使用EFS加密windows文件

曾在碰到有朋友提出如下几个问题：

一是，我加密的文件打不开，能否将NTFS格式分区转换成FAT32分区能打开吗？

二是，加密数据后重装了操作系统，现在加密数据不能打开，如果我使用跟前一个系统同样的用户名和密码能否打开？

三是，用GHOST恢复了一下系统，用户账户和相应的SID都没有变，能否打开加密的数据文件？

以上种种是我们在XP/2000/2003中加密文件后，因为这样或那样的问题，经常出现打不开加密的文件，而导致企业或个人受到损失。现在我向大家说说，说的不好，大家不要见怪，希望能给大家有所帮助。

何谓EFS？

全称：Encrypting File System即加密文件系统，它是基于公钥策略的，它具有降低使用成本，透明性，安全性三大好处。

EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK(File Encryption Key，文件加密钥匙)，然后将利用FEK和数据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。随后系统利用你的公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件。在首次使用EFS时，如果用户还没有公钥/私钥对(统称为密钥)，则会首先生成密钥，然后加密数据。如果你登录到了域环境中，密钥的生成依赖于域控制器，否则依赖于本地机器。

EFS加密系统对用户是透明的。这也就是说，如果你加密了一些数据，那么你对这些数据的访问将是完全允许的，并不会受到任何限制。而其他非授权用户试图访问加密过的数据时，就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的，只要登录到Windows，就可以打开任何一个被授权的加密文件。

如何使用EFS加密呢？

在这里，我向大家介绍几种方法和使用EFS要注意的事项及具体要求。

1、操作系统要求：必须是2000/XP/2003和微软即将发行的新版系统，像95/98/me/NT都是不行的。

2、NTFS版本要求：必须是5。0或以上版本，即用2000/XP/2003和微软即将发行的新版系统格式化的NTFS分区可以，而NT系统格式化的NTFS格式分区是不行的，因为虽然它是NTFS格式分区，可是NTFS版本是4。0的。

3.只有NTFS格式的分区才可以使用EFS加密技术

4.第一次使用EFS加密后应及时备份密钥

5.如果将未加密的文件复制到具有加密属性的文件夹中，这些文件将会被自动加密。若是将加密数据移出来则有两种情况：若移动到NTFS分区上，数据依旧保持加密属性；若移动到FAT分区上，这些数据将会被自动解密。

6.被EFS加密过的数据不能在Windows中直接共享

7.NTFSF分区中加密和压缩功能不能同时使

8.Windows系统文件和文件夹无法加密

现向大家介绍在2000/XP/2003中如何使用EFS加密：

右击要加密的文件->属性->高级->加密内容以保护数据->确定。此时此数据文件即已加密了。

为了防止损失和加密文件打不开，那么我们该怎么办？假如加密文件后，系统崩溃了，重装后，加密文件是打不开的；更换用户名或密码后，加密文件是打不开的；用GHOST恢复一下系统，加密文件也是打不开的。

这就要我们注意两个关键：

一是，及时备份密钥。

在2000中如下操作：

开始->运行->MMC-》添加删除管理单元->添加->证书->我的帐户->确定。

在证书添加入组策略后，选择证书，个人，在右栏中右击证书，选所有任务，导出，导了私钥，下一步，默认，下一步，输入密码，下一步，将证书备份到某目录或优盘保存即可。

这样一旦重装系统或更改了用户名或密码等事宜打不开加密文件时，只有右击导出的证书，安装证书，导入即可。这样加密的文件又可以打开了。

二是设置有效的EFS加密恢复代理