單擊“開始”、“運(yùn)行”，鍵入 mmc ，然后單擊“確定”按鈕。打開“Microsoft 管理控制臺”。

在“文件”菜單中，選擇“添加/刪除管理單元”，然后單擊“添加”按鈕。

在“添加獨(dú)立管理單元”中，單擊“證書，然后單擊“添加”按鈕。

選擇“我的用戶帳戶”單選項(xiàng)，再單擊“確定”按鈕。

單擊“關(guān)閉”按鈕，再單擊“確定”按鈕。

雙擊“證書－當(dāng)前用戶”、“個(gè)人”，然后雙擊“證書”。

在“這個(gè)證書的目的是”一欄中單擊顯示字樣為“文件恢復(fù)”的證書。

右鍵單擊該證書，選擇“所有任務(wù)”，單擊“導(dǎo)出”按鈕。

按照“證書導(dǎo)出向?qū)?#8221;中的說明，導(dǎo)出該證書和相關(guān)的私鑰，并以 .pfx 文件格式保存。

單擊“開始”、“控制面板”，在“控制面板”窗口中，雙擊“管理工具”，然后雙擊“Active Directory 用戶與計(jì)算機(jī)”。

右鍵單擊需要更改恢復(fù)策略的域，然后單擊“屬性”。

選擇“組策略”選項(xiàng)卡。

右鍵單擊要更改的恢復(fù)策略，然后單擊“編輯”。

在控制臺樹（左欄）中，單擊“加密文件系統(tǒng)”。該選項(xiàng)位于以下導(dǎo)航路徑中：“計(jì)算機(jī)配置”、“Windows 設(shè)置”、“安全設(shè)置”、“公鑰策略”、“加密文件系統(tǒng)”。

在詳細(xì)信息欄（右欄）中，單擊右鍵，選擇“創(chuàng)建數(shù)據(jù)恢復(fù)代理”。
注意：按照“創(chuàng)建恢復(fù)代理向?qū)?#8221;的提示，從文件或 Active Directory 中添加用戶作為恢復(fù)代理。從文件添加恢復(fù)代理時(shí)，用戶被標(biāo)識為“未知用戶”。這是因?yàn)樵撚脩裘麤]有存儲在這個(gè)文件中。

要從 Active Directory 添加恢復(fù)代理，EFS 恢復(fù)代理證書（文件恢復(fù)證書）必須在 Active Directory 中發(fā)布。 但是，由于默認(rèn)的 EFS 文件恢復(fù)證書模板沒有發(fā)布這些證書，所以需要創(chuàng)建一個(gè)這樣的模板。要達(dá)到這個(gè)目的，請?jiān)?#8220;證書模板”管理單元，復(fù)制默認(rèn)的 EFS 文件恢復(fù)證書模板，以創(chuàng)建一個(gè)新模板，右鍵單擊這個(gè)新模板，選擇“屬性”，并在“常規(guī)”選項(xiàng)卡的“屬性” 對話框中找到復(fù)制的證書，然后選中“在 Active Directory 中發(fā)布證書”復(fù)選框。

按照 “創(chuàng)建恢復(fù)代理向?qū)?#8221;中的說明，完成創(chuàng)建基于域的恢復(fù)代理。

單擊“開始”、“運(yùn)行”，鍵入 mmc ，然后單擊“確定”按鈕。

在“文件”菜單中，選擇“添加/刪除管理單元”，然后單擊“添加”按鈕。

在“添加獨(dú)立管理單元”中，單擊“組策略對象編輯器”，然后單擊“添加”按鈕。

在“組策略對象”中，確定已經(jīng)顯示了“本地計(jì)算機(jī)”，然后單擊“完成”按鈕。

單擊“關(guān)閉”按鈕，再單擊“確定”按鈕。

在“本地計(jì)算機(jī)策略”中，導(dǎo)航到“本地”、“計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows 設(shè)置”、“安全設(shè)置”、“公鑰策略”。

在詳細(xì)信息欄中，右鍵單擊“加密文件系統(tǒng)”，再單擊“添加數(shù)據(jù)恢復(fù)代理” 或“創(chuàng)建數(shù)據(jù)恢復(fù)代理”。

注意：向?qū)崾灸斎牖謴?fù)代理用戶名。您可提供具有發(fā)布的文件恢復(fù)證書的用戶名給向?qū)В驗(yàn)g覽恢復(fù)證書文件（.cer文件），此類文件中包含有關(guān)恢復(fù)代理的信息。文件恢復(fù)證書可以從證書頒發(fā)機(jī)構(gòu) (CA) 獲得。要標(biāo)識文件恢復(fù)證書，請?jiān)?#8220;證書”管理單元和詳細(xì)信息欄中的“增強(qiáng)型密鑰用法”字段中，查找值“文件恢復(fù) (1.3.6.1.4.1.311.10.3.4.1)”。在本地計(jì)算機(jī)文件系統(tǒng)或 Active Directory 中，以 .cer 文件存儲文件恢復(fù)證書。

從文件中添加恢復(fù)代理時(shí)，用戶被標(biāo)識為“未知用戶”，因?yàn)樵撐募形创鎯Υ擞脩裘?/p>

根據(jù)向?qū)е械恼f明，結(jié)束該過程。

打開 Windows 資源管理器。

右鍵單擊要加密的文件或文件夾，在彈出的菜單中，選擇“屬性”項(xiàng)。

在“常規(guī)”選項(xiàng)卡中，單擊“高級”。

選中“加密內(nèi)容以保護(hù)數(shù)據(jù)”復(fù)選框，單擊“確定”按鈕。

在“屬性” 對話框中，單擊“確定”，然后執(zhí)行下列步驟中之一：

單擊“確定”按鈕，確認(rèn)并應(yīng)用加密選項(xiàng)。

運(yùn)行“注冊編輯器”，導(dǎo)航到以下注冊表路徑：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

在詳細(xì)信息欄（右欄）中，單擊右鍵，在彈出的快捷菜單中，依次選擇“新建”、“雙字節(jié)值”。

鍵入 EncryptionContextMenu 作為雙字節(jié)值的名稱，并按“回車”鍵確認(rèn)。

右鍵單擊新建的雙字節(jié)注冊表項(xiàng)，單擊“修改”。

在“編輯雙字節(jié)值”對話框中的“數(shù)值數(shù)據(jù)”欄中，輸入一個(gè)值，然后單擊“確定”按鈕。

單擊“文件”菜單，選擇“退出”，關(guān)閉“注冊表編輯器”。

打開 Windows 資源管理器。

右鍵單擊要改變的加密文件，在彈出的快捷菜單中選擇“屬性”。

在“常規(guī)”選項(xiàng)卡中，單擊“高級”。

在“高級屬性”中，單擊“詳細(xì)信息”。

要添加用戶到這個(gè)文件中，請單擊“添加”，然后執(zhí)行以下步驟中的一種：

以域的第一個(gè)域控制器的管理員帳戶登錄。

單擊“開始”，然后單擊“運(yùn)行”。

鍵入 mmc.exe ，并按“回車”鍵。

單擊“文件”、“添加/刪除管理單元”。

單擊“添加”。將彈出當(dāng)前計(jì)算機(jī)上注冊的所有管理單元列表。

雙擊“證書”管理單元，單擊“我的用戶帳戶”，然后單擊“完成”。

在“添加獨(dú)立管理單元”對話框中，單擊“關(guān)閉”按鈕，然后在“添加/刪除管理單元”對話框中，單擊“確定”按鈕。MMC 當(dāng)前顯示適合管理員帳戶的個(gè)人證書。

導(dǎo)航到“證書”、“當(dāng)前用戶”、“個(gè)人”、“證書”。
詳細(xì)信息欄（右欄）中將顯示管理員帳戶所有證書列表。默認(rèn)情況下，通常顯示兩個(gè)證書。選擇默認(rèn)域的 DRA 證書。

雙擊默認(rèn)域的 DRA 證書，選擇“所有任務(wù)”，然后單擊“導(dǎo)出” 按鈕，啟動“證書導(dǎo)出向?qū)?#8221;。

要點(diǎn)： 在導(dǎo)出過程中，選擇正確的密鑰至關(guān)重要，因?yàn)橐坏?dǎo)出過程結(jié)束，原始私鑰和相應(yīng)的證書將從計(jì)算機(jī)上被刪除。如果密鑰沒有還原到計(jì)算機(jī)上，那么使用 DRA 證書將無法進(jìn)行文件恢復(fù)。

單擊“是，導(dǎo)出私鑰”，然后單擊“下一步”。導(dǎo)出過程的結(jié)束時(shí)，私鑰將被刪除。

在“導(dǎo)出文件格式”頁中，單擊“個(gè)人信息交換 PKCS #12 (.PFX)”，選中“啟用增強(qiáng)型保護(hù)”和“如果導(dǎo)出成功，刪除私鑰”這兩個(gè)復(fù)選框，單擊“下一步”。
最佳做法是，導(dǎo)出成功結(jié)束后，從系統(tǒng)中刪除私鑰，增強(qiáng)型私鑰保護(hù)應(yīng)當(dāng)作為私鑰安全的特殊級別使用。
導(dǎo)出私鑰時(shí)，請使用 .pfx 文件格式。.pfx 文件格式是基于 PKCS #12 標(biāo)準(zhǔn)的，該標(biāo)準(zhǔn)是一種可移植格式，用于存儲或傳輸包括私鑰、證書和各種機(jī)密信息在內(nèi)的用戶信息。此外，.pfx 文件格式 (PKCS #12) 還允許使用密碼，來保護(hù)存儲在文件中的私鑰。

在“密碼”頁中的“密碼”“密碼確認(rèn)”編輯框中，輸入一個(gè)強(qiáng)密碼，然后單擊“下一步”。

最后一步是保存真正的 .pfx 文件。證書與私鑰可以導(dǎo)出到任何可寫入設(shè)備中，包括網(wǎng)絡(luò)驅(qū)動器或軟盤。

在“導(dǎo)出文件”頁中，鍵入或?yàn)g覽路徑并指定文件名，然后單擊“下一步”。

通知將報(bào)告導(dǎo)出操作是否成功。

如果文件和相關(guān)私鑰丟失，將無法解密任何使用該 DRA 證書作為數(shù)據(jù)恢復(fù)代理的加密文件。.pfx 文件和私鑰一旦被導(dǎo)出，就要按照企業(yè)的安全規(guī)則與做法，在穩(wěn)定的可移動媒體的安全位置存儲該文件。例如，企業(yè)可以把 .pfx 文件保存在一各或多個(gè) CD-ROM 光盤中，將這些光盤存放于一個(gè)安全的存放盒或隔間內(nèi)，并在這些地點(diǎn)實(shí)施嚴(yán)格的物理訪問控制。

使用有效帳戶登錄計(jì)算機(jī)。

單擊“開始”、“運(yùn)行”。

鍵入 mmc.exe ，并按“回車”鍵。

在 MMC 中，在“文件”菜單中，選擇“添加/刪除管理單元”。

單擊“添加”。彈出當(dāng)前計(jì)算機(jī)上注冊的所有管理單元列表。

雙擊“證書” 管理單元，單擊“我的用戶帳戶”，然后單擊“完成”。

在“添加獨(dú)立管理單元”對話框中，單擊“關(guān)閉”按鈕，然后在“添加/刪除管理單元”對話框中，單擊“確定”按鈕。MMC 當(dāng)前顯示適合管理員帳戶的個(gè)人證書。

導(dǎo)航到“證書”、“當(dāng)前用戶”、“個(gè)人”、“證書”，右鍵單擊該文件夾，選擇“所有任務(wù)”，然后單擊“導(dǎo)入”，啟動“證書導(dǎo)入向?qū)?#8221;。

單擊“下一步”，輸入要導(dǎo)入的文件和及其路徑，再單擊“下一步”。

如果導(dǎo)入的文件為 PKCS #12 文件，在“密碼”頁中的“密碼”框中，輸入該文件的密碼。
最佳的做法為采用強(qiáng)密碼保護(hù)私鑰。

如果稍后需要從該計(jì)算機(jī)中再次導(dǎo)出此密鑰，請選中“標(biāo)明該密鑰為可導(dǎo)出”復(fù)選框。單擊“下一步”

向?qū)Э赡軙崾灸付ㄗC書與私鑰應(yīng)該導(dǎo)入的存儲器。要確保私鑰被導(dǎo)入到個(gè)人存儲器中，請不要選擇“基于證書類型自動選擇證書存儲器”，而應(yīng)選擇“把所有證書保存到以下存儲器中”，然后單擊“下一步”。

高亮度選擇“個(gè)人”存儲器，單擊“確定”按鈕。

單擊“下一步”，再單擊“完成”，結(jié)束導(dǎo)入過程。通知將報(bào)告導(dǎo)入操作是否成功。

打開 Windows 資源管理器。

右鍵單擊要恢復(fù)的文件或文件夾，單擊“屬性”。

在“常規(guī)”選項(xiàng)卡中，單擊“高級”。

清除“加密內(nèi)容以保護(hù)數(shù)據(jù)”復(fù)選框。

制作解密文件或文件夾的備份，并將其交給用戶。

注意： 您可以通過電子郵件附件、磁盤或網(wǎng)絡(luò)共享將備份版本返還給用戶。

恢復(fù)數(shù)據(jù)的另一種方法為，傳輸恢復(fù)代理的私鑰和證書到存有加密文件的計(jì)算機(jī)中，導(dǎo)入私鑰和證書，解密該文件或文件夾，然后刪除導(dǎo)入的私鑰和證書。與方法一相比，采用此方法，私鑰的安全性大大降低，但同時(shí)也免除了備份、恢復(fù)和文件傳輸操作。