本文介绍了如何在 Windows Server 2003、Windows 2000 和 Windows XP 中备份恢复代理加密文件系统 (EFS) 私钥。当位于本地计算机上的 EFS 私钥副本丢失时，您可以使用恢复代理的私钥恢复数据。

您可以使用 EFS 加密数据文件以阻止未经授权的访问。EFS 使用动态生成的加密密钥来加密文件。文件加密密钥 (FEK) 使用 EFS 公钥加密，并且作为名为数据加密字段 (DDF) 的 EFS 属性添加到文件。要解密 FEK，您必须具有“公钥-私钥”对的相应 EFS 私钥。解密 FEK 后，就可以使用 FEK 解密文件。

如果 EFS 私钥丢失，可以使用恢复代理来恢复加密的文件。每次加密文件时，FEK 也将使用恢复代理的公钥进行加密。加密 FEK 将附加到具有副本的文件，此副本使用数据恢复字段 (DRF) 中的 EFS 公钥进行加密。如果使用的是恢复代理的私钥，则可以解密 FEK，然后解密文件。

默认情况下，如果运行 Microsoft Windows 2000 Professional 的计算机是工作组的成员或 Microsoft Windows NT 4.0 域的成员，则第一个登录此计算机的本地管理员将被指定为默认的恢复代理。默认情况下，如果运行 Windows XP 或 Windows 2000 的计算机是 Windows Server 2003 域或 Windows 2000 域的成员，则此域中第一个域控制器上的内置管理员帐户将被指定为默认的恢复代理。

注意，运行 Windows XP 且为工作组成员的计算机不具有默认的恢复代理。您必须手动创建本地恢复代理。 有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

重要说明：将私钥导出到软盘或其他可移动媒体后，请将此软盘或媒体存放在安全位置。如果有人能够获取您的 EFS 私钥，则他也能够访问您的加密数据。

回到顶端

从工作组成员计算机中导出恢复代理的私钥

要从工作组成员计算机中导出恢复代理的私钥，请按照下列步骤操作：

1.	使用恢复代理的本地用户帐户登录到计算机。
2.	单击开始，单击运行，键入 mmc，然后单击确定。
3.	在“文件”菜单上，单击“添加/删除管理单元”，然后单击“添加”。
4.	在“可用的独立管理单元”下，单击“证书”，然后单击“添加”。
5.	单击“我的用户帐户”，然后单击“完成”。
6.	单击“关闭”，然后单击“确定”。
7.	双击“证书 – 当前用户”，双击“个人”，然后双击“证书”。
8.	在“预期目的”列中找到显示“文件恢复”（无引号）一词的证书。
9.	右键单击在步骤 8 中找到的证书，指向“所有任务”，然后单击“导出”。“证书导出向导”将启动。
10.	单击“下一步”。
11.	单击“是，导出私钥”，然后单击“下一步”。
12.	单击“个人信息交换 - PKCS #12 (.PFX)”。 注意：我们极力建议您单击以选中“启用强保护(要求 IE 5.0、NT 4.0 SP4 或更高版本)”复选框，从而防止他人对您的私钥进行未经授权的访问。 如果您单击以选中“如果导出成功，删除密钥”复选框，则私钥将从计算机删除，并且无法解密所有加密文件。
13.	单击“下一步”。
14.	指定密码，然后单击“下一步”。
15.	指定要导出证书和私钥的文件名和位置，然后单击“下一步”。 注意：我们建议您将文件备份到磁盘或可移动媒体设备，然后将备份存储在可以确认备份的物理安全的位置。
16.	验证在“正在完成证书导出向导”页面上显示的设置，然后单击“完成”。

回到顶端

导出域恢复代理的私钥

域中的第一个域控制器包含内置管理员配置文件，其中包含用于域的默认恢复代理的公共证书和私钥。公共证书被导入到默认的域策略，并使用组策略应用到域客户端。如果管理员配置文件或第一个域控制器不再可用，则用于解密加密文件的私钥将丢失，且文件不可以通过恢复代理进行恢复。

要找到加密数据恢复策略，请在组策略对象编辑器管理单元中打开默认的域策略，依次展开“计算机配置”、“Windows 设置”、“安全设置”和“公钥策略”。

要导出域恢复代理的私钥，请按照下列步骤操作：

1.	找到在域中提升的第一个域控制器。
2.	使用内置管理员帐户登录到域控制器。
3.	单击开始，单击运行，键入 mmc，然后单击确定。
4.	在“文件”菜单上，单击“添加/删除管理单元”，然后单击“添加”。
5.	在“可用的独立管理单元”下，单击“证书”，然后单击“添加”。
6.	单击“我的用户帐户”，然后单击“完成”。
7.	单击“关闭”，然后单击“确定”。
8.	双击“证书 – 当前用户”，双击“个人”，然后双击“证书”。
9.	在“预期目的”列中找到显示“文件恢复”（无引号）一词的证书。
10.	右键单击在步骤 9 中找到的证书，指向“所有任务”，然后单击“导出”。“证书导出向导”将启动。
11.	单击“下一步”。
12.	单击“是，导出私钥”，然后单击“下一步”。
13.	单击“个人信息交换 - PKCS #12 (.PFX)”。 注意：我们极力建议您单击以选中“启用较强保护(要求 IE 5.0、NT 4.0 SP4 或更高版本)”复选框，从而防止他人对您的私钥进行未经授权的访问。 如果您单击以选中“如果导出成功，删除密钥”复选框，则此私钥将从域控制器删除。作为最佳做法，我们建议您使用此选项。只在需要恢复代理的私钥来恢复文件的情况下，才安装恢复代理的私钥。在所有其他时间内，导出并脱机存储恢复代理的私钥以维护其安全性。
14.	单击“下一步”。
15.	指定密码，然后单击“下一步”。
16.	指定要导出证书和私钥的文件名和位置，然后单击“下一步”。 注意：我们建议您将文件备份到磁盘或可移动媒体设备，然后将备份存储在可以确认备份的物理安全的位置。
17.	验证在“正在完成证书导出向导”页面上显示的设置，然后单击“完成”。

回到顶端

有关如何确定加密文件的恢复代理的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 有关 EFS 的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 有关 Windows Server 中 EFS 的更多信息，请访问下面的 Microsoft 网站：有关如何在 Windows Server 2003 中使用 EFS 的更多信息，请访问以下 Microsoft 网站： 有关相关主题的更多信息，请访问下面的 Microsoft 网站：

回到顶端