若未备份EFS证书、BitLocker恢复密钥或组策略配置,重装系统或设备丢失将导致加密数据永久不可访问;需分别导出EFS证书(.PFX)、BitLocker恢复密钥(文件/账户/纸质)、组策略备份(GPO.BAK)及DRA证书。
如果您在 Windows 11 中已启用 EFS 或 BitLocker 加密,但未备份相关配置(如 EFS 证书、BitLocker 恢复密钥或加密策略设置),一旦系统重装、用户配置损坏或设备丢失,将导致加密数据永久不可访问。以下是针对不同加密机制的独立备份操作:
一、备份EFS加密证书与私钥
EFS 使用基于用户账户的公钥加密,其解密能力完全依赖于当前用户的证书与关联私钥;若未备份,重装系统后即使拥有相同用户名也无法解密原文件。
1、按下 Win + R 打开“运行”对话框,输入 certmgr.msc 并回车,启动证书管理器。
2、在左侧树形结构中,依次展开 个人 → 证书。
3、在右侧列表中,查找“颁发给”为当前用户名、“增强型密钥用法”包含 加密文件系统 的证书。
4、右键该证书,选择 所有任务 → 导出,启动证书导出向导。
5、在向导中选择 是,导出私钥,点击“下一步”。
6、选择导出格式为 个人信息交换 - PKCS #12 (.PFX),勾选 包括所有证书到证书路径 和 启用强私钥保护。
7、设置一个 强密码(必须牢记),点击“下一步”。
8、指定保存位置为 U盘或外部硬盘等离线介质,命名文件(如 EFS_Backup_YourName.pfx),点击“下一步”完成导出。
二、备份BitLocker恢复密钥
BitLocker 加密驱动器后,恢复密钥是唯一可在忘记密码、TPM 故障或系统迁移时解密数据的凭证;该密钥与加密过程强绑定,必须在启用 BitLocker 时或之后立即备份。
1、打开“文件资源管理器”,右键已启用 BitLocker 的驱动器(如 C: 或 D:),选择 管理 BitLocker。
2、在 BitLocker 驱动器加密窗口中,找到对应驱动器下方的 备份恢复密钥 链接并点击。
3、选择 将恢复密钥保存到文件,点击“浏览”并指定保存路径为 U盘根目录或网络共享中的非系统位置。
4、为文件命名(如 BitLocker_RecoveryKey_C.txt),点击“保存”。
5、另存一份密钥至 Microsoft 账户在线备份:在备份选项中选择 将恢复密钥保存到 Microsoft 账户,登录账户后确认同步完成。
6、手动记录密钥前 8 位数字组(共 8 组,每组 6 位)并抄写在纸质介质上,存放于物理保险位置。
三、导出组策略中加密相关配置
若通过本地组策略(gpedit.msc)配置了 EFS 默认证书模板、BitLocker 启动策略或加密算法偏好,这些设置不会随用户数据自动迁移;需导出策略快照供后续还原。
1、按 Win + R 输入 gpedit.msc,打开本地组策略编辑器。
2、导航至 计算机配置 → 管理模板 → Windows 组件 → BitLocker 驱动器加密 及 系统 → 加密文件系统 节点。
3、对每个已启用或已配置的策略项,右键选择 导出策略。
4、在弹出窗口中,选择 导出为 GPO 备份 格式,指定路径为外部存储设备,命名文件夹为 Win11_Encryption_Policy_Backup。
5、确认导出完成,检查目标文件夹内是否包含 GPO.BAK 文件及 Registry.pol 策略数据文件。
四、保存EFS数据恢复代理(DRA)证书
当组织环境中部署了域级 EFS 数据恢复代理时,管理员证书可强制解密任意用户 EFS 文件;若该证书未备份,将丧失合规审计与应急响应能力。
1、以域管理员身份登录,运行 certmgr.msc。
2、在左侧展开 企业 → 证书,再展开 加密文件系统 子节点。
3、右键目标 DRA 证书,选择 所有任务 → 导出。
4、向导中选择 是,导出私钥,导出格式设为 .PFX,并启用强私钥保护。
5、设置仅限授权管理员知晓的密码,保存至 硬件安全模块(HSM)或离线加密U盘,严禁存于系统盘或云同步文件夹。
