Лучше не использовать встроенное в винду шифрование. Лучше трайкрипт.
Поясню. Случай из практики. Посыпался диск - повредилась область с ключем - конец.
Трайкрипт же - отдельная прога. Перетаскивай контейнер и работай. Не панацея - были случаи повреждения закрытой части ключа на шифрованном разделе диска - при умирании харда.
Плюс - у нее есть какие-то инструменты для работы со случами повреждений контейнеров и разделов.

А откуда такой идиот взялся? Внутренний чтоль?
А аудитора из PWC или других контор верхнего уровня фиг бы послали - бо отобрали бы у вас лицензию, или что тама у вас было - на том бы и закончилось. Аудиторов надо любить

Аудитор был внешний, не помню уже откуда, но не из маленькой конторы точно.
Где отобрали бы, в Мск?

Ключ можно заблаговременно экспортировать.

Обычно этого не делают - тем более когда у админа сотня и больше компов

Ну. Аудиторы не просто развлекаются - они делают аудит для подтверждения например банковской лицензии (и ай-ти аудит это часть финансового аудита).
И все аудиты делаются на основании утвержденного компанией плана. И да, взлом сети (пенетрейшн тестинг) может быть частью сего аудита - но обычно он тесно координируется с безопасниками компании.
Но я верю сразу и насовсем что всякие новички в безопасности первым делом пытаются что-нибудь поломать - студенческий так сказать подход. Особенно в России где специалистов в сем деле не особо.

Зы - хотя, когда Ернст енд Янг нашел что-то не то (в москве), ему пригрозили отобрать лицензию на право работы в россии и те заткнулись как миленькие.

Надо бэкап ключей делать. Обычно я свои ключи криптую симетричno и они валяются на флашке или на облаке.

Как раз обычно это делают

Не, там не банк был вовсе, но немелкая международная компания. Но не суть.

Ну а так в России все проще: "прав тот, у кого больше прав".

Ну я и говорю - заткнуть международную аудиторскую контору непросто - но в россии - легко. Вспоминая историю Магнитского (тоже аудитором был).

Таки да.
Главное, создать агента восстановления (и насколько помню выполнить экспорт ключа) до шифрования нужных файлов.

Ибо, потом (после шифрования) не сработает. (создание агента восстановления и экпорт ключа им). То есть, этот ключ работать не будет.
PS. Мне щя лень детали искать, но там есть заморочка с временем (вернее, с очередностью) создания агента и шифрования cамой даты.

В догонку.
Можно вообще ключ удалить, тогда даже владелец (в системе NTFS) не сможет прочитать эти файлы.
Прикольная шняга, надо сказать. Особенно когда используется перемещаемый профиль пользователя в домене.