6种EFS加密技巧让数据更安全

使用Windows 2000/XP/Server 2003的用户一定听说或接触过EFS，但由于其较为复杂，弄不好就会丢失数据。因此，很多人并没有使用它。其实，EFS并没有我们想像中的那样难，关键要真正玩转它，我们需要掌握好几个关键招数……

　　EFS：Encrypting File System，加密文件系统。它可以帮助你针对存储在NTFS磁盘卷上的文件和文件夹进行加密操作。

　　NTFS：Windows 2000/XP/2003支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS支持文件加密管理功能，可为用户提供更高层次的安全保证。

　　MMC：Microsoft Management Console的简称，是一个集成了用来管理网络、计算机、服务及其他系统组件的管理工具。MMC不执行管理功能，但集成管理工具。可以添加到控制面板的主要工具类型称为管理单元，其他可添加的项目包括 ActiveX 控件、指向 Web 页的链接、文件夹、任务板视图和任务。

　　由于EFS的用户验证过程是在你登录Windows时进行的，所以只要授权用户登录到Windows，就可以打开任何一个被授权的加密文件。因此，实际上EFS对用户来说是透明的。也就是说如果你加密了某些数据后，你对这些数据的访问将不会有任何限制，而且不会有任何提示，你根本感觉不到它的存在。但是当其他非授权用户试图访问加密过的数据时，就会收到“访问拒绝”的错误提示，从而保护我们的加密文件。

　　小提示：

　　如果你要使用EFS加密文件系统，必须将Windows 2000/XP/Server 2003的加密文件所在分区格式化为NTFS格式。

　　实战一：实战EFS文件夹加密

　　第一步：右击选择要加密的文件夹，选择“属性”，然后单击弹出窗口中的“常规”标签，再单击最下方的“属性→高级”，在“压缩或加密属性”一栏中，把“加密内容以便保护数据”勾选上。

　　第二步：单击“确定”按钮，回到文件属性再单击“应用”按钮，会弹出“确认属性更改”窗口，在“将该应用用于该文件夹、子文件夹和文件”打上“√”，最后单击“确定”按钮即开始加密文件。这样这个文件夹里的原来有的以及新建的所有文件和子文件夹都被自动加密了。

　　第三步：如果想取消加密，只需要右击文件夹，取消“加密内容以便保护数据”的勾选，确定即可。

　　小提示

　　在命令行模式下也可用“cipher”命令完成对数据的加密和解密操作，在命令符后输入“cipher/?”并回车可以得到具体的命令参数使用方法。

　　实战二：右键轻松加密解密

　　用上述方法加密文件须确认多次，非常麻烦，其实只要修改一下注册表，就可以给鼠标的右键菜单中增添“加密”和“解密”选项，以后在需要时用右击即可完成相关操作。单击“开始→运行”，输入regedit后回车，打开注册表编辑器，定位到[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Exporer/Advanced]，在“编辑”菜单上单击“新建→DWORD值”，然后输入EncryptionContextMenu作为键名，并设置键值为“1”。退出注册表编辑器，打开资源管理器，任意选中一个NTFS分区上的文件或者文件夹，右击就可以在右键菜单中找到相应的“加密”和“解密”选项，直接单击就可以完成加密/解密的操作。

　　实战三：多用户禁止特殊文件夹加密

　　在多用户共用电脑的时候，我们通常将用户指定为普通用户权限，但是普通用户账户在默认的情况下是允许使用加密功能，因此如果在一些多用户共用的电脑上有人利用EFS加密文件，势必会给其他用户带来许多麻烦。所以需要设置某些特定的文件夹禁止被加密，或者禁止文件加密功能。

　　先来说说如何只想禁止加密某个文件夹，方法是只要在该文件夹中用记事本创建一个名为Desktop.ini的文件，然后添加如下内容：

　　[Encryption]

　　Disable=1

　　最后保存这个文件即可。这样如果以后其他用户试图加密该文件夹时就会出现错误信息，无法进行下去。注意，你只能使用这种方法禁止其他用户加密该文件夹，文件夹中的子文件夹将不受保护。
实战四：禁用EFS加密功能

　　如果要彻底禁用EFS加密，可以打开“注册表编辑器”，定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS]，在“编辑”菜单上单击“新建→Dword值”，然后输入EfsConfiguration作为键名，并设置键值为“1”，这样本机的EFS加密就被禁用了。

　　实战五：导出EFS密钥

　　使用Windows 2000/XP的EFS加密后，如果重装系统，那么原来被加密的文件就无法打开了!如果你没有事先做好密钥的备份，那么数据是永远打不开的。由此可见，做好密钥的被备份就很重要。

　　第一步：首先以本地帐号登录，最好是具有管理员权限的用户。然后单击“开始→运行”，输入“MMC”后回车，打开控制面板界面。

　　第二步：单击控制面板的“控制面板→添加删除管理单元”，在弹出的“添加/删除管理单元”对话框中单击“添加”按钮，在“添加独立管理单元”对话框中选择“证书”后，单击“添加”按钮添加该单元。

　　如果是管理员，会要求选择证书方式，选择“我的用户证书”，然后单击“关闭”按钮，单击“确定”按钮返回控制面板。

　　第三步：依次展开左边的“控制面板根节点→证书→个人→证书→选择右边窗口中的账户”，右击选择“所有任务→导出”，弹出“证书导出向导”。

　　第四步：单击“下一步”按钮，选择“是，导出私钥”，单击“下一步”按钮，勾选“私人信息交换”下面的“如果可能，将所有证书包括到证书路径中”和“启用加强保护”项，单击“下一步”按钮，进入设置密码界面。

　　第五步：输入设置密码，这个密码非常重要，一旦遗忘，将永远无法获得，以后也就无法导入证书。输入完成以后单击“下一步”按钮，选择保存私钥的位置和文件名。

　　第六步：单击“完成”按钮，弹出“导出成功”对话框，表示你的证书和密钥已经导出成功了，打开保存密钥的路径，会看到一个“信封 钥匙”的图标，这就是你宝贵的密钥!丢失了它，不仅仅意味着你再也打不开你的数据，也意味着别人可以轻易打开你的数据。

　　实战六：导入EFS密钥

　　由于重装系统后，对于被EFS加密的文件我们是不能够打开的，所以重装系统以前，一定记住导出密钥，然后在新系统中将备份的密钥导入，从而获得权限。

　　小提示

　　★确保你导入的密钥有查看的权利，否则就是导入了也没有用的。这一点要求在导出时就要做到

　　★记住导出时设置的密码，最好使用和导出是相同的用户名。

　　第一步：双击导出的密钥(就是那个“信封 钥匙”图标的文件)，会看到“证书导入向导”欢迎界面，单击“下一步”按钮，确认路径和密钥证书，然后单击“下一步”继续。

　　第二步：在“密码”后面输入导出时设置的密码，把密码输入后勾选“启用强密钥保护”和“标志此密钥可导出”(以确保下次能够导出)，然后单击“下一步”继续。

　　第三步：根据提示，依次单击“下一步”按钮，OK了，单击完成按钮，看到“导入成功”就表示你已经成功导入密钥了。

　　试试看，原来打不开的文件，现在是不是全部都能打开了呢?

　　小提示

　　★EFS加密的文件打不开了，把NTFS分区转换成FAT32分区或者使用相同的用户名和密码登录甚至重新Ghost回原系统都不能解决问题，因此备份和导入EFS密钥就显得非常重要。

　　★Windows XP家用版并不支持EFS功能。