這裡還有個竅門用傳統的方法加密文件必須打開層層菜單並依次確認非常麻煩不過只要修改一下注冊表就可以給鼠標的右鍵菜單中增添加密和解密的選項
在運行中輸入regedit並回車打開注冊表編輯器定位到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion /Explorer/Advanced 在編輯菜單上點擊新建-Dword值輸入EncryptionContextMenu作為鍵名並設置鍵值為現在退出注冊表編輯器打開資源管理器任意選中一個NTFS分區上的文件或者文件夾然後點擊鼠標右鍵就可以在右鍵菜單中找到相應的選項直接點擊就可以完成加密解密的操作
如果你想設置禁止加密某個文件夾可以在這個文件夾中創建一個名為Desktopini的文件然後用記事本打開並添加如下內容
[Encryption]
Disable=
之後保存並關閉這個文件這樣以後要加密這個文件夾的時候就會收到錯誤信息除非這個文件被刪除
而如果你想在本機上徹底禁用EFS加密則可以通過修改注冊表實現在運行中輸入Regedit並回車打開注冊表編輯器定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS在編輯菜單上點擊新建-Dword值輸入EfsConfiguration作為鍵名並設置鍵值為這樣本機的EFS加密就被禁用了而以後如果又想使用時只需把鍵值改為
如何保證EFS加密的安全和可靠
前面我們已經了解到在EFS加密體系中數據是靠FEK加密的而FEK又會跟用戶的公鑰一起加密保存解密的時候順序剛好相反首先用私鑰解密出FEK然後用FEK解密數據可見用戶的密鑰在EFS加密中起了很大作用
密鑰又是怎麼來的呢?在Windows /XP中每一個用戶都有一個SID(Security Identifier安全標示符)以區分各自的身份每個人的SID都是不相同的並且有唯一性可以這樣理解把SID想象成人的指紋雖然世界上已經有幾十億人(同名同姓的也有很多)可是理論上還沒有哪兩個人的指紋是完全相同的因此這具有唯一性的SID就保證了EFS加密的絕對安全和可靠因為理論上沒有SID相同的用戶因而用戶的密鑰也就絕不會相同在第一次加密數據的時候操作系統就會根據加密者的SID生成該用戶的密鑰並把公鑰和私鑰分開保存起來供用戶加密和解密數據
這一切都保證了EFS機制的可靠
其次EFS機制在設計的時候就考慮到了多種突發情況的產生因此在EFS加密系統中還有恢復代理(Recovery Agent)這一概念
舉例來說公司財務部的一個職工加密了財務數據的報表某天這位職工辭職了安全起見你直接刪除了這位職工的賬戶直到有一天需要用到這位職工創建的財務報表時才發現這些報表是被加密的而用戶賬戶已經刪除這些文件無法打開了不過恢復代理的存在就解決了這些問題因為被EFS加密過的文件除了加密者本人之外還有恢復代理可以打開
對於Windows 來說在單機和工作組環境下默認的恢復代理是 Administrator Windows XP在單機和工作組環境下沒有默認的恢復代理而在域環境中就完全不同了所有加入域的Windows /XP計算機默認的恢復代理全部是域管理員
這一切都保證了被加密數據的安全
如何避免不慎使用EFS加密帶來的損失
如果你也和我一樣由於對EFS加密不了解致使重要數據丟失那麼也別氣餒就當買了個教訓畢竟通過這事情你還是能學會很多東西的那就是備份密鑰!設置有效的恢復代理!
對於上面講到的情況備份密鑰可以避免這種悲劇的發生在運行中輸入certmgrmsc然後回車打開證書管理器密鑰的導出和導入工作都將在這裡進行
在你加密過文件或文件夾後打開證書管理器在當前用戶-個人-證書路徑下應該可以看見一個以你的用戶名為名稱的證書(如果你還沒有加密任何數據這裡是不會有證書的)右鍵點擊這個證書在所有任務中點擊導出之後會彈出一個證書導出向導在向導中有一步會詢問你是否導出私鑰在這裡要選擇導出私鑰其它選項按照默認設置連續點擊繼續最後輸入該用戶的密碼和想要保存的路徑並確認導出工作就完成了導出的證書將是一個pfx為後綴的文件
重裝操作系統之後找到之前導出的pfx文件鼠標右鍵點擊並選擇安裝PFX之後會出現一個導入向導按照導入向導的提示完成操作(注意如果你之前在導出證書時選擇了用密碼保護證書那麼在這裡導入這個證書時就需要提供正確的密碼否則將不能繼續)而之前加密的數據也就全部可以正確打開
[] []
From:http://tw.wingwit.com/Article/os/xtgl/201311/10171.html
