使用EFS加密windows檔案

曾在碰到有朋友提出如下幾個問題：

一是，我加密的檔案打不開，能否将NTFS格式分區轉換成FAT32分區能打開嗎？

二是，加密資料後重裝了作業系統，現在加密資料不能打開，如果我使用跟前一個系統同樣的使用者名和密碼能否打開？

三是，用GHOST恢複了一下系統，使用者賬戶和相應的SID都沒有變，能否打開加密的資料檔案？

以上種種是我們在XP/2000/2003中加密檔案後，因為這樣或那樣的問題，經常出現打不開加密的檔案，而導緻企業或個人受到損失。現在我向大家說說，說的不好，大家不要見怪，希望能給大家有所幫助。

何謂EFS？

全稱：Encrypting File System即加密檔案系統，它是基于公鑰政策的，它具有降低使用成本，透明性，安全性三大好處。

EFS加密是基于公鑰政策的。在使用EFS加密一個檔案或檔案夾時，系統首先會生成一個由僞随機數組成的FEK(File Encryption Key，檔案加密鑰匙)，然後将利用FEK和資料擴充标準X算法建立加密後的檔案，并把它存儲到硬碟上，同時删除未加密的原始檔案。随後系統利用你的公鑰加密FEK，并把加密後的FEK存儲在同一個加密檔案中。而在通路被加密的檔案時，系統首先利用目前使用者的私鑰解密FEK，然後利用FEK解密出檔案。在首次使用EFS時，如果使用者還沒有公鑰/私鑰對(統稱為密鑰)，則會首先生成密鑰，然後加密資料。如果你登入到了域環境中，密鑰的生成依賴于域控制器，否則依賴于本地機器。

EFS加密系統對使用者是透明的。這也就是說，如果你加密了一些資料，那麼你對這些資料的通路将是完全允許的，并不會受到任何限制。而其他非授權使用者試圖通路加密過的資料時，就會收到“通路拒絕”的錯誤提示。EFS加密的使用者驗證過程是在登入Windows時進行的，隻要登入到Windows，就可以打開任何一個被授權的加密檔案。

如何使用EFS加密呢？

在這裡，我向大家介紹幾種方法和使用EFS要注意的事項及具體要求。

1、作業系統要求：必須是2000/XP/2003和微軟即将發行的新版系統，像95/98/me/NT都是不行的。

2、NTFS版本要求：必須是5。0或以上版本，即用2000/XP/2003和微軟即将發行的新版系統格式化的NTFS檔案系統可以，而NT系統格式化的NTFS格式分區是不行的，因為雖然它是NTFS格式分區，可是NTFS版本是4。0的。

3.隻有NTFS格式的分區才可以使用EFS加密技術

4.第一次使用EFS加密後應及時備份密鑰

5.如果将未加密的檔案複制到具有加密屬性的檔案夾中，這些檔案将會被自動加密。若是将加密資料移出來則有兩種情況：若移動到NTFS檔案系統上，資料依舊保持加密屬性；若移動到FAT分區上，這些資料将會被自動解密。

6.被EFS加密過的資料不能在Windows中直接共享

7.NTFSF分區中加密和壓縮功能不能同時使

8.Windows系統檔案和檔案夾無法加密

現向大家介紹在2000/XP/2003中如何使用EFS加密：

右擊要加密的檔案->屬性->進階->加密内容以保護資料->确定。此時此資料檔案即已加密了。

為了防止損失和加密檔案打不開，那麼我們該怎麼辦？假如加密檔案後，系統崩潰了，重裝後，加密檔案是打不開的；更換使用者名或密碼後，加密檔案是打不開的；用GHOST恢複一下系統，加密檔案也是打不開的。

這就要我們注意兩個關鍵：

一是，及時備份密鑰。

在2000中如下操作：

開始->運作->MMC-》添加删除管理單元->添加->證書->我的帳戶->确定。

在證書添加入組政策後，選擇證書，個人，在右欄中右擊證書，選所有任務，導出，導了私鑰，下一步，預設，下一步，輸入密碼，下一步，将證書備份到某目錄或優盤儲存即可。

這樣一旦重裝系統或更改了使用者名或密碼等事宜打不開加密檔案時，隻有右擊導出的證書，安裝證書，導入即可。這樣加密的檔案又可以打開了。

二是設定有效的EFS加密修復代理人