單擊“開始”、“運行”，鍵入 mmc ，然后單擊“確定”按鈕。打開“Microsoft 管理控制臺”。

在“文件”菜單中，選擇“添加/刪除管理單元”，然后單擊“添加”按鈕。

在“添加獨立管理單元”中，單擊“證書，然后單擊“添加”按鈕。

選擇“我的用戶帳戶”單選項，再單擊“確定”按鈕。

單擊“關(guān)閉”按鈕，再單擊“確定”按鈕。

雙擊“證書－當(dāng)前用戶”、“個人”，然后雙擊“證書”。

在“這個證書的目的是”一欄中單擊顯示字樣為“文件恢復(fù)”的證書。

右鍵單擊該證書，選擇“所有任務(wù)”，單擊“導(dǎo)出”按鈕。

按照“證書導(dǎo)出向?qū)?#8221;中的說明，導(dǎo)出該證書和相關(guān)的私鑰，并以 .pfx 文件格式保存。

單擊“開始”、“控制面板”，在“控制面板”窗口中，雙擊“管理工具”，然后雙擊“Active Directory 用戶與計算機”。

右鍵單擊需要更改恢復(fù)策略的域，然后單擊“屬性”。

選擇“組策略”選項卡。

右鍵單擊要更改的恢復(fù)策略，然后單擊“編輯”。

在控制臺樹（左欄）中，單擊“加密文件系統(tǒng)”。該選項位于以下導(dǎo)航路徑中：“計算機配置”、“Windows 設(shè)置”、“安全設(shè)置”、“公鑰策略”、“加密文件系統(tǒng)”。

在詳細(xì)信息欄（右欄）中，單擊右鍵，選擇“創(chuàng)建數(shù)據(jù)恢復(fù)代理”。
注意：按照“創(chuàng)建恢復(fù)代理向?qū)?#8221;的提示，從文件或 Active Directory 中添加用戶作為恢復(fù)代理。從文件添加恢復(fù)代理時，用戶被標(biāo)識為“未知用戶”。這是因為該用戶名沒有存儲在這個文件中。

要從 Active Directory 添加恢復(fù)代理，EFS 恢復(fù)代理證書（文件恢復(fù)證書）必須在 Active Directory 中發(fā)布。 但是，由于默認(rèn)的 EFS 文件恢復(fù)證書模板沒有發(fā)布這些證書，所以需要創(chuàng)建一個這樣的模板。要達到這個目的，請在“證書模板”管理單元，復(fù)制默認(rèn)的 EFS 文件恢復(fù)證書模板，以創(chuàng)建一個新模板，右鍵單擊這個新模板，選擇“屬性”，并在“常規(guī)”選項卡的“屬性” 對話框中找到復(fù)制的證書，然后選中“在 Active Directory 中發(fā)布證書”復(fù)選框。

按照 “創(chuàng)建恢復(fù)代理向?qū)?#8221;中的說明，完成創(chuàng)建基于域的恢復(fù)代理。

單擊“開始”、“運行”，鍵入 mmc ，然后單擊“確定”按鈕。

在“文件”菜單中，選擇“添加/刪除管理單元”，然后單擊“添加”按鈕。

在“添加獨立管理單元”中，單擊“組策略對象編輯器”，然后單擊“添加”按鈕。

在“組策略對象”中，確定已經(jīng)顯示了“本地計算機”，然后單擊“完成”按鈕。

單擊“關(guān)閉”按鈕，再單擊“確定”按鈕。

在“本地計算機策略”中，導(dǎo)航到“本地”、“計算機策略”、“計算機配置”、“Windows 設(shè)置”、“安全設(shè)置”、“公鑰策略”。

在詳細(xì)信息欄中，右鍵單擊“加密文件系統(tǒng)”，再單擊“添加數(shù)據(jù)恢復(fù)代理” 或“創(chuàng)建數(shù)據(jù)恢復(fù)代理”。

注意：向?qū)崾灸斎牖謴?fù)代理用戶名。您可提供具有發(fā)布的文件恢復(fù)證書的用戶名給向?qū)?，或瀏覽恢復(fù)證書文件（.cer文件），此類文件中包含有關(guān)恢復(fù)代理的信息。文件恢復(fù)證書可以從證書頒發(fā)機構(gòu) (CA) 獲得。要標(biāo)識文件恢復(fù)證書，請在“證書”管理單元和詳細(xì)信息欄中的“增強型密鑰用法”字段中，查找值“文件恢復(fù) (1.3.6.1.4.1.311.10.3.4.1)”。在本地計算機文件系統(tǒng)或 Active Directory 中，以 .cer 文件存儲文件恢復(fù)證書。

從文件中添加恢復(fù)代理時，用戶被標(biāo)識為“未知用戶”，因為該文件中未存儲此用戶名。

根據(jù)向?qū)е械恼f明，結(jié)束該過程。

打開 Windows 資源管理器。

右鍵單擊要加密的文件或文件夾，在彈出的菜單中，選擇“屬性”項。

在“常規(guī)”選項卡中，單擊“高級”。

選中“加密內(nèi)容以保護數(shù)據(jù)”復(fù)選框，單擊“確定”按鈕。

在“屬性” 對話框中，單擊“確定”，然后執(zhí)行下列步驟中之一：

單擊“確定”按鈕，確認(rèn)并應(yīng)用加密選項。

運行“注冊編輯器”，導(dǎo)航到以下注冊表路徑：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

在詳細(xì)信息欄（右欄）中，單擊右鍵，在彈出的快捷菜單中，依次選擇“新建”、“雙字節(jié)值”。

鍵入 EncryptionContextMenu 作為雙字節(jié)值的名稱，并按“回車”鍵確認(rèn)。

右鍵單擊新建的雙字節(jié)注冊表項，單擊“修改”。

在“編輯雙字節(jié)值”對話框中的“數(shù)值數(shù)據(jù)”欄中，輸入一個值，然后單擊“確定”按鈕。

單擊“文件”菜單，選擇“退出”，關(guān)閉“注冊表編輯器”。

打開 Windows 資源管理器。

右鍵單擊要改變的加密文件，在彈出的快捷菜單中選擇“屬性”。

在“常規(guī)”選項卡中，單擊“高級”。

在“高級屬性”中，單擊“詳細(xì)信息”。

要添加用戶到這個文件中，請單擊“添加”，然后執(zhí)行以下步驟中的一種：

以域的第一個域控制器的管理員帳戶登錄。

單擊“開始”，然后單擊“運行”。

鍵入 mmc.exe ，并按“回車”鍵。

單擊“文件”、“添加/刪除管理單元”。

單擊“添加”。將彈出當(dāng)前計算機上注冊的所有管理單元列表。

雙擊“證書”管理單元，單擊“我的用戶帳戶”，然后單擊“完成”。

在“添加獨立管理單元”對話框中，單擊“關(guān)閉”按鈕，然后在“添加/刪除管理單元”對話框中，單擊“確定”按鈕。MMC 當(dāng)前顯示適合管理員帳戶的個人證書。

導(dǎo)航到“證書”、“當(dāng)前用戶”、“個人”、“證書”。
詳細(xì)信息欄（右欄）中將顯示管理員帳戶所有證書列表。默認(rèn)情況下，通常顯示兩個證書。選擇默認(rèn)域的 DRA 證書。

雙擊默認(rèn)域的 DRA 證書，選擇“所有任務(wù)”，然后單擊“導(dǎo)出” 按鈕，啟動“證書導(dǎo)出向?qū)?#8221;。

要點： 在導(dǎo)出過程中，選擇正確的密鑰至關(guān)重要，因為一旦導(dǎo)出過程結(jié)束，原始私鑰和相應(yīng)的證書將從計算機上被刪除。如果密鑰沒有還原到計算機上，那么使用 DRA 證書將無法進行文件恢復(fù)。

單擊“是，導(dǎo)出私鑰”，然后單擊“下一步”。導(dǎo)出過程的結(jié)束時，私鑰將被刪除。

在“導(dǎo)出文件格式”頁中，單擊“個人信息交換 PKCS #12 (.PFX)”，選中“啟用增強型保護”和“如果導(dǎo)出成功，刪除私鑰”這兩個復(fù)選框，單擊“下一步”。
最佳做法是，導(dǎo)出成功結(jié)束后，從系統(tǒng)中刪除私鑰，增強型私鑰保護應(yīng)當(dāng)作為私鑰安全的特殊級別使用。
導(dǎo)出私鑰時，請使用 .pfx 文件格式。.pfx 文件格式是基于 PKCS #12 標(biāo)準(zhǔn)的，該標(biāo)準(zhǔn)是一種可移植格式，用于存儲或傳輸包括私鑰、證書和各種機密信息在內(nèi)的用戶信息。此外，.pfx 文件格式 (PKCS #12) 還允許使用密碼，來保護存儲在文件中的私鑰。

在“密碼”頁中的“密碼”“密碼確認(rèn)”編輯框中，輸入一個強密碼，然后單擊“下一步”。

最后一步是保存真正的 .pfx 文件。證書與私鑰可以導(dǎo)出到任何可寫入設(shè)備中，包括網(wǎng)絡(luò)驅(qū)動器或軟盤。

在“導(dǎo)出文件”頁中，鍵入或瀏覽路徑并指定文件名，然后單擊“下一步”。

通知將報告導(dǎo)出操作是否成功。

如果文件和相關(guān)私鑰丟失，將無法解密任何使用該 DRA 證書作為數(shù)據(jù)恢復(fù)代理的加密文件。.pfx 文件和私鑰一旦被導(dǎo)出，就要按照企業(yè)的安全規(guī)則與做法，在穩(wěn)定的可移動媒體的安全位置存儲該文件。例如，企業(yè)可以把 .pfx 文件保存在一各或多個 CD-ROM 光盤中，將這些光盤存放于一個安全的存放盒或隔間內(nèi)，并在這些地點實施嚴(yán)格的物理訪問控制。

使用有效帳戶登錄計算機。

單擊“開始”、“運行”。

鍵入 mmc.exe ，并按“回車”鍵。

在 MMC 中，在“文件”菜單中，選擇“添加/刪除管理單元”。

單擊“添加”。彈出當(dāng)前計算機上注冊的所有管理單元列表。

雙擊“證書” 管理單元，單擊“我的用戶帳戶”，然后單擊“完成”。

在“添加獨立管理單元”對話框中，單擊“關(guān)閉”按鈕，然后在“添加/刪除管理單元”對話框中，單擊“確定”按鈕。MMC 當(dāng)前顯示適合管理員帳戶的個人證書。

導(dǎo)航到“證書”、“當(dāng)前用戶”、“個人”、“證書”，右鍵單擊該文件夾，選擇“所有任務(wù)”，然后單擊“導(dǎo)入”，啟動“證書導(dǎo)入向?qū)?#8221;。

單擊“下一步”，輸入要導(dǎo)入的文件和及其路徑，再單擊“下一步”。

如果導(dǎo)入的文件為 PKCS #12 文件，在“密碼”頁中的“密碼”框中，輸入該文件的密碼。
最佳的做法為采用強密碼保護私鑰。

如果稍后需要從該計算機中再次導(dǎo)出此密鑰，請選中“標(biāo)明該密鑰為可導(dǎo)出”復(fù)選框。單擊“下一步”

向?qū)Э赡軙崾灸付ㄗC書與私鑰應(yīng)該導(dǎo)入的存儲器。要確保私鑰被導(dǎo)入到個人存儲器中，請不要選擇“基于證書類型自動選擇證書存儲器”，而應(yīng)選擇“把所有證書保存到以下存儲器中”，然后單擊“下一步”。

高亮度選擇“個人”存儲器，單擊“確定”按鈕。

單擊“下一步”，再單擊“完成”，結(jié)束導(dǎo)入過程。通知將報告導(dǎo)入操作是否成功。

打開 Windows 資源管理器。

右鍵單擊要恢復(fù)的文件或文件夾，單擊“屬性”。

在“常規(guī)”選項卡中，單擊“高級”。

清除“加密內(nèi)容以保護數(shù)據(jù)”復(fù)選框。

制作解密文件或文件夾的備份，并將其交給用戶。

注意： 您可以通過電子郵件附件、磁盤或網(wǎng)絡(luò)共享將備份版本返還給用戶。

恢復(fù)數(shù)據(jù)的另一種方法為，傳輸恢復(fù)代理的私鑰和證書到存有加密文件的計算機中，導(dǎo)入私鑰和證書，解密該文件或文件夾，然后刪除導(dǎo)入的私鑰和證書。與方法一相比，采用此方法，私鑰的安全性大大降低，但同時也免除了備份、恢復(fù)和文件傳輸操作。