Kose
Речь идет об обновлении версии ОС, либо ее переустановки. Тогда инсталятор перезапишет загрузчик Агента аутентификации на свой штатный (это если у вас включен FDE как сказал Nikolay arinchev ).
Для информации:
Шифрование выполняется самим KES. И если после обновлении компонентов ОС, KES не сможет загрузится, либо перезапишется загрузочная запись с агентом аутентификации, то прочитать данные с зашифрованного диска будет невозможно. Для такого случая предусмотрена процедура восстановления- зашифрованный диск подключается к другому компьютеру с KES (с откл шифрованием), либо без KES но с автономной утилитой восстановления FDERT.
Обьекты шифрования устанавливаются политикой - это может быть весь диск (FDE), файлы/папки, флешки. Ключ шифрования хранится на KSC.