如何加强本本系统的安全性、保护你的文件--NTFS文件加密和SYSKEY命令的使用

第一部分

　　NTFS是WinNT以上版本支持的一种提供安全性、可靠性的高级文件系统。在Win2000和WinXP中，NTFS还可以提供诸如文件和文件夹权限、加密压缩这样的高级功能。
　　下面就说说关于文件或文件夹的加密，注意：这里所说的加密和设置文件或文件夹的用户访问权限是不同的。
　　为什么要进行文件加密方法呢?（前提条件必须是你的分区文件格式为NTFS格式）：
　　1.从系统安全角度来看，NTFS文件加密可以有效地保护数据。
　　2.从个人的隐私考虑，文件加密也是有必要的。
　　  注意：加密文件后请及时备份密钥，如果重新安装操作系统，没有密钥的情况下是不能读取被加密的文件的。
　　一、加密文件或文件夹
　　步骤1：打开我的电脑，找到要加密的文件或文件夹。
　　步骤2：右键单击要加密的文件或文件夹，点击“属性”。 
　　步骤3：在“常规”选项卡上，单击“高级”。选中“加密内容以便保护数据”复选框。

注意：
　　1. 只可以加密NTFS分区卷上的文件和文件夹 ，FAT分区卷上的文件和文件夹无效。 
　　2.无法加密标记为“系统”属性的文件，并且位于systemroot目录结构中的文件也无法加密。
　　3.在加密文件夹时，系统将询问是否要同时加密它的子文件夹。如果选择是，那它的子文件夹也会被加密，以后所有添加进文件夹中的文件和子文件夹都将在添加时自动加密。 
　　二、解密文件或文件夹
　　步骤1：右键单击加密文件或文件夹，然后单击“属性”。 
　　步骤2：在“常规”选项卡上，单击“高级”。 
　　步骤3：清除“加密内容以便保护数据”复选框。
　　对文件夹解密时，系统将询问是否要同时将文件夹内的所有文件和子文件夹解密。如果选择仅解密文件夹，则在要解密文件夹中的加密文件和子文件夹仍保持加密。但是，在已解密文件夹内创立的新文件和文件夹将不会被自动加密。
　　说明： 
　　1.高级按钮不能用
　　原因：加密文件系统"EFS"只能处理"NTFS"文件系统卷上的文件和文件夹。如果试图加密的文件或文件夹在 FAT 或 FAT32 卷上，则高级按钮不会出现在该文件或文件夹的属性中。
　　解决方案：将卷转换成带转换实用程序的 NTFS 卷。 
　　打开命令提示符,键入  Convert driver:/fs ntfs
　　（driver: 是目标驱动器的驱动器号）
　　2. 经过加密的文件夹，具有相应权限的用户都可以添加或删除文件，但你添加的文件别人是拒绝访问的，即不能浏览文件内容。同样，别人添加的文件你也是被拒绝访问 。
　　3.如果你的硬盘上有NTFS分区，且对该分区中的数据进行了加密，那么 应该制作备份密钥 ，以防万一。密钥的制作方法如下。 
　　单击“开始→运行”命令，在打开的运行对话框中输入“certmgr.msc”后按下回车键，打开证书管理器。在“当前用户→个人→证书”分支下，我们可以看到一个以你的用户名为名称的证书(如果你还没有在NTFS分区上加密任何数据，这里是不会有证书的)。用鼠标右键单击这个证书，选择“所有任务”下的“导出”命令。系统会打开证书导出向导，然后按提示单击“下一步”，直至向导询问你是否导出私钥，选择“导出私钥”即可，其他的选项均保留默认设置，最后输入该用户的密码和想要保存的路径并确认，导出工作就完成了。导出的证书是一个以PFX为后缀的文件。

　　以后移植或重装操作系统之后，找到PFX文件，用鼠标右键单击它并选择“安装PFX”，系统会弹出一个导入向导，按照导入向导的提示完成操作即可读取先前加密的NTFS分区上的文件。 
　　需要提醒用户的是，如果没有备份密钥，一旦操作系统出现问题需要重新安装，那么仅用相同的用户名是无法访问NTFS分区上的加密数据的。只有导入备份密钥才可以正确打开以前加密的数据文件。
　　4.在Windows XP系统中，对NTFS格式的文件加密后，文件夹的颜色变成了绿色，如果不想让加密文件呈现其他颜色，可以在我的电脑中选择“工具→文件夹选项→查看”，将“以彩色显示加密和压缩的NTFS文件”复选框取消就可以了。如果想更改文件颜色的话，可以在注册表中找到“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer”，然后新建一个二进制值的“AltEncryptionColor”，更改它的RGB方式，直接输入颜色数据，重新开机后就可以了。 

第二部分

　　在Windows XP和Windows 2000系统中有一个我们一般不常用，但是功能强大的命令，那就是：syskey命令。 
　　 这个命令可以有效地增强你的系统安全性。也许你要说不是进入Windows XP或Windows 2000的时候已经要输入帐户和密码了吗，这样还不安全吗？著名的输入法漏洞你总该听说过吧，别人完全可以通过种种漏洞来获取管理员权限，还可以通过删除或破解SAM文件来进入你的系统，甚至还可以利用WinPE+ERD Commander启动光盘来破解和重设管理员密码。
　　 有了syskey，你就可以完全放心的使用2000和XP了，syskey是对SAM帐户数据库进行第二次加密。这样别人即使获取了SAM文件也无法破解。
　　  注意：一旦启用这个加密就不能禁用，也就是说这个命令一经运行是无法取消和恢复的，即使使用WINXP的系统还原也不行。所以请慎用。
　　 下面我们来看看syskey命令 的用法。 
　　 1.在开始菜单的“运行”中输入“syskey”，点击确定，然后在 保证 Windows XP 帐户数据库安全 页面中，点击 更新 。 

　　 2.这里如果选择密码启动，请输入一个密码，然后点击确定。这样做将使WINXP在启动时需要多输入一次密码，起到了2次加密的作用。操作系统启动时在输入用户名和密码之前会出现窗口提示“本台计算机需要密码才能启动，请输入启动密码”。 
　　 3.如果选择"在软盘上保存启动密码"，则将生成一个密码软盘，没有这张软盘，谁也别想进入你的操作系统。当然，如果你之前设置了syskey系统启动密码，这里还会需要你再次输入那个密码的，以获得相应的授权。然后系统会提示在软驱中放入软盘，当密码软盘生成后会出现提示。当再次启动系统时系统会提示插入密码软盘，如果你不插入软盘就点击确定，系统是不会放行的。
注意：密码软盘中的密匙文件是可以复制到其他软盘上的，所以请保存好该软盘，并保证软盘不会坏。(不过现在好象本本上很少配软驱了)
　　 4.假如有一天你对操作系统的安全性要求不那么高了，而且厌烦了每次进入系统都需要插入软盘或输入密码，则可以选择“在本机上保存启动密码”，当然，进行这一步操作你必须要有存有密匙的软盘，这与密码软盘制作时要求输入授权密码是一个道理的。