加密

单位不应从根证书颁发机构 (CA) 直接为用户或计算机颁发证书，而应配置至少一个包括根-中介-颁发者的三级 CA 层次结构，以提供灵活性并隔离根证书颁发机构以防蓄意破坏的个人泄露其私钥。

证书颁发机构 (CA) 数据库，CA 证书和 CA 密钥的备份对于防止关键性数据的丢失十分必要。应该定期（每日、每周、每月）备份 CA，而这一周期取决于相同时间间隔颁发的证书数量。证书颁发得越多，则 CA 的备份越频繁。

在加密文件夹时，系统将询问是否要同时加密文件夹内的所有文件和子文件夹。如果选择这么做，那么文件夹中当前的和将来要添加的所有文件或子文件夹都将被加密。如果选择仅加密文件夹，则文件夹中当前所有文件和子文件夹将不加密。然而，任何将来被加入文件夹的文件和子文件夹在加入时均被加密。

创建临时工作文件的程序会损害文件加密的安全性。如果使用这样的程序工作，请在文件夹级别加密，而不要加密单独的文件。

在对文件夹解密时，系统将询问是否要同时将文件夹内的所有文件和子文件夹解密。如果选择仅解密文件夹，则在解密文件夹中的加密文件和文件夹仍保持加密。但是，在已解密文件夹内创立的新文件和文件夹将不会被自动加密。

如果将加密文件或文件夹复制到非 NTFS 文件系统卷上，该加密文件或文件夹将被解密。

在将加密文件和文件夹复制到不同的计算机上时，必须确保能够在这些计算机上使用加密证书和私钥。否则，您将不能打开或者解密复制的文件或文件夹。

如果没有通过漫游用户配置文件访问第二台计算机，您可以使用第一台计算机将加密证书和私钥以 .pfx 文件格式导出到软盘上。为此，在 Microsoft 管理控制台 (MMC) 中使用“证书”中的“导出”命令。然后，在第二台计算机（在此还原加密的文件或文件夹）上，从 MMC 的“证书”中使用“导入”命令从软盘将 .pfx 文件导入到“个人”存储区。

如果使用 128 位加密算法加密计算机上的文件和文件夹，必须将文件和文件夹还原到也使用 128 位加密算法的计算机上，否则，将无法访问加密文件。如果在使用 128 位加密算法的系统上加密的文件和文件夹恢复到运行标准（56 位加密）加密的系统上，则这些文件和文件夹将不能被访问。