После того как вы создали сертификат агента восстановления, можете назначить вашего агента восстановления. Вы можете использовать любую учетную запись, к которой у вас есть доступ, отличную от той учетной записи, под которой вы создавали защищенные файлы. В большинстве случаев учетная запись Administrator (Администратор) является лучшим решением.
Чтобы назначить агента восстановления, войдите под учетной записью, которую вы будете использовать в качестве агента восстановления данных. Затем используйте консоль Certificates (Сертификаты) или консоль ММС с оснасткой Certificates (Сертификаты) для импорта PFX-файла сертификата восстановления в ветвь Personal (Личные) объекта Certificates - Current User (Сертификаты - текущий пользователь). На странице Password (Пароль) мастера Certification Import Wizard (Мастер импорта сертификатов) поставьте флажок Mark This Key As Exportable (Пометить этот ключ как экспортируемый). На странице Certificate Store (Хранилище сертификата) выберите вариант «Automatically select the certificate store based on the type of certificate* (Автоматически выбирать хранилище на основе типа сертификата).
Откройте консоль Local Security Settings (Локальные параметры безопасности) (например, выберите Start > Run (Пуск > Выполнить) — введите secpol. msc, - щелкните по кнопке ОК и выполните следующие действия.
1. В узле Security Settings (Параметры безопасности) раскройте элемент Public Key Policies (Политики открытого ключа).
2. Щелкните правой кнопкой по элементу Encrypting File System (Шифрованная файловая система) и выберите из контекстного меню вариант Add Data Recovery Agent (Добавить агент восстановления данных), чтобы запустить мастер Add Recovery Agent Wizard (Мастер добавления агента восстановления).
3. На странице Select Recovery Agents (Выбор агентов восстановления) щелкните по кнопке Browse Folders (Обзор папок).
4. Используйте открывшееся диалоговое окно Open (Открыть), чтобы выбрать и открыть CER-файл сертификата. Мастер добавит содержимое сертификата в список Recovery Agents (Агенты восстановления), отображая пользователя как USER_UNKNOWN.
5. Закончите работу с мастером.
Теперь вы назначили текущего пользователя агентом восстановления. С этого момента любые зашифрованные файлы будут шифроваться как с помощью открытого ключа пользователя, так и с помощью открытого ключа агента восстановления, чтобы их мог восстановить либо пользователь, либо агент восстановления. Лучше добавить еще один уровень защиты, удалив ключ агента восстановления из учетной записи, которую вы только что сделали агентом восстановления, чтобы никто не смог выполнить вход под этой учетной записью и легко расшифровать зашифрованные файлы.
Чтобы удалить ключ агента восстановления, выполните вход под учетной записью агента восстановления (если вы еще не выполнили вход под ней) и используйте консоль Certificates (Сертификаты) для экспорта сертификата. На экране Export Private Key (Экспорт закрытого ключа) мастера выберите вариант Yes, Export The Private Key (Да, экспортировать закрытый ключ). На экране Export File Format (Формат экспортируемого файла) поставьте флажки Enable Strong Protection (Включить сильное шифрование) и Delete the Private Key If The Export Is Successful (Удалить закрытый ключ, если экспорт прошел успешно).