FS加密:EFS（Encrypting File System，加密文件系統(tǒng)）是Windows 2000/XP/VISTA/7所特有的一個(gè)實(shí)用功能，對(duì)于NTFS卷上的文件和數(shù)據(jù)，都可以直接**作系統(tǒng)加密保存，在很大程度上提高了數(shù)據(jù)的安全性。

但請(qǐng)注意這種加密是對(duì)用戶透明的。也是說(shuō)，系統(tǒng)用戶A用EFS加密了文件夾B，但加密后，是看不到什么效果的，任何人用賬戶A登錄系統(tǒng)，這個(gè)文件夾B，可以正常訪問(wèn)。

但憑什么說(shuō)它加密了，如果你用其他的賬戶登錄系統(tǒng)，你就無(wú)法訪問(wèn)這個(gè)文件夾。如果你沒(méi)有備份加密證書，你重裝系統(tǒng)后，這個(gè)文件夾里的文件你就無(wú)法打開了。

正常情況，EFS加密的文件夾或文件的名字是綠色的。

如果你重裝系統(tǒng)后，發(fā)現(xiàn)綠色名字的文件打不開，我只能說(shuō)，節(jié)哀。

所以建議廣大網(wǎng)友使用文件夾加密超級(jí)大師或超級(jí)加密 3000這樣的專業(yè)的文件加密軟件和文件夾加密軟件。

EFS加密注意事項(xiàng)

如果把未加密的文件復(fù)制到具有加密屬性的文件夾中，這些文件將會(huì)被自動(dòng)加密。若是將加密數(shù)據(jù)移出來(lái)(前提:你正在使用的賬戶有移動(dòng)\復(fù)制\刪除已加密文件的權(quán)限)，如果移動(dòng)到NTFS分區(qū)上，數(shù)據(jù)依舊保持加密屬性；如果移動(dòng)到FAT分區(qū)上，這些數(shù)據(jù)將會(huì)被自動(dòng)解密。被EFS加密過(guò)的數(shù)據(jù)不能在Windows中直接共享。如果通過(guò)網(wǎng)絡(luò)傳輸經(jīng)EFS加密過(guò)的數(shù)據(jù)，這些數(shù)據(jù)在網(wǎng)絡(luò)上將會(huì)以明文的形式傳輸。NTFS分區(qū)上保存的數(shù)據(jù)還可以被壓縮，不過(guò)一個(gè)文件不能同時(shí)被壓縮和加密。最后一點(diǎn)，Windows的系統(tǒng)文件和系統(tǒng)文件夾無(wú)法被加密。

最重要的一點(diǎn)：重裝系統(tǒng)前，請(qǐng)一定備份加密證書，或解密EFS加密的數(shù)據(jù)。

加密證書或密鑰

EFS加密是基于公鑰策略的。在使用EFS加密一個(gè)文件或文件夾時(shí)，系統(tǒng)首先會(huì)生成一個(gè)由偽隨機(jī)數(shù)組成的FEK (File Encryption Key，文件加密鑰匙)，然后將利用FEK和數(shù)據(jù)擴(kuò)展標(biāo)準(zhǔn)X算法創(chuàng)建加密后的文件，并把它存儲(chǔ)到硬盤上，同時(shí)刪除未加密的原始文件。隨后系統(tǒng)利用你的公鑰加密FEK，并把加密后的FEK存儲(chǔ)在同一個(gè)加密文件中。而在訪問(wèn)被加密的文件時(shí)，系統(tǒng)首先利用當(dāng)前用戶的私鑰解密FEK，然后利用FEK解密出文件。在首次使用EFS時(shí)，如果用戶還沒(méi)有公鑰/私鑰對(duì)（統(tǒng)稱為密鑰），則會(huì)首先生成密鑰，然后加密數(shù)據(jù)。如果你登錄到了域環(huán)境中，密鑰的生成依賴于域控制器，否則它就依賴于本地機(jī)器。

密鑰的備份和恢復(fù)

為什么有很多人在使用EFS的時(shí)候出現(xiàn)問(wèn)題呢？筆者認(rèn)為最大的原因在于很多人并沒(méi)有真正理解EFS的加密方式。說(shuō)到加密，密鑰是一個(gè)非常重要的概念。EFS是一種公鑰加密，那么這里就要說(shuō)說(shuō)什么是公鑰加密了。在使用EFS加密一個(gè)文件或文件夾時(shí)，系統(tǒng)首先會(huì)生成一個(gè)由偽隨機(jī)數(shù)組成的FEK (File Encryption Key，文件加密鑰匙)，然后利用FEK和數(shù)據(jù)擴(kuò)展標(biāo)準(zhǔn)X算法創(chuàng)建加密后的文件，并把它存儲(chǔ)到硬盤上，同時(shí)刪除未加密的原始文件。隨后系統(tǒng)利用你的公鑰加密FEK，并把加密后的FEK存儲(chǔ)在同一個(gè)加密文件中。而在訪問(wèn)被加密的文件時(shí)，系統(tǒng)首先利用當(dāng)前用戶的私鑰解密FEK，然后利用FEK解密出文件。在首次使用EFS時(shí)，如果用戶還沒(méi)有公鑰/私鑰對(duì)（統(tǒng)稱為密鑰），則會(huì)首先生成密鑰，然后加密數(shù)據(jù)。

從這段話中我們可以看出兩個(gè)重點(diǎn)：文件的加密和解密都需要密鑰的參與，而密鑰分為公鑰和私鑰兩種。很明顯，無(wú)論是加密還是解密文件，都需要用到個(gè)人密鑰。加密文件的時(shí)候使用公鑰，解密文件的時(shí)候則使用相對(duì)應(yīng)的私鑰。那么無(wú)論是丟失了公鑰還是私鑰，都會(huì)給我們的使用帶來(lái)麻煩，尤其是私鑰，丟失之后就再也無(wú)法解密文件了。

為了保證數(shù)據(jù)安全，我們最好能在加密文件之后立即將自己的密鑰備份出來(lái)，并保存到安全的地方，以防系統(tǒng)崩潰或其他原因?qū)е聰?shù)據(jù)無(wú)法解密。如何備份密鑰呢？運(yùn)行"certmgr.msc"打開證書管理器，在"當(dāng)前用戶/個(gè)人/證書"路徑下，應(yīng)該可以看見一個(gè)以你的用戶名為名稱的證書（如果你還沒(méi)有加密任何數(shù)據(jù)，這里是不會(huì)有證書的）。用鼠標(biāo)右鍵點(diǎn)擊這個(gè)證書，在"所有任務(wù)"中點(diǎn)擊"導(dǎo)出"。之后會(huì)彈出一個(gè)證書導(dǎo)出向?qū)В谙驅(qū)е杏幸徊綍?huì)詢問(wèn)你是否導(dǎo)出私鑰，在這里要選擇"導(dǎo)出私鑰"，其它選項(xiàng)按照默認(rèn)設(shè)置，連續(xù)點(diǎn)擊繼續(xù)，最后輸入該用戶的密碼和想要保存的路徑并確認(rèn)，導(dǎo)出工作就完成了。導(dǎo)出的證書將是一個(gè)pfx為后綴的文件。這個(gè)pfx文件最好能保存到其他位置，并且要保證該文件的安全。

恢復(fù)密鑰

當(dāng)用戶的密鑰丟失后，例如重裝了操作系統(tǒng)，或者無(wú)意中刪除了某個(gè)帳戶，我們只要找到之前導(dǎo)出的pfx文件，用鼠標(biāo)右鍵點(diǎn)擊，并選擇"安裝PFX"，之后會(huì)出現(xiàn)一個(gè)導(dǎo)入向?qū)?，按照?dǎo)入向?qū)У奶崾就瓿刹僮鳎ㄗ⒁?，如果你之前在?dǎo)出證書時(shí)選擇了用密碼保護(hù)證書，那么在這里導(dǎo)入這個(gè)證書時(shí)就需要提供正確的密碼，否則將不能繼續(xù)），而之前加密的數(shù)據(jù)也就全部可以正確打開。

講到這里，相信你對(duì)EFS的基本使用方法已經(jīng)有了一個(gè)大概的認(rèn)識(shí)，不過(guò)光有理論知識(shí)是不夠的，筆者希望大家都多在實(shí)踐中掌握EFS的使用。 由于EFS安全性非常高，如果使用不慎或方法不當(dāng)則可能造成非常麻煩的后果，所以建議大家先用不重要的文件進(jìn)行EFS加密的試驗(yàn)。

如果確實(shí)需要對(duì)重要的文件或文件夾加密，請(qǐng)使用文件夾加密超級(jí)大師或超級(jí)加密 3000這樣的專業(yè)加密軟件。

admin

收藏 海報(bào)分享