EFS加密解密

 windows安全EFS安全。 EFS（Encrypting File System，加密文件系统）最早出现在Windows 2000操作系统中，同时Windows XP、Windows Server 2003、Windows Vista商业版、企业版、旗舰版，以及Windows Server 2008都包含这一功能。EFS可以将保存在NTFS分区上的数据加密保存起来，防止他人，哪怕是管理员用户查看文件的内容。

在经过加密后，每当我们登录Windows的时候，系统就会进行用户的身份验证。只要能成功登录到Windows，那么就可以访问当前帐户加密的所有文件，同时在访问过程中不再需要输入密码。因为和Windows操作系统紧密集成在一起，因此EFS的使用非常简单。由于采用了成熟的公钥加密体系，因此EFS从理论上来说是无法被破解的。而且经过这么多年的使用，尚未有报告说在没有密钥的情况下可以破解被EFS加密的数据。

 

因此使用EFS对重要文件进行加密是保护文件内容的最好办法。下文会对如何在Windows Vista中使用EFS功能进行一个简单的介绍。

加密和解密文件

无论要加密的是文件还是文件夹，我们都只需要一个简单的单击操作即可完成。在Windows资源管理器中，找到想要加密的对象，用鼠标右键单击，选择“属性”打开属性对话框，接着单击“高级”按钮打开高级属性对话框，随后可以看到图 1所示的界面。

图 1，加密或解密对象

 

在这个对话框中，单击选中“加密内容以便保护数据”选项，并单击“确定”，即可将目标进行加密。而反选该选项可以将被加密的目标解密。

如果选择加密或解密的对象是一个包含子文件夹或文件的文件夹，那么单击“确定”后，将会看到图 2所示的确认属性更改对话框。

图 2，确认属性的应用范围

如果只希望将操作（加密或解密）应用给顶级文件夹，那么可以选择“仅将更改应用于此文件夹”，然后单击“确定”；如果希望该文件夹下的所有文件以及子文件夹都应用同样的更改，则可以选择“将更改应用于此文件夹、子文件夹和文件”选项，然后单击“确定”。

 

被加密后的文件默认情况下会在Windows资源管理器窗口中使用绿色的文字显示，这可以进一步引起我们的注意。

导出和导入密钥

EFS的使用非常简单，但很多人因为对该功能不够了解而出现误操作，导致自己的重要文件无法被解密。因为EFS是通过密钥对文件进行加密或解密的，因此我们也有必要了解一下怎样导出和导入自己的密钥，以免因为密钥丢失导致重要文件无法访问。

 

在Windows Vista中，当我们第一次使用EFS功能加密文件时，Windows会在右下角的通知区域显示一个图标，提醒我们注意备份自己的密钥（如图 3所示）。

图 3，Windows提醒我们备份自己的密钥

这时候，直接单击提示图标或者气泡信息后，可以看到下图所示的对话框。

图 4，对密钥进行备份

 

在上图所示的界面上，单击“现在备份”，随后Windows会打开证书导出向导，我们只需要“下一步”即可完成证书（密钥）的备份。需要注意，备份出来的证书最好单独保存在一个安全的地方，因为任何人如果获得了这个证书，并将其导入自己的系统，都将可以直接打开我们加密的文件。因此至少证书不能和被加密的文件保存在同一台电脑中。

 

备份了密钥后，在遇到诸如操作系统崩溃，重新安装了操作系统；或者换了一台新电脑，并将原先电脑上的EFS加密文件直接导入到了新的电脑中。这时候我们只要将之前备份的密钥导入，就可以重新打开被加密的文件。

 

备份出来的密钥是一个扩展名为.pfx的文件，因此我们只需要直接双击这样的文件，就可以启动Windows的密钥导入向导，“下一步”即可完成导入工作。另外需要注意，在导入密钥的时候可能会需要输入密码，这个密码是在导出密钥的时候设置的。

其他注意事项

虽然EFS的使用很简单，但依然有一些事情需要注意，只有将这些原因都考虑到之后，重要数据才会受到最彻底的保护。

打开开始菜单，在左下角的搜索框中输入“secpol.msc”并回车，打开本地安全 策略控制台，在控制台窗口左侧的控制台树中依次进入到“安全设置-公钥策略-加密文件系统”，用鼠标右键单击“加密文件系统”节点，选择“属性”，随后可以看到所示的加密文件系统属性对话框

图 5，EFS的高级属性

这里有三个选项需要关注：

• 使用加密文件系统（EFS）的文件加密，将该选项设置为“允许”，只有这样才可以继续设置下面的其他选项。如果选择“不允许”，那么将禁止在本机使用EFS功能。
• 加密用户的文档文件夹的内容，选中该选项后，本机所有用户的“文档”文件夹都会被加密。对于需要多人共用一台计算机并处理机密数据的环境，建议选择该选项，这样所有保存在“文档”文件夹下的内容都会被自动加密。
• 启用页面文件加密，页面文件也就是我们常说的虚拟内存。正常情况下，当我们使用程序处理机密数据的时候，程序或者数据信息本身可能会被分页到页面文件中，并且在页面文件中保存很长时间，而且默认情况下页面文件在关机的时候并不会被删除。因此如果有人能够接触到页面文件，通过专用的软件将可以从中提取出数据，其中就有可能包含我们的机密数据。因此最安全的做法是加密页面文件，这样别人就算可以接触到页面文件，因为是加密的，没有证书，所以不用担心泄密。同理，还可以考虑加密临时文件夹。

文章作者：刘晖　　日期：2008-02-27 标签：BitLocker, EFS, Vista, 加密.