什么是EFSEFS加密是基于公钥策略的在使用EFS加密一个文件或文件夹时系统首先会生成一个由伪随机数组成的FEK(File Encryption Key文件文件加密钥匙)然后将利用FEK和数据扩展标准X算法创建加密后的文件并把它存储到硬盘上同时删除未加密的原始文件随后系统利用你的公钥加密FEK并把加密后的FEK存储在同一个加密文件中而在访问被加密的文件时系统首先利用当前用户的私钥解密FEK然后利用FEK解密出文件在首次使用EFS时如果用户还没有公钥/私钥对(统称为密钥)则会首先生成密钥然后加密数据如果你登录到了域环境中密钥的生成依赖于域控制器否则依赖于本地机器EFS加密系统对用户是透明的这也就是说如果你加密了一些数据那么你对这些数据的访问将是完全允许的并不会受到任何限制而其他非授权用户试图访问加密过的数据时就会收到“访问拒绝”的错误提示EFS加密的用户验证过程是在登录Windows时进行的只要登录到Windows就可以打开任何一个被授权的加密文件
如果其他人想共享经过EFS加密的文件或文件夹又该怎么办呢?由于重装系统后SID(安全标示符)的改变会使原来由EFS加密的文件无法打开所以为了保证别人能共享EFS加密文件或者重装系统后可以打开EFS加密文件必须要进行备份证书
点击“开始→运行”菜单项在出现的对话框中输入“certmgrmsc”回车后在出现的“证书”对话框中依次双击展开“证书当前用户→个人→证书”选项在右侧栏目里会出现以你的用户名为名称的证书选中该证书点击鼠标右键选择“所有任务→导出”命令打开“证书导出向导”对话框
在向导进行过程中当出现“是否要将私钥跟证书一起导出”提示时要选择“是导出私钥”选项接着会出现向导提示要求密码的对话框为了安全起见可以设置证书的安全密码当选择好保存的文件名及文件路径后点击“完成”按钮即可顺利将证书导出此时会发现在保存路径上出现一个以PFX为扩展名的文件
当其他用户或重装系统后欲使用该加密文件时只需记住证书及密码然后在该证书上点击右键选择“安装证书”命令即可进入“证书导入向导”对话框按默认状态点击“下一步”按钮输入正确的密码后即可完成证书的导入这样就可顺利打开所加密的文件
下面我们了解一下EFS的整个加密过程吧!
我们先选择一个文件夹对其加密选中文件夹右击属性
在文件属性里单击高级
在“高级属性”页面勾选“加密内容以便保护数据”单击“确定”
在“文件属性”页面点击“确定”时会弹出一个确认选框告知你是选择这个加密只适用于这个文件夹还是适用于文件夹及里面的子文件夹和文件这个可以自行选择这里我们选择“将更改应用于此文件夹子文件夹和文件”选项单击“确定”
这时候我们可以看到被加密的文件夹的名字颜色已经发生了改变变为绿色而且文件夹里面的文件名的名字也变成了绿色我们看看是否能够打开文件ok是可以的
那么下面我们将切换另外一个用户登录这台计算机看能够打开这个文件夹查看文件此时我们一眼就可以看到加密文件打开试试大家可以看到打开文件后弹出提示拒绝访问这样就是我们的文件处于一个受保护的状态下
值得注意的是就算这个用户将此文件拷到别的地方去也是无法打开该文件的有朋友会问那该用户是否能进行取消加密呢这样他就可以查看文件请大家不必担心因为该用户没有本机管理员权限所以他不能进行该操作如果大家想取消EFS加密只需要按照加密步骤取消勾选“加密内容以便保护数据”即可
