在為用戶解決問題的過程中，經(jīng)常會遇到“用戶使用我們軟件加密了數(shù)據(jù)，但解密后數(shù)據(jù)無法打開的情況”。根據(jù)用戶的提供的信息，才發(fā)現(xiàn)原來用戶是先使用了系統(tǒng)自帶的EFS加密，然后又使用我們的軟件加密。即便解除了我們軟件的加密，但EFS加密還存在并沒有解除。

那什么是EFS加密？EFS加密如何使用？如何判斷是否使用了EFS加密？這篇文章就給大家詳細(xì)介紹一下EFS加密以及使用EFS加密需要注意的事項(xiàng)。

什么是EFS加密？

EFS（Encrypting File System，加密文件系統(tǒng)）是Windows2000以后系統(tǒng)自帶的一項(xiàng)加密技術(shù)，對于NTFS卷上的文件和數(shù)據(jù)，都可以直接被操作系統(tǒng)加密保存，在很大程度上提高了數(shù)據(jù)的安全性。

這項(xiàng)加密技術(shù)基于NTFS分區(qū)系統(tǒng)，特點(diǎn)是對用戶透明。也就是說，在同一臺電腦上如果你用某個用戶加密了一個文件，那么除了加密的用戶誰都無法打開這個文件。非授權(quán)用戶試圖訪問加密數(shù)據(jù)時，就會收到“拒絕訪問”的錯誤提示。（操作系統(tǒng)不同，錯誤提示也不完全一樣。）

而如果你用正確的賬戶登錄，訪問加密文件的時候系統(tǒng)實(shí)時解密和加密，完全感覺不到差別。默認(rèn)情況下，加密過的文件名稱在電腦中顯示為綠色。

EFS加密如何使用？

在目標(biāo)對象上點(diǎn)擊鼠標(biāo)右鍵，選擇“屬性”，打開屬性對話框,然后在常規(guī)選項(xiàng)卡上點(diǎn)擊“高級”按鈕，打開高級屬性對話框，選中“加密內(nèi)容以便保護(hù)數(shù)據(jù)”這個選項(xiàng)，反之解密。

如何判斷是否使用了EFS加密？

方法1：查看加密文件的名稱是否顯示為綠色（一般情況下）。

方法2：為了更好地確定是否使用了EFS加密，請在目標(biāo)對象上點(diǎn)擊鼠標(biāo)右鍵，選擇“屬性”，打開屬性對話框,然后在常規(guī)選項(xiàng)卡上點(diǎn)擊“高級”按鈕，打開高級屬性對話框，查看“加密內(nèi)容以便保護(hù)數(shù)據(jù)”選項(xiàng)是否勾選。

EFS加密注意事項(xiàng)

1. EFS加密簡單好用、安全性高，但如果更換了登錄用戶，或是重裝系統(tǒng)后使用原來的用戶名和密碼，也無法打開EFS加密文件（夾）。

2. 及時備份密鑰，即便重裝系統(tǒng)或升級系統(tǒng)，也能打開加密文件。

備份密鑰：運(yùn)行“certmgr.msc”打開證書管理器，在“當(dāng)前用戶/個人/證書”路徑下，應(yīng)該可以看見一個以你的用戶名為名稱的證書（如果你還沒有加密任何數(shù)據(jù)，這里是不會有證書的）。用鼠標(biāo)右鍵點(diǎn)擊這個證書，在“所有任務(wù)”中點(diǎn)擊“導(dǎo)出”。之后會彈出一個證書導(dǎo)出向?qū)В谙驅(qū)е杏幸徊綍儐柲闶欠駥?dǎo)出私鑰，在這里要選擇“導(dǎo)出私鑰”，其它選項(xiàng)按照默認(rèn)設(shè)置，連續(xù)點(diǎn)擊繼續(xù)，最后輸入該用戶的密碼和想要保存的路徑并確認(rèn)，導(dǎo)出工作就完成了。導(dǎo)出的證書將是一個pfx為后綴的文件。這個pfx文件最好能保存到其他位置，并且要保證該文件的安全。

3. 當(dāng)用戶的密鑰丟失后，如重裝了操作系統(tǒng)，或者無意中刪除了某個帳戶，只需恢復(fù)密鑰即可。

恢復(fù)密鑰：找到之前導(dǎo)出的pfx文件，用鼠標(biāo)右鍵點(diǎn)擊，并選擇“安裝PFX”，之后會出現(xiàn)一個導(dǎo)入向?qū)?，按照?dǎo)入向?qū)У奶崾就瓿刹僮鳎ㄗ⒁?，如果你之前在?dǎo)出證書時選擇了用密碼保護(hù)證書，那么在這里導(dǎo)入這個證書時就需要提供正確的密碼，否則將不能繼續(xù)），而之前加密的數(shù)據(jù)也就全部可以正確打開。

4. 如果把未加密的文件復(fù)制到具有加密屬性的文件夾中，這些文件會被自動加密。若是將加密數(shù)據(jù)移出來（前提是正在使用的賬號有移動/復(fù)制/刪除加密文件的權(quán)限），如果移動到NTFS分區(qū)上，數(shù)據(jù)依舊保持加密屬性；如果移動到FAT分區(qū)上，這些數(shù)據(jù)會被自動解密。

5. FAT分區(qū)上的文件和文件夾不能被EFS加密，另外標(biāo)記為“系統(tǒng)”屬性的文件，或位于Windows系統(tǒng)目錄中的文件也無法使用EFS加密。

EFS相關(guān)問題

1. 為什么打開加密過的文件不需要輸入密碼呢？

這正是EFS加密的一個特性，同時也是EFS加密和操作系統(tǒng)緊密結(jié)合的最佳證明。和一般的加密軟件不同，EFS加密不是靠雙擊文件，然后彈出一個對話框，然后輸入正確密碼來確認(rèn)用戶的；EFS加密的用戶確認(rèn)工作在登錄到Windows時就已經(jīng)進(jìn)行了。一旦使用正確的賬戶登錄，就能打開相應(yīng)的任何加密文件，并不需要提供什么額外的密碼。

2. 我的加密文件已經(jīng)打不開了，我能夠把NTFS分區(qū)轉(zhuǎn)換成FAT32分區(qū)來挽救我的文件嗎？

這當(dāng)然是不可能的了。很多人嘗試過各種方法，例如把NTFS分區(qū)轉(zhuǎn)換成FAT32分區(qū)；用NTFS DOS之類的軟件到DOS下去把文件復(fù)制到FAT32分區(qū)等，不過這些嘗試都以失敗告終。畢竟EFS是一種加密，而不是一般的什么權(quán)限之類的東西，這些方法對付EFS加密都是無濟(jì)于事。而如果你的密鑰丟失或者沒有做好備份，那么一旦發(fā)生事故所有加密過的數(shù)據(jù)就都沒救了。

3. 被EFS加密過的數(shù)據(jù)是不是就絕對安全了呢？

當(dāng)然不是，安全永遠(yuǎn)都是相對的。以被EFS加密過的文件為例，如果沒有合適的密鑰，雖然無法打開加密文件，不過仍然可以刪除。所以對于重要文件，最佳的做法是NTFS權(quán)限和EFS加密并用。這樣，如果非法用戶沒有合適的權(quán)限，將不能訪問受保護(hù)的文件和文件夾；而即使擁有權(quán)限，沒有密鑰同樣還是打不開加密數(shù)據(jù)。

4. 我只是用Ghost恢復(fù)了一下系統(tǒng)，用戶賬戶和相應(yīng)的SID都沒有變，怎么以前的加密文件也打不開了？

這也是正常的，因?yàn)镋FS加密所用到的密鑰并不是在創(chuàng)建用戶的時候生成，而是在你第一次用EFS加密文件的時候。如果你用Ghost創(chuàng)建系統(tǒng)的鏡像前還沒有加密過任何文件，那你的系統(tǒng)中就沒有密鑰，而這樣的系統(tǒng)制作的鏡像當(dāng)然也就不包括密鑰。一旦你加密了文件，并用Ghost恢復(fù)系統(tǒng)到創(chuàng)建鏡像的狀態(tài)，解密文件所用的密鑰就丟失了。因此這個問題一定需要注意！

編者按

如果選擇使用EFS加密，請務(wù)必備份密鑰。使用EFS加密后，又使用我公司加密軟件對已加密數(shù)據(jù)進(jìn)行再次加密，解密之后也只是解除了我公司軟件的加密，并沒有徹底解除EFS加密。為了避免一些問題的出現(xiàn)，我公司加密軟件在加密時，對于已經(jīng)具有加密或壓縮屬性的文件（夾），會做出如下提示：