從windows 2000開(kāi)始，微軟為我們提供了一個(gè)叫做EFS的加密功能，通過(guò)該功能，我們可以將保存在NTFS分區(qū)上的文件加密，讓別人無(wú)法打開(kāi)。雖然該功能已經(jīng)面世很長(zhǎng)時(shí)間了，不過(guò)很多人因?yàn)閷?duì)這個(gè)功能不了解，導(dǎo)致了很多數(shù)據(jù)丟失的情況發(fā)生。

什么是EFS加密

其實(shí)從設(shè)計(jì)上來(lái)看，EFS加密是相當(dāng)安全的一種公鑰加密方式，只要?jiǎng)e人無(wú)從獲得你的私鑰，那么以目前的技術(shù)水平來(lái)看是完全無(wú)法破解的。和其他加密軟件相比，EFS最大的優(yōu)勢(shì)在于和系統(tǒng)緊密集成，同時(shí)對(duì)于用戶(hù)來(lái)說(shuō)，整個(gè)過(guò)程是透明的。例如，用戶(hù)A加密了一個(gè)文件，那么就只有用戶(hù)A可以打開(kāi)這個(gè)文件。當(dāng)用戶(hù)A登錄到Windows的時(shí)候，系統(tǒng)已經(jīng)驗(yàn)證了用戶(hù)A的合法性，這種情況下，用戶(hù)A在Windows資源管理器中可以直接打開(kāi)自己加密的文件，并進(jìn)行編輯，在保存的時(shí)候，編輯后的內(nèi)容會(huì)被自動(dòng)加密并合并到文件中。在這個(gè)過(guò)程中，該用戶(hù)并不需要重復(fù)輸入自己的密碼，或者手工進(jìn)行解密和重新加密的操作,因此EFS在使用時(shí)非常便捷。

完全支持EFS加密和解密的操作系統(tǒng)包括Windows 2000的所有版本、Windows XP專(zhuān)業(yè)版(Professional)、Windows Vista商業(yè)版(Business)、企業(yè)版(Enterprise)和旗艦版(Ultimate)。Windows Vista家庭基礎(chǔ)版(Home Basic)和家庭高級(jí)版(Home Premium)只能在有密鑰的情況下打開(kāi)被EFS加密的文件，但無(wú)法加密新的文件。

為了向你介紹EFS加密功能的使用，下文會(huì)以Windows Vista旗艦版中的操作為例進(jìn)行說(shuō)明，同時(shí)這些操作也適用于Windows Vista商業(yè)版和企業(yè)版。其他支持EFS的Windows操作系統(tǒng)在細(xì)節(jié)上可能會(huì)有所不同。

EFS加密和解密

文件的加密和解密是很簡(jiǎn)單的，我們只需要在Windows資源管理器中用鼠標(biāo)右鍵單擊想要加密或解密的文件或文件夾，選擇“屬性”，打開(kāi)“屬性”對(duì)話框的“常規(guī)”選項(xiàng)卡，接著單擊“高級(jí)”按鈕，打開(kāi)“高級(jí)屬性”對(duì)話框。

如果希望加密該文件或文件夾，請(qǐng)選中“加密內(nèi)容以便保護(hù)數(shù)據(jù)”;如果希望解密文件或文件夾，請(qǐng)反選“加密內(nèi)容以便保護(hù)數(shù)據(jù)”，然后單擊“確定”即可;如果選擇加密或解密的對(duì)象是一個(gè)包含子文件夾或文件的文件夾，那么單擊“確定”后，我們將看到“確認(rèn)屬性更改”對(duì)話框。

在這里，我們可以決定將該屬性更改應(yīng)用給哪些對(duì)象。例如，如果希望同時(shí)加密或解密該文件夾中包含的子文件夾和文件，可以選擇“將更改應(yīng)用于此文件夾、子文件夾和文件”；如果只希望加密或解密該文件夾，則可以選擇“僅將更改應(yīng)用于此文件夾”。

默認(rèn)情況下，被加密的文件或文件夾在Windows資源管理器中會(huì)顯示為綠色，提醒我們注意。如果不希望使用這一特性，那么可以按照下列方法更改默認(rèn)設(shè)置：1. 打開(kāi)“計(jì)算機(jī)”　“我的電腦”，如果是Windows Vista，請(qǐng)按下Alt鍵，打開(kāi)菜單欄。2. 在菜單欄上依次單擊“工具”　“文件夾選項(xiàng)”，打開(kāi)“文件夾選項(xiàng)”對(duì)話框，打開(kāi)“查看”選項(xiàng)卡。3. 在高級(jí)設(shè)置列表中，取消對(duì)“用彩色顯示加密或壓縮的NTFS文件”這個(gè)選項(xiàng)的選擇。4. 單擊“確定”。

證書(shū)的備份和還原

很多人使用EFS加密的時(shí)候都吃了虧。上文已經(jīng)介紹過(guò)，EFS是一種公鑰加密體系，因此加密和解密操作都需要證書(shū)(也叫做密鑰)的參與。例如很多人都是這樣操作的：在系統(tǒng)中用EFS加密了文件，某天因?yàn)橐恍┰蛑苯又匮b了操作系統(tǒng)，并創(chuàng)建了和老系統(tǒng)一樣用戶(hù)名和密碼的帳戶(hù)，但發(fā)現(xiàn)自己之前曾經(jīng)加密過(guò)的文件都打不開(kāi)了。

如果僅僅是設(shè)置過(guò)NTFS權(quán)限的文件，我們還可以讓管理員獲取所有權(quán)并重新指派權(quán)限，但對(duì)于EFS加密過(guò)的文件，那就一點(diǎn)辦法都沒(méi)有了，因?yàn)榻饷芪募璧淖C書(shū)已經(jīng)隨著系統(tǒng)重裝灰飛煙滅，在目前的技術(shù)水平下，如果要在缺少證書(shū)的情況下解密文件，幾乎是不可能的。

所以要安全使用EFS加密，一定要注意證書(shū)的備份和還原，很多人正是因?yàn)椴涣私膺@個(gè)情況而吃虧。好在從Windows Vista開(kāi)始，當(dāng)我們第一次用EFS加密功能加密了文件后，系統(tǒng)會(huì)提醒我們備份自己的證書(shū)，而且操作也相對(duì)比較簡(jiǎn)單。

下文會(huì)從證書(shū)的備份和還原兩方面介紹如何在Windows XP和Windows Vista下進(jìn)行操作。

需要注意的是，每個(gè)人的證書(shū)都只有在這個(gè)人第一次用EFS加密了文件的時(shí)候才會(huì)自動(dòng)生成，新創(chuàng)建的用戶(hù)，如果還沒(méi)有加密過(guò)文件，是不會(huì)有證書(shū)的。因此我們應(yīng)當(dāng)先加密一些臨時(shí)文件，并立刻將證書(shū)備份起來(lái)，以便日后需要的時(shí)候還原。

在Windows XP中，如果想要備份證書(shū)，可以這樣操作：

1. 打開(kāi)“開(kāi)始”菜單，單擊“運(yùn)行”，打開(kāi)“運(yùn)行”對(duì)話框，輸入“certmgr.msc”并回車(chē)，打開(kāi)證書(shū)控制臺(tái)。

2. 在“證書(shū)控制臺(tái)”窗口左側(cè)的樹(shù)形圖中依次展開(kāi)到“證書(shū)當(dāng)前用戶(hù)”　“個(gè)人”　“證書(shū)”，隨后在右側(cè)窗格中會(huì)看到當(dāng)前用戶(hù)所有的個(gè)人證書(shū)。

3. 這里需要注意，如果你還進(jìn)行過(guò)其他需要證書(shū)的操作，例如訪問(wèn)加密網(wǎng)站，或者使用網(wǎng)絡(luò)銀行系統(tǒng)，這里可能會(huì)出現(xiàn)多個(gè)證書(shū)。我們需要的是“預(yù)期目的”被標(biāo)記為“加密文件系統(tǒng)”的證書(shū)，在備份的時(shí)候記得不要選錯(cuò)了。

4. 找到要備份的證書(shū)后，在該證書(shū)上單擊鼠標(biāo)右鍵，指向“所有任務(wù)”，選擇“導(dǎo)出”，這將打開(kāi)“證書(shū)導(dǎo)出”向?qū)А?/P>

5. 在向?qū)У牡谝粋€(gè)界面上單擊“下一步”，隨后向?qū)?huì)詢(xún)問(wèn)是否導(dǎo)出私鑰。因?yàn)槲覀冃枰獋浞菰撟C書(shū)，方便日后恢復(fù)系統(tǒng)時(shí)解密文件，因此這里一定要選擇“是，導(dǎo)出私鑰”，然后單擊“下一步”。

6. 隨后可以看到“導(dǎo)出文件格式”對(duì)話框。

因?yàn)槭怯糜诩用芪募到y(tǒng)的證書(shū)，因此證書(shū)的格式不可選擇，使用默認(rèn)選項(xiàng)即可。但這里要介紹另外一個(gè)選項(xiàng)“如果導(dǎo)出成功，刪除密鑰”。選中該選項(xiàng)后，系統(tǒng)會(huì)在成功導(dǎo)出證書(shū)后自動(dòng)將當(dāng)前系統(tǒng)里的密鑰刪除，這樣加密的文件就無(wú)法被任何人訪問(wèn)了。為什么要這樣做?對(duì)于安全性要求較高的文件，我們可以把導(dǎo)出的證書(shū)利用U盤(pán)等移動(dòng)設(shè)備保存并隨身攜帶，只在需要的時(shí)候才導(dǎo)入到系統(tǒng)中，平時(shí)系統(tǒng)中不保留證書(shū)，這樣可以進(jìn)一步防止他人在未經(jīng)授權(quán)的前提下訪問(wèn)機(jī)密數(shù)據(jù)。設(shè)置好相應(yīng)的選項(xiàng)后單擊“下一步”。

7. 隨后我們需要為證書(shū)設(shè)置一個(gè)密碼。注意，這個(gè)密碼需要在導(dǎo)入證書(shū)的時(shí)候提供，并且為了安全，建議和自己的帳戶(hù)密碼設(shè)置不同。輸入好密碼后單擊“下一步”。

8. 接著單擊“瀏覽”按鈕，為導(dǎo)出的證書(shū)選擇一個(gè)保存路徑和名稱(chēng)，并單擊“下一步”。

9. 復(fù)查所有設(shè)置，如果覺(jué)得一切無(wú)誤，就可以單擊“完成”按鈕，完成導(dǎo)出操作。

在Windows Vista中，如果想要備份證書(shū)，可以這樣操作：

1. 在Windows Vista中，當(dāng)一個(gè)用戶(hù)第一次使用EFS加密文件或文件夾后，系統(tǒng)通知區(qū)域很快就會(huì)顯示一個(gè)圖標(biāo)，并用氣泡通知提醒用戶(hù)注意備份自己的密鑰(如果第一次加密文件時(shí)沒(méi)有理會(huì)這個(gè)提示信息，那么以后每次登錄系統(tǒng)后都可以看見(jiàn)，或者也可以直接運(yùn)行certmgr.msc，按照上文介紹的Windows XP中的步驟操作)。

2. 單擊該通知后，可以看到“加密文件系統(tǒng)”對(duì)話框，在這里我們有不同的操作可以選擇。

3. 因?yàn)槲覀兊哪康氖莻浞軪FS加密證書(shū)，因此直接單擊“現(xiàn)在備份(推薦)”，隨后可以打開(kāi)證書(shū)導(dǎo)出向?qū)А?/P>

導(dǎo)出的證書(shū)要記得保存在安全的地方，同時(shí)保險(xiǎn)起見(jiàn)最好在不同地方保存多個(gè)副本。