备份方法：使用证书管理工具，将证书导出，见图：

   

    注意：一定要记得导出私钥，否则证书备份是无意义的。见图：

   

    带有私钥的证书称为数字ID，需要有密码保护方能访问。

    除了备份用户自己的证书外，还需要备份系统在安装系统时建立的DRA证书，这是你丢失用户证书后的最后依赖。备份方法同上。

    2、 加密文件的共享

    加密的文件默认情况下只能由加密者自己访问，这里需要注意的是，加密的文件的透明访问者是加密的用户，而不是加密文件夹的所有者，换句话说，我在你设置为加密的文件夹里建立了文件，则该文件只有我可以访问，你也不能访问。（加密的文件夹不会拒绝非加密用户的访问），同时需要注意的是，加密的文件虽然可以限制非授权用户的访问，但不能限制有访问权的用户删除或改名。所以加密一般要和NTFS权限协同使用。如果由于特殊的原因，你需要把加密的文件和朋友共享，怎么办呢？

    首先，你的朋友也要有EFS证书（EFS证书是在第一次使用加密文件时系统建立的）。然后你的朋友需要将该证书备份给你（此时备份的证书可以是不带私钥的），你得到证书后，将其安装在系统中，并使用加密文件里的详细信息增加朋友EFS证书。见图：

   

    加密文件系统的禁用

    由于加密文件系统依赖于用户证书，而用户往往会在一些网络共享文件夹上建立或设置加密文件，一旦用户证书丢失，就将带来不可弥补的损失，因此有的企业往往会要求关闭EFS系统，这里介绍几个关闭EFS系统的办法：

    1） 单个文件夹禁止加密

    对单个文件夹禁止加密的办法很简单，将以下内容复制到记事本里，并保存desktop.ini文件，放在要禁止加密的文件夹下。

[color=red]
[Encryption]
Disable=1
[/color]

    加密完成后，你会看到该目录下的子目录被加密了，但该目录本身没有。

   

    2）在一个DC或OU里禁止加密，你需要在注册表中建立如下的键值：

HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\EFS\EfsConfiguration
Disable: 0x00000001

    3、 EFS的安全性有多高？

    EFS加密文件系统工作于证书机制（PKI）下，安全性很高，EFS系统由于使用了用户的SID和其密码加密主密钥，因此EFS的加密强度很大程度上取决于加密用户的密码强度。建议使用较强的密码强度，这样会提高EFS的安全性。另外，EFS的证书存储在用户配置文件中。在重新安装系统或提升DC之前，务必将证书导出，并尽量不要破坏原来的用户配置文件，实践证明，如果丢失了用户证书副本又破坏了用户配置文件，恢复EFS文件几乎是不可能的。

    4、 EFS文件证书丢失的处理

    一旦EFS的用户证书丢失，你可以将原先备份的用户证书导入到个人证书区即可解密，如果没有证书备份，可以导入系统的DRA证书，系统的DRA证书应在系统安装后备份并从运行系统中删除，以防万一。

    注意：DRA证书没有关联性，可导入任何用户的个人证书区工作。

    如果暂时无法找到合适的DRA证书也无法解密文件，那么EFS加密文件是禁止移动或复制的。你可以使用系统自带的备份工具将EFS文件备份出来保存以便今后解密。

    注意：尽管EFS加密文件不能移动或复制，但可以删除或改名。

    5、 注意点

    a) 不要加密系统文件夹

    b) 不要加密临时目录

    c) 应该始终加密个人文件夹

    d) 部署EFS前必须定义合适的DRA

    e) 必须备份用户证书和DRA证书

    f) 使用EFS后应尽量避免重新安装系统，重新安装前应先将文件解密。

    g) 加密文件系统不对传输过程加密