(fǎng)問(wèn)控制。

使用有效帳戶(hù)登錄計算機。

單擊“開(kāi)始”、“運行”。

鍵入 mmc.exe ，并按“回車(chē)”鍵。

在 MMC 中，在“文件”菜單中，選擇“添加/刪除管理單元”。

單擊“添加”。彈出當前計算機上注冊的所有管理單元列表。

雙擊“證書(shū)” 管理單元，單擊“我的用戶(hù)帳戶(hù)”，然后單擊“完成”。

在“添加獨立管理單元”對話(huà)框中，單擊“關(guān)閉”按鈕，然后在“添加/刪除管理單元”對話(huà)框中，單擊“確定”按鈕。MMC 當前顯示適合管理員帳戶(hù)的個(gè)人證書(shū)。

導航到“證書(shū)”、“當前用戶(hù)”、“個(gè)人”、“證書(shū)”，右鍵單擊該文件夾，選擇“所有任務(wù)”，然后單擊“導入”，啟動(dòng)“證書(shū)導入向導”。

單擊“下一步”，輸入要導入的文件和及其路徑，再單擊“下一步”。

如果導入的文件為 PKCS #12 文件，在“密碼”頁(yè)中的“密碼”框中，輸入該文件的密碼。
最佳的做法為采用強密碼保護私鑰。

如果稍后需要從該計算機中再次導出此密鑰，請選中“標明該密鑰為可導出”復選框。單擊“下一步”

向導可能會(huì )提示您指定證書(shū)與私鑰應該導入的存儲器。要確保私鑰被導入到個(gè)人存儲器中，請不要選擇“基于證書(shū)類(lèi)型自動(dòng)選擇證書(shū)存儲器”，而應選擇“把所有證書(shū)保存到以下存儲器中”，然后單擊“下一步”。

高亮度選擇“個(gè)人”存儲器，單擊“確定”按鈕。

單擊“下一步”，再單擊“完成”，結束導入過(guò)程。通知將報告導入操作是否成功。

打開(kāi) Windows 資源管理器。

右鍵單擊要恢復的文件或文件夾，單擊“屬性”。

在“常規”選項卡中，單擊“高級”。

清除“加密內容以保護數據”復選框。

制作解密文件或文件夾的備份，并將其交給用戶(hù)。

注意： 您可以通過(guò)電子郵件附件、磁盤(pán)或網(wǎng)絡(luò )共享將備份版本返還給用戶(hù)。

恢復數據的另一種方法為，傳輸恢復代理的私鑰和證書(shū)到存有加密文件的計算機中，導入私鑰和證書(shū)，解密該文件或文件夾，然后刪除導入的私鑰和證書(shū)。與方法一相比，采用此方法，私鑰的安全性大大降低，但同時(shí)也免除了備份、恢復和文件傳輸操作。