隨著(zhù)穩定性和可靠性的逐步提高，Windows 2000/XP已經(jīng)被越來(lái)越多的人使用，很多人還用Windows 2000/XP自帶的EFS加密功能把自己的一些重要數據加密保存。雖然EFS易用性不錯，不過(guò)發(fā)生問(wèn)題后就難解決了，例如不做任何準備就重裝了操作系統，那很可能導致以前的加密數據無(wú)法解密。最近一段時(shí)間我們已經(jīng)可以在越來(lái)越多的論壇和新聞組中看到網(wǎng)友的求救，都是類(lèi)似這樣的問(wèn)題而導致重要數據無(wú)法打開(kāi)，損失慘重。為了避免更多人受到損失，這里我把使用EFS加密的注事項寫(xiě)出來(lái)，希望對大家有所幫助。

注意，下文中的Windows XP皆指Professional版，Windows XP Home版并不支持EFS加密。

什么是EFS加密

EFS（Encrypting File System，加密文件系統）是Windows 2000/XP所特有的一個(gè)實(shí)用功能，對于NTFS卷上的文件和數據，都可以直接被操作系統加密保存，在很大程度上提高了數據的安全性。

EFS加密是基于公鑰策略的。在使用EFS加密一個(gè)文件或文件夾時(shí)，系統首先會(huì )生成一個(gè)由偽隨機數組成的FEK (File Encryption Key，文件加密鑰匙)，然后將利用FEK和數據擴展標準X算法創(chuàng )建加密后的文件，并把它存儲到硬盤(pán)上，同時(shí)刪除未加密的原始文件。隨后系統利用你的公鑰加密FEK，并把加密后的FEK存儲在同一個(gè)加密文件中。而在訪(fǎng)問(wèn)被加密的文件時(shí)，系統首先利用當前用戶(hù)的私鑰解密FEK，然后利用FEK解密出文件。在首次使用EFS時(shí)，如果用戶(hù)還沒(méi)有公鑰/私鑰對（統稱(chēng)為密鑰），則會(huì )首先生成密鑰，然后加密數據。如果你登錄到了域環(huán)境中，密鑰的生成依賴(lài)于域控制器，否則它就依賴(lài)于本地機器。

EFS加密有什么好處

首先，EFS加密機制和操作系統緊密結合，因此我們不必為了加密數據安裝額外的軟件，這節約了我們的使用成本。

其次，EFS加密系統對用戶(hù)是透明的。這也就是說(shuō)，如果你加密了一些數據，那么你對這些數據的訪(fǎng)問(wèn)將是完全允許的，并不會(huì )受到任何限制。而其他非授權用戶(hù)試圖訪(fǎng)問(wèn)加密過(guò)的數據時(shí)，就會(huì )收到“訪(fǎng)問(wèn)拒絕”的錯誤提示。EFS加密的用戶(hù)驗證過(guò)程是在登錄Windows時(shí)進(jìn)行的，只要登錄到Windows，就可以打開(kāi)任何一個(gè)被授權的加密文件。


如何使用EFS加密

要使用EFS加密，首先要保證你的操作系統符合要求。目前支持EFS加密的Windows操作系統主要有Windows 2000全部版本和Windows XP Professional。至于還未正式發(fā)行的Windows Server 2003和傳聞中的開(kāi)發(fā)代號為L(cháng)onghorn的新一帶操作系統，目前看來(lái)也支持這種加密機制。其次，EFS加密只對NTFS5分區上的數據有效（注意，這里我們提到了NTFS5分區，這是指由Windows 2000/XP格式化過(guò)的NTFS分區；而由Windows NT4格式化的NTFS分區是NTFS4格式的，雖然同樣是NTFS文件系統，但它不支持EFS加密），你無(wú)法加密保存在FAT和FAT32分區上的數據。

對于想加密的文件或文件夾，只需要用鼠標右鍵點(diǎn)擊，然后選擇“屬性”，在常規選項卡下點(diǎn)擊“高級”按鈕，之后在彈出的窗口中選中“加密內容以保護數據”，然后點(diǎn)擊確定，等待片刻數據就加密好了。如果你加密的是一個(gè)文件夾，系統還會(huì )詢(xún)問(wèn)你，是把這個(gè)加密屬性應用到文件夾上還是文件夾以及內部的所有子文件夾。按照你的實(shí)際情況來(lái)操作即可。解密數據也是很簡(jiǎn)單的，同樣是按照上面的方法，把“加密內容以保護數據”前的鉤消除，然后確定。

如果你不喜歡圖形界面的操作，還可以在命令行模式下用“cipher”命令完成對數據的加密和解密操作，至于“cipher”命令更詳細的使用方法則可以通過(guò)在命令符后輸入“cipher/?”并回車(chē)獲得。

注意事項：如果把未加密的文件復制到具有加密屬性的文件夾中，這些文件將會(huì )被自動(dòng)加密。若是將加密數據移出來(lái)，如果移動(dòng)到NTFS分區上，數據依舊保持加密屬性；如果移動(dòng)到FAT分區上，這些數據將會(huì )被自動(dòng)解密。被EFS加密過(guò)的數據不能在Windows中直接共享。如果通過(guò)網(wǎng)絡(luò )傳輸經(jīng)EFS加密過(guò)的數據，這些數據在網(wǎng)絡(luò )上將會(huì )以明文的形式傳輸。NTFS分區上保存的數據還可以被壓縮，不過(guò)一個(gè)文件不能同時(shí)被壓縮和加密。最后一點(diǎn)，Windows的系統文件和系統文件夾無(wú)法被加密。

這里還有個(gè)竅門(mén)，用傳統的方法加密文件，必須打開(kāi)層層菜單并依次確認，非常麻煩，不過(guò)只要修改一下注冊表，就可以給鼠標的右鍵菜單中增添“加密”和“解密”的選項。

在運行中輸入“regedit”并回車(chē)，打開(kāi)注冊表編輯器，定位到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion /Explorer/Advanced ，在“編輯”菜單上點(diǎn)擊“新建－Dword值”，輸入“EncryptionContextMenu”作為鍵名，并設置鍵值為“1”?，F在退出注冊表編輯器，打開(kāi)資源管理器，任意選中一個(gè)NTFS分區上的文件或者文件夾，然后點(diǎn)擊鼠標右鍵，就可以在右鍵菜單中找到相應的選項，直接點(diǎn)擊就可以完成加密解密的操作。

如果你想設置禁止加密某個(gè)文件夾，可以在這個(gè)文件夾中創(chuàng )建一個(gè)名為“Desktop.ini”的文件，然后用記事本打開(kāi)，并添加如下內容：

[Encryption]

Disable=1

之后保存并關(guān)閉這個(gè)文件。這樣，以后要加密這個(gè)文件夾的時(shí)候就會(huì )收到錯誤信息，除非這個(gè)文件被刪除。

而如果你想在本機上徹底禁用EFS加密，則可以通過(guò)修改注冊表實(shí)現。在運行中輸入“Regedit”并回車(chē)，打開(kāi)注冊表編輯器，定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS，在“編輯”菜單上點(diǎn)擊“新建－Dword值”，輸入“EfsConfiguration”作為鍵名，并設置鍵值為“1”，這樣本機的EFS加密就被禁用了。而以后如果又想使用時(shí)只需把鍵值改為“0”。

如何保證EFS加密的安全和可靠

前面我們已經(jīng)了解到，在EFS加密體系中，數據是靠FEK加密的，而FEK又會(huì )跟用戶(hù)的公鑰一起加密保存；解密的時(shí)候順序剛好相反，首先用私鑰解密出FEK，然后用FEK解密數據?？梢?jiàn)，用戶(hù)的密鑰在EFS加密中起了很大作用。

密鑰又是怎么來(lái)的呢？在Windows 2000/XP中，每一個(gè)用戶(hù)都有一個(gè)SID（Security Identifier，安全標示符）以區分各自的身份，每個(gè)人的SID都是不相同的，并且有唯一性?？梢赃@樣理解：把SID想象成人的指紋，雖然世界上已經(jīng)有幾十億人（同名同姓的也有很多），可是理論上還沒(méi)有哪兩個(gè)人的指紋是完全相同的。因此，這具有唯一性的SID就保證了EFS加密的絕對安全和可靠。因為理論上沒(méi)有SID相同的用戶(hù)，因而用戶(hù)的密鑰也就絕不會(huì )相同。在第一次加密數據的時(shí)候，操作系統就會(huì )根據加密者的SID生成該用戶(hù)的密鑰，并把公鑰和私鑰分開(kāi)保存起來(lái)，供用戶(hù)加密和解密數據。

這一切，都保證了EFS機制的可靠。

其次，EFS機制在設計的時(shí)候就考慮到了多種突發(fā)情況的產(chǎn)生，因此在EFS加密系統中，還有恢復代理（Recovery Agent）這一概念。

舉例來(lái)說(shuō)，公司財務(wù)部的一個(gè)職工加密了財務(wù)數據的報表，某天這位職工辭職了，安全起見(jiàn)你直接刪除了這位職工的賬戶(hù)。直到有一天需要用到這位職工創(chuàng )建的財務(wù)報表時(shí)才發(fā)現這些報表是被加密的，而用戶(hù)賬戶(hù)已經(jīng)刪除，這些文件無(wú)法打開(kāi)了。不過(guò)恢復代理的存在就解決了這些問(wèn)題。因為被EFS加密過(guò)的文件，除了加密者本人之外還有恢復代理可以打開(kāi)。

對于Windows 2000來(lái)說(shuō)，在單機和工作組環(huán)境下，默認的恢復代理是 Administrator ；Windows XP在單機和工作組環(huán)境下沒(méi)有默認的恢復代理。而在域環(huán)境中就完全不同了，所有加入域的Windows 2000/XP計算機，默認的恢復代理全部是域管理員。

這一切，都保證了被加密數據的安全。

如何避免不慎使用EFS加密帶來(lái)的損失

如果你也和我一樣，由于對EFS加密不了解致使重要數據丟失，那么也別氣餒，就當買(mǎi)了個(gè)教訓。畢竟通過(guò)這事情你還是能學(xué)會(huì )很多東西的。那就是：備份密鑰！設置有效的恢復代理！

對于上面講到的情況1，備份密鑰可以避免這種悲劇的發(fā)生。在運行中輸入“certmgr.msc”然后回車(chē)，打開(kāi)證書(shū)管理器。密鑰的導出和導入工作都將在這里進(jìn)行。

在你加密過(guò)文件或文件夾后，打開(kāi)證書(shū)管理器，在“當前用戶(hù)”－“個(gè)人”－“證書(shū)”路徑下，應該可以看見(jiàn)一個(gè)以你的用戶(hù)名為名稱(chēng)的證書(shū)（如果你還沒(méi)有加密任何數據，這里是不會(huì )有證書(shū)的）。右鍵點(diǎn)擊這個(gè)證書(shū)，在“所有任務(wù)”中點(diǎn)擊“導出”。之后會(huì )彈出一個(gè)證書(shū)導出向導，在向導中有一步會(huì )詢(xún)問(wèn)你是否導出私鑰，在這里要選擇“導出私鑰”，其它選項按照默認設置，連續點(diǎn)擊繼續，最后輸入該用戶(hù)的密碼和想要保存的路徑并確認，導出工作就完成了。導出的證書(shū)將是一個(gè)pfx為后綴的文件。

重裝操作系統之后找到之前導出的pfx文件，鼠標右鍵點(diǎn)擊，并選擇“安裝PFX”，之后會(huì )出現一個(gè)導入向導，按照導入向導的提示完成操作（注意，如果你之前在導出證書(shū)時(shí)選擇了用密碼保護證書(shū)，那么在這里導入這個(gè)證書(shū)時(shí)就需要提供正確的密碼，否則將不能繼續），而之前加密的數據也就全部可以正確打開(kāi)。

對于情況2，我們對Windows XP和Windows 2000兩種情況分別加以說(shuō)明。

由于Windows XP沒(méi)有默認的恢復代理，因此我們加密數據之前最好能先指定一個(gè)默認的恢復代理（建議設置Administrator為恢復代理，雖然這個(gè)賬戶(hù)沒(méi)有顯示在歡迎屏幕上，不過(guò)確實(shí)是存在的）。這樣設置：

首先要獲得可以導入作為恢復代理的用戶(hù)密鑰，如果你想讓Administrator成為恢復代理，首先就要用Administrator賬戶(hù)登錄系統。在歡迎屏幕上連續按Ctrl＋Alt＋Del兩次，打開(kāi)登錄對話(huà)框，在用戶(hù)名處輸入Administrator，密碼框中輸入你安裝系統時(shí)設置的Administrator密碼，然后登錄。首先在硬盤(pán)上一個(gè)方便的地方建立一個(gè)臨時(shí)的文件，文件類(lèi)型不限。這里我們以C盤(pán)根目錄下的一個(gè)1.txt文本文件文件為例，建立好后在運行中輸入“CMD”然后回車(chē)，打開(kāi)命令提示行窗口，在命令提示符后輸入“cipher /r:c:\1.txt”，回車(chē)后系統還會(huì )詢(xún)問(wèn)你是否用密碼把證書(shū)保護起來(lái)，你可以按照你的情況來(lái)決定，如果不需要密碼保護就直接按回車(chē)。完成后我們能在C盤(pán)的根目錄下找到1.txt.cer和1.txt.pfx兩個(gè)文件（為了顯示的清楚我在文件夾選項中設置了顯示所有文件類(lèi)型的擴展名，這樣我們可以更清楚地了解到底生成了哪些文件）。

之后開(kāi)始設置恢復代理。對于1.txt.pfx這個(gè)文件，同樣需要用鼠標右鍵點(diǎn)擊，然后按照向導的提示安裝。而1.txt.cer則有些不同，在運行中輸入“gpedit.msc”并回車(chē)，打開(kāi)組策略編輯器。在“計算機配置－Windows設置－安全設置－公鑰策略－正在加密文件系統”菜單下，在右側窗口的空白處點(diǎn)擊鼠標右鍵，并選擇“添加數據恢復代理”，然后會(huì )出現“添加故障恢復代理向導”按照這個(gè)向導打開(kāi)1.txt.cer，如果一切無(wú)誤就可以看見(jiàn)圖五的界面，這說(shuō)明我們已經(jīng)把本機的Administrator設置為故障恢復代理。

如果你愿意，也可以設置其它用戶(hù)為恢復代理。需要注意的是，你導入證書(shū)所用的1.txt.pfx和1.txt.cer是用哪個(gè)賬戶(hù)登錄后生成的，那么導入證書(shū)后設置的恢復代理就是這位用戶(hù)。

在設置了有效的恢復代理后，用恢復代理登錄系統就可以直接解密文件。但如果你在設置恢復代理之前就加密過(guò)數據，那么這些數據恢復代理仍然是無(wú)法打開(kāi)的。

而對于Windows 2000就更加簡(jiǎn)單，Windows 2000有恢復代理，因此只要用恢復代理（默認的就是Administrator）的賬號登錄系統，就可以解密文件。



如何在本機上共享經(jīng)EFS加密過(guò)的數據

加密過(guò)的文件只有加密者本人和恢復代理可以打開(kāi)，如果你要和本機的其它用戶(hù)共享加密文件又該怎么辦？這在Windows 2000中是不行的，不過(guò)在Windows XP中可以做到。

選中一個(gè)希望共享的加密文件（注意，只能是文件，而不能是文件夾），在文件上用鼠標右鍵點(diǎn)擊，并選擇“屬性”，之后在屬性對話(huà)框的“常規”選項卡上點(diǎn)擊“高級”按鈕，然后再點(diǎn)擊“詳細信息”，之后你可以看見(jiàn)類(lèi)似圖六的窗口，在這里你可以決定誰(shuí)可以打開(kāi)這個(gè)加密文件以及察看文件的恢復代理是具體是誰(shuí)。

對EFS加密的幾個(gè)錯誤認識

很多人對EFS理解的不夠徹底，因此在使用過(guò)程中總會(huì )有一些疑問(wèn)。一般情況下，我們最常見(jiàn)的疑問(wèn)有以下幾種：



1， 為什么打開(kāi)加密過(guò)的文件時(shí)沒(méi)有需要我輸入密碼？
這正是EFS加密的一個(gè)特性，同時(shí)也是EFS加密和操作系統緊密結合的最佳證明。因為跟一般的加密軟件不同，EFS加密不是靠雙擊文件，然后彈出一個(gè)對話(huà)框，然后輸入正確的密碼來(lái)確認的用戶(hù)的；EFS加密的用戶(hù)確認工作在登錄到Windows時(shí)就已經(jīng)進(jìn)行了。一旦你用適當的賬戶(hù)登錄，那你就能打開(kāi)相應的任何加密文件，并不需要提供什么額外的密碼。

2， 我的加密文件已經(jīng)打不開(kāi)了，我能夠把NTFS分區轉換成FAT32分區來(lái)挽救我的文件嗎？
這當然是不可能的了。很多人嘗試過(guò)各種方法，例如把NTFS分區轉換成FAT32分區；用NTFS DOS之類(lèi)的軟件到DOS下去把文件復制到FAT32分區等，不過(guò)這些嘗試都以失敗告終。畢竟EFS是一種加密，而不是一般的什么權限之類(lèi)的東西，這些方法對付EFS加密都是無(wú)濟于事。而如果你的密鑰丟失或者沒(méi)有做好備份，那么一旦發(fā)生事故所有加密過(guò)的數據就都沒(méi)救了。

3， 我加密數據后重裝了操作系統，現在加密數據不能打開(kāi)了。如果我使用跟前一個(gè)系統相同的用戶(hù)名和密碼總應該就可以了吧？
這當然也是不行的，我們在前面已經(jīng)了解到，跟EFS加密系統密切相關(guān)的密鑰是根據每個(gè)用戶(hù)的SID得來(lái)的。盡管你在新的系統中使用了相同的用戶(hù)名和密碼，但是這個(gè)用戶(hù)的SID已經(jīng)變了。這個(gè)可以理解為兩個(gè)同名同姓的人，雖然他們的名字相同，不過(guò)指紋絕不可能相同，那么這種想法對于只認指紋不認人名的EFS加密系統當然是無(wú)效的。

4， 被EFS加密過(guò)的數據是不是就絕對安全了呢？
當然不是，安全永遠都是相對的。以被EFS加密過(guò)的文件為例，如果沒(méi)有合適的密鑰，雖然無(wú)法打開(kāi)加密文件，不過(guò)仍然可以刪除（有些小人確實(shí)會(huì )這樣想：你竟然敢加密了不讓我看！那好，我就刪除了它，咱們都別看）。所以對于重要文件，最佳的做法是NTFS權限和EFS加密并用。這樣，如果非法用戶(hù)沒(méi)有合適的權限，將不能訪(fǎng)問(wèn)受保護的文件和文件夾；而即使擁有權限（例如為了非法獲得重要數據而重新安裝操作系統，并以新的管理員身份給自己指派權限），沒(méi)有密鑰同樣還是打不開(kāi)加密數據。

5， 我只是用Ghost恢復了一下系統，用戶(hù)賬戶(hù)和相應的SID都沒(méi)有變，怎么以前的加密文件也打不開(kāi)了？
這也是正常的，因為EFS加密所用到的密鑰并不是在創(chuàng )建用戶(hù)的時(shí)候生成，而是在你第一次用EFS加密文件的時(shí)候。如果你用Ghost創(chuàng )建系統的鏡像前還沒(méi)有加密過(guò)任何文件，那你的系統中就沒(méi)有密鑰，而這樣的系統制作的鏡像當然也就不包括密鑰。一旦你加密了文件，并用Ghost恢復系統到創(chuàng )建鏡像的狀態(tài)，解密文件所用的密鑰就丟失了。因此這個(gè)問(wèn)題一定需要主意！

　

希望本文對你使用EFS加密有所幫助，希望你的數據能夠更加安全！