使用EFS加密windows檔案

曾在碰到有朋友提出如下幾個問題：

一是，我加密的檔案打不開，能否将NTFS格式分區轉換成FAT32分區能打開嗎？

二是，加密資料後重裝了作業系統，現在加密資料不能打開，如果我使用跟前一個系統同樣的使用者名和密碼能否打開？

三是，用GHOST恢複了一下系統，使用者賬戶和相應的SID都沒有變，能否打開加密的資料檔案？

以上種種是我們在XP/2000/2003中加密檔案後，因為這樣或那樣的問題，經常出現打不開加密的檔案，而導緻企業或個人受到損失。現在我向大家說說，說的不好，大家不要見怪，希望能給大家有所幫助。

何謂EFS？

全稱：Encrypting File System即加密檔案系統，它是基于公鑰政策的，它具有降低使用成本，透明性，安全性三大好處。

EFS加密是基于公鑰政策的。在使用EFS加密一個檔案或檔案夾時，系統首先會生成一個由僞随機數組成的FEK(File Encryption Key，檔案加密鑰匙)，然後将利用FEK和資料擴充标準X算法建立加密後的檔案，并把它存儲到硬碟上，同時删除未加密的原始檔案。随後系統利用你的公鑰加密FEK，并把加密後的FEK存儲在同一個加密檔案中。而在通路被加密的檔案時，系統首先利用目前使用者的私鑰解密FEK，然後利用FEK解密出檔案。在首次使用EFS時，如果使用者還沒有公鑰/私鑰對(統稱為密鑰)，則會首先生成密鑰，然後加密資料。如果你登入到了域環境中，密鑰的生成依賴于域控制器，否則依賴于本地機器。

EFS加密系統對使用者是透明的。這也就是說，如果你加密了一些資料，那麼你對這些資料的通路将是完全允許的，并不會受到任何限制。而其他非授權使用者試圖通路加密過的資料時，就會收到“通路拒絕”的錯誤提示。EFS加密的使用者驗證過程是在登入Windows時進行的，隻要登入到Windows，就可以打開任何一個被授權的加密檔案。

如何使用EFS加密呢？

在這裡，我向大家介紹幾種方法和使用EFS要注意的事項及具體要求。

1、作業系統要求：必須是2000/XP/2003和微軟即将發行的新版系統，像95/98/me/NT都是不行的。

2、NTFS版本要求：必須是5。0或以上版本，即用2000/XP/2003和微軟即将發行的新版系統格式化的NTFS檔案系統可以，而NT系統格式化的NTFS格式分區是不行的，因為雖然它是NTFS格式分區，可是NTFS版本是4。0的。

3.隻有NTFS格式的分區才可以使用EFS加密技術

4.第一次使用EFS加密後應及時備份密鑰

5.如果将未加密的檔案複制到具有加密屬性的檔案夾中，這些檔案将會被自動加密。若是将加密資料移出來則有兩種情況：若移動到NTFS檔案系統上，資料依舊保持加密屬性；若移動到FAT分區上，這些資料将會被自動解密。

6.被EFS加密過的資料不能在Windows中直接共享

7.NTFSF分區中加密和壓縮功能不能同時使

8.Windows系統檔案和檔案夾無法加密

現向大家介紹在2000/XP/2003中如何使用EFS加密：

右擊要加密的檔案->屬性->進階->加密内容以保護資料->确定。此時此資料檔案即已加密了。

為了防止損失和加密檔案打不開，那麼我們該怎麼辦？假如加密檔案後，系統崩潰了，重裝後，加密檔案是打不開的；更換使用者名或密碼後，加密檔案是打不開的；用GHOST恢複一下系統，加密檔案也是打不開的。

這就要我們注意兩個關鍵：

一是，及時備份密鑰。

在2000中如下操作：

開始->運作->MMC-》添加删除管理單元->添加->證書->我的帳戶->确定。

在證書添加入組政策後，選擇證書，個人，在右欄中右擊證書，選所有任務，導出，導了私鑰，下一步，預設，下一步，輸入密碼，下一步，将證書備份到某目錄或優盤儲存即可。

這樣一旦重裝系統或更改了使用者名或密碼等事宜打不開加密檔案時，隻有右擊導出的證書，安裝證書，導入即可。這樣加密的檔案又可以打開了。

二是設定有效的EFS加密修復代理人

在2000中操作如下：

在2000中，無論什麼使用者加密的檔案，隻要系統沒有重裝或作其它相應的更改，那麼都可以用Administrator 使用者登陸加以打開。但是除了adminsitrator以外，不同使用者加密的檔案，是不能互相打開的如：在2000中，A使用者加密了A檔案，B使用者加密了B檔案，那麼A使用者将打不開B檔案，相反，B使用者也将打不開A檔案，如果要想打開A或B檔案，除非得用administrator登陸才可以。還有，就是如果A檔案給予了使用者B權限，那就另當别論了。方法是：在2000中，以A使用者登陸後，右擊A檔案，屬性，進階，點選詳細資訊，添加，選擇B使用者證書，确定，确定即可。這時，一旦用B使用者登陸後，B使用者也将可以打開A使用者加密的A檔案，反之同理。

現在說說如何設定修復代理人：

要想利用其它使用者作為修復代理人。假如要想用A使用者作為修復代理人，則必須先用administrator登陸，導出Administrator使用者的證書，再登出以A使用者登陸，将adminsitrator 使用者證書到入到A使用者登陸下的組政策中，一旦導入成功，A使用者即成為EFS加密修復代理人。這時，A使用者将能打開任何使用者加密的檔案。

     本文轉自Tar0 51CTO部落格，原文連結：http://blog.51cto.com/tar0cissp/1318393，如需轉載請自行聯系原作者