System EFS umożliwia nam stworzenie tzw. Agenta odzyskiwania danych, który w momencie gdy utracimy certyfikat szyfrowania pliku i skojarzony z nim klucz prywatny umożliwi nam dostęp do zaszyfrowanych informacji.

Agentem odzyskiwania danych może być inny użytkownik, który posiada dostęp do zaszyfrowanych przez Ciebie plików lub komputer znajdujący się w obrębie tej samej domeny, który będzie mógł mieć dostęp do jednego lub wielu komputerów z środowiskiem operacyjnym Windows XP, na których znajdować się będą zaszyfrowane informacje. 

Tworzenie certyfikatu odzyskiwania danych

Cały etap tworzenia agenta odzyskiwania zaszyfrowanych danych rozpoczniemy od stworzenia specjalnego certyfikatu, który następnie desygnujemy użytkownikowi, który będzie mógł w razie jakiegokolwiek zagrożenia utraty zabezpieczonych plików po prostu nam je odzyskać - czyli będzie spełniał role agenta odzyskiwania danych. Proces ten jest bardzo prosty i wygląda następująco:

Logujemy się na komputerze, na którym znajdują się zabezpieczone wcześniej informacje jako Administrator, klikamy Start, Uruchom... i w polu tekstowym okna, które się wyświetli wpisujemy polecenie cmd, które uruchomi nam wiersz poleceń. Następnie wpisujemy cipher /r:nazwa_pliku i podajemy hasło, które będzie chroniło utworzone pliki. W tym momencie stworzone zostają dwa pliki o rozszerzeniach;*.pfx i *.cer (gdzie * to zadeklarowana przez nas wcześniej nazwa_pliku). Z racji tego, iż osoby które uzyskają dostęp do stworzonych przed chwilą dokumentów jednocześnie nabywają prawa agenta odzyskiwania danych, radzimy zachować je w bezpiecznym miejscu, najlepiej na dyskietce a ich odpowiedniki usunąć z dysku twardego.

Kolejnym krokiem prowadzącym do stworzenia wspomnianego wcześniej agenta będzie desygnacja agenta odzyskiwania danych. Jak już wspomnieliśmy agentem tym może zostać każdy użytkownik - zarówno ten, który korzysta z tego samego komputera jak i ten, który jest użytkownikiem tej samej domeny. Odradzamy jednak użycia konta, z którego zostały zaszyfrowane dane jako agenta, ponieważ takie ustawienie do niczego nie prowadzi. Mianowicie w takiej sytuacji w momencie gdy profil ten zostanie uszkodzony lub usunięty, tym samym tracimy wszystkie klucze pozwalające na deszyfrację zabezpieczonych danych. Proces desygnacji prezentuje się następująco: logujemy się na konto użytkownika, który ma zostać agentem odzyskiwania danych,  klikamy Start, Uruchom... i wpisujemy polecenie certmgr.msc, które uruchomi nam konsole odpowiedzialną za zarządzanie certyfikatami.

Klikamy Certyfikaty - Bieżącego użytkownika, a następnie Osobisty i wybieramy polecenie Akcja, Wszystkie zadania i Importuj. W tym momencie ukarze się naszym oczom Kreator importu certyfikatu, który poprowadzi nas poprzez cały etap importowania certyfikatu z pliku, który stworzyliśmy kilka minut temu.

W pierwszym oknie kreatora nasze działanie ogranicza się do kliknięcia przycisku Dalej. W kolejnym natomiast wskazujemy ścieżkę, gdzie znajduje się jeden z wcześniej stworzonych plików o rozszerzeniu *.pfx. Aby tego dokonać klikamy Przeglądaj... i w polu Pliki typu: wybieramy opcję Wymiana informacji osobistych (*.pfx; *.p12). Następnie zostajemy poproszeni o podanie hasła, które wpisaliśmy podczas procesu tworzenia wspomnianych już plików. Zaznaczamy opcję Oznacz ten klucz jako eksportowalny oraz klikamy przycisk Dalej, kończąc pracę na tym etapie importu certyfikatu.