什麼是EFSEFS加密是基於公鑰策略的在使用EFS加密一個文件或文件夾時系統首先會生成一個由偽隨機數組成的FEK(File Encryption Key文件文件加密鑰匙)然後將利用FEK和數據擴展標准X算法創建加密後的文件並把它存儲到硬盤上同時刪除未加密的原始文件隨後系統利用你的公鑰加密FEK並把加密後的FEK存儲在同一個加密文件中而在訪問被加密的文件時系統首先利用當前用戶的私鑰解密FEK然後利用FEK解密出文件在首次使用EFS時如果用戶還沒有公鑰/私鑰對(統稱為密鑰)則會首先生成密鑰然後加密數據如果你登錄到了域環境中密鑰的生成依賴於域控制器否則依賴於本地機器EFS加密系統對用戶是透明的這也就是說如果你加密了一些數據那麼你對這些數據的訪問將是完全允許的並不會受到任何限制而其他非授權用戶試圖訪問加密過的數據時就會收到“訪問拒絕”的錯誤提示EFS加密的用戶驗證過程是在登錄Windows時進行的只要登錄到Windows就可以打開任何一個被授權的加密文件
如果其他人想共享經過EFS加密的文件或文件夾又該怎麼辦呢?由於重裝系統後SID(安全標示符)的改變會使原來由EFS加密的文件無法打開所以為了保證別人能共享EFS加密文件或者重裝系統後可以打開EFS加密文件必須要進行備份證書
點擊“開始→運行”菜單項在出現的對話框中輸入“certmgrmsc”回車後在出現的“證書”對話框中依次雙擊展開“證書當前用戶→個人→證書”選項在右側欄目裡會出現以你的用戶名為名稱的證書選中該證書點擊鼠標右鍵選擇“所有任務→導出”命令打開“證書導出向導”對話框
在向導進行過程中當出現“是否要將私鑰跟證書一起導出”提示時要選擇“是導出私鑰”選項接著會出現向導提示要求密碼的對話框為了安全起見可以設置證書的安全密碼當選擇好保存的文件名及文件路徑後點擊“完成”按鈕即可順利將證書導出此時會發現在保存路徑上出現一個以PFX為擴展名的文件
當其他用戶或重裝系統後欲使用該加密文件時只需記住證書及密碼然後在該證書上點擊右鍵選擇“安裝證書”命令即可進入“證書導入向導”對話框按默認狀態點擊“下一步”按鈕輸入正確的密碼後即可完成證書的導入這樣就可順利打開所加密的文件
下面我們了解一下EFS的整個加密過程吧!
我們先選擇一個文件夾對其加密選中文件夾右擊屬性
在文件屬性裡單擊高級
在“高級屬性”頁面勾選“加密內容以便保護數據”單擊“確定”
在“文件屬性”頁面點擊“確定”時會彈出一個確認選框告知你是選擇這個加密只適用於這個文件夾還是適用於文件夾及裡面的子文件夾和文件這個可以自行選擇這裡我們選擇“將更改應用於此文件夾子文件夾和文件”選項單擊“確定”
這時候我們可以看到被加密的文件夾的名字顏色已經發生了改變變為綠色而且文件夾裡面的文件名的名字也變成了綠色我們看看是否能夠打開文件ok是可以的
那麼下面我們將切換另外一個用戶登錄這台計算機看能夠打開這個文件夾查看文件此時我們一眼就可以看到加密文件打開試試大家可以看到打開文件後彈出提示拒絕訪問這樣就是我們的文件處於一個受保護的狀態下
值得注意的是就算這個用戶將此文件拷到別的地方去也是無法打開該文件的有朋友會問那該用戶是否能進行取消加密呢這樣他就可以查看文件請大家不必擔心因為該用戶沒有本機管理員權限所以他不能進行該操作如果大家想取消EFS加密只需要按照加密步驟取消勾選“加密內容以便保護數據”即可
From:http://tw.wingwit.com/Article/Common/201311/6629.html
