EFS的加密方法和解密必知

⽂件服务器加密-EFS⽂件服务器之EFS⽂件加密⽬标通过EFS⽂件加密系统，各⽤户对上传之⽂件服务器中的数据加密。

从⽽拒绝所有未授权⽤户试图打开、复制、移动或重新命名已加密⽂件或⽂件夹。

⽂件加密系统简介⽂件加密系统(EFS) 可以使⽤户对⽂件进⾏加密和解密。

使⽤EFS 可以保证⽂件的安全，以防那些未经许可的⼊侵者访问存储的敏感数据（例如，通过盗窃笔记本电脑或外挂式硬盘驱动器来偷取数据）。

⽤户可以像使⽤普通⽂件和⽂件夹那样使⽤已加密的⽂件和⽂件夹。

加密过程是透明的。

EFS ⽤户如果是加密者本⼈，系统会在⽤户访问这些⽂件和⽂件夹时将其⾃动解密，但是不允许⼊侵者访问任何已加密的⽂件或⽂件夹。

EFS实际应⽤介绍1.只有NTFS 卷上的⽂件和⽂件夹才能被加密。

2.不能加密压缩⽂件或⽂件夹。

3.只有对⽂件实施加密的⽤户才能打开它。

4.不能共享加密⽂件。

EFS 不能⽤于发布私⼈数据。

5.如果将加密的⽂件复制或移动到⾮NTFS 格式的卷上，该⽂件将会被解密。

6.将⽂件移动到已加密的⽂件夹，它们在新⽂件夹中⾃动加密。

7.⽆法加密系统⽂件。

8.加密的⽂件夹或⽂件不能防⽌被删除。

任何拥有删除权限的⼈均可以删除加密的⽂件夹或⽂件。

9.对于编辑⽂档时某些程序创建的临时⽂件，只要这些⽂件在NTFS 卷上⽽且放在已加密⽂件夹中，则它们也会被加密。

为此建议加密硬盘上的Temp ⽂件夹。

加密Temp ⽂件夹可以确保在编辑过程中的⽂档也处于保密状态。

如果在Outlook 中创建⼀个新⽂档或打开附件，该⽂件将在Temp ⽂件夹中创建为加密⽂档。

如果选择将加密的⽂档保存到NTFS 卷的其他位置，则它在新位置仍被加密。

10. 加密后的⽂件只有加密者可以访问。

如需要将加密后的⽂件共享，那么还需要额外的设置。

在添加的⽤户时并不是添加⽤户的名称，⽽是添加⽤户的公钥11. EFS加密系统的密钥是根据每个⽤户的SID⽣成的，⽂件的加密和解密都需要密钥的参与（公钥和私钥）。

EFS加/解密原理加密----首先用SID生成密钥（公钥和私钥）和FEK---在用公钥来加密FEK----在用FEK和X算法创建加密后的文件并存到硬盘上-----最后删除原始文件。

解密----用私钥解密FEK--------在用FEK解密出文件简单说：数据是靠FEK加密的，而FEK又会跟用户的公钥一起加密保存；解密则相反，首先用私钥解密出FEK，然后用FEK解密数据XP Professional版才支持EFS加密，Home版不支持EFS加密。

Win2000默认恢复代理为Administrator WinXP没有默认恢复代理。

（可以设置）如下：假如让Administrator成为恢复代理，首先登录Administrator。

如没有默认的Administrator账户则在欢迎屏幕上连续按Ctrl＋Alt＋Del两次，打开登录对话框，输入Administrator和密码，然后登录。

1：建立一个临时的文件，如C：/1.txt2：运行输入CMD，输入“cipher /r:c:\1.txt”，回车后系统还会询问你是否用密码把证书保护起来，你可以按照你的情况来决定，如果不需要密码保护就直接按回车。

3：完成后在C盘的根目录下就有1.txt.cer和1.txt.pfx两文件。

4：开始设置恢复代理。

安装1.txt.pfx这个文件，在运行输入“gpedit.msc”回车，打开组策略编辑器。

在“计算机配置－Windows设置－安全设置－公钥策略－正在加密文件系统”菜单下，在右侧窗口的空白处点击鼠标右键，并选择“添加数据恢复代理”，然后会出现“添加故障恢复代理向导”按照这个向导打开1.txt.cer备份密钥输入“certmgr.msc”回车，打开证书管理器。

在加密过文件后，在“当前用户”－“个人”－“证书”路径下，应该可以看见一个以你的用户名为名称的证书（如没加密任何数据，这里是不会有证书的）。

右键点击这个证书，在“所有任务”中点击“导出”。

EFS的加密、解密和恢复代理一、实验目的为了提高文件的安全性，微软在Win XP、Win2003、2000中，针对NTFS引入了EFS 加密技术。

本实验主要是学习EFS的加密、解密和恢复代理的相关操作。

二、E FS加密文件或文件夹在Win Xp中，单击开始---程序---附件，点击打开“Windows资源管理器”，点击“我的电脑”，打开NTFS分区，右击要加密的文件或文件夹，如署名为安全的文件件。

然后点击“属性”，在“常规”选项卡上，单击“高级按钮”；在弹出的窗口中勾选“加密内容以便保护数据”复选框，如图1所示。

图1点击“确定”退出。

如果加密的文件夹，此时会弹出对话框，询问仅加密此文件夹还是将此目录下的子文件夹和文件都一起加密。

如图2所示。

本实验选择的是第一个选项。

图2选择过之后，点击“确定”按钮，最后点击“应用”，即可完成加密。

加密完成后，在资源管理器中显示的文件夹的颜色会变为绿色，说明已被EFS加密了。

如图3所示。

这个已经被加密过的文件夹就成为了EFS加密过的目录，以后如果要对某个文件或是文件夹进行EFS加密，可以直接将它们移到这个目录中去，这样就会被自动加密了。

三、E FS解密文件或文件夹取消EFS加密的话直接选择加密过的文件夹，然后点击“属性”，在“常规”选项卡上，单击“高级按钮”；在弹出的窗口中取消勾选“加密内容以便保护数据”复选框即可。

四、E FS数据恢复为避免突发事件，有两种方法可以有效避免数据的丢失。

一种是备份密钥，一种是设置有效的恢复代理。

及时备份密钥如果加密之后重装了系统，那么及时利用原有的用户名和密码也无法打开EFS加密文件，所以要及时的备份密钥，这样重装系统之后也可以打开加密过的文件。

在Win XP中，点击开始---运行，输入certmgr.msc打开证书管理器，点击“证书—当前用户”下的“个人—证书”，如果之前有加密操作，右侧窗口会有与用户名同名的证书，如图4所示。

图4右击预期目的为加密文件系统的证书，选择“所有任务”—“导出”，会弹出“证书导出向导”窗口，如图5所示。

EFS 是基于用户帐户的加密方案，（比喻用户账户【A】对文件进行加密，那么只有用户账户【A】才能访问该文件，切换到用户账户【B】就无法访问该文件）。

在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK (File Encryption Key，文件加密钥匙)，然后将利用FEK和数据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。

一．文件系统转换EFS 必须在NTFS 分区才能使用，如果硬盘分区是FAT32 分区格式，请按照以下步骤转换为NTFS 分区格式：按下【Win + R】→输入【cmd 】并回车→启动命令提示符→输入以下命令：【convert X: /fs:ntfs 】其中X: 为你所要转换的分区盘符，输入完毕后按下回车键，等待完成后关闭窗口即可。

注意：不要在转换过程中关闭命令提示符窗口，以免造成数据丢失。

二．EFS 加密/解密加密右击所要加密的文件或文件夹→【属性】→【高级】→勾选【加密内容以便保护数据】如果将未加密的文件复制到EFS 加密的文件夹中，这些文件将会被自动加密。

如果将加密数据移动或复制到其他NTFS 分区时，数据依旧保持加密属性。

如果将其移动或复制到FAT32 分区时，Windows 会询问是否解密，确认之后Windows会将其解密后复制或移动。

加密之后的文件或文件夹在资源管理器中将以绿色文字显示，如果你使用加密时所用的用户账户登录，那么Windows 会在你访问这些加密数据时自动解密。

如果你使用其它用户账户登录，可进入加密文件夹，但打开加密文件时将提示【拒绝访问】解密如果需要将EFS 加密的数据解密，只要按照上述步骤取消【加密内容以便保护数据】选项即可。

三．EFS 数据导出密钥由于EFS 与用户帐户绑定，所以强烈推荐大家导出EFS 数据恢复密钥，以免Windows 出现问题导致加密数据无法访问。

1.按下【Win + R】→输入【certmgr.msc】→在证书管理器左栏中双击【个人】→【证书】→在右栏中，右击【预期目的为“加密文件系统”】的证书→【所有任务】→【导出】2.在证书导出向导中点击【下一步】→【是，导出私钥】→【下一步】3.选择【个人信息交换】→【下一步】4.【键入密码】→【下一步】→选择【文件的名称和位置】→【下一步】→【完成】Windows 在导出完成之后会弹出对话框提示【导出完成】。

如何在WindowsXP下对文件或者文件夹进行EFS加密、解密风险提示：1、首先检查该电脑的文件系统类型：右键点驱动器 ---> 属性 ---> 常规选项卡。

如果显示的是 FAT32，说明不是 NTFS 文件系统。

如果不是 NTFS 系统需要转换成NTFSa.开始 ---> 运行 ---> 输入cmd ---> 回车。

b.比如说要把C 盘转换一下，输入下面命令，然后回车：（注意：分区格式转换，对数据安全存在分析，建议先备份数据后再操作）convert C: /fs:ntfsc.具体操作时间，根据情况而定。

2.开始对文件进行加密选中整个文件夹 ---> 右键它 ---> 选属性 ---> 常规选项卡 --->点高级 ---> 把加密内容以便保护数据勾上。

加密的文件或文件夹，默认情况下是用绿字显示的。

注意：如果重装了系统，加密的文件就不能打开了（这也是加密的作用所在）。

而且，打不开的文件是没有任何办法可以恢复的。

因为加密用的文件要用“钥匙”打开，重装机器后，这钥匙便没有了。

所以需要在系统正常还没有重装的时候，把这把钥匙备份出来。

3.备份密钥打开 Internet E xp lorer 浏览器 ---> 在工具菜单上 ---> 属性。

于是就打开了 Internet 选项。

点开内容选项卡，中间位置按证书。

a.加密、解密文件需要用到把钥匙，这把钥匙便是证书。

在个人选项卡上会显示一个证书，就是用户名。

选中它，可以看到下面“证书的预期目的”是“加密文件系统”，然后按导出。

b.弹出一个框，按下一步。

c.提示“要将私钥证书一起导出吗？”选“是，导出私钥”，按下一步。

d.默认选项，按下一步。

e.设置导出文件的位置，证书导出到一个文件，选择保存位置。

4.还原文件操作：假设现在重新装好了系统，要把先前备份的文件拿出来用。

之前保存好的 .pfx 文件现在找出来。

efs加密解密原理
EFS（加密文件系统）是Windows操作系统中的一种加密技术，用于将文件和文件夹在存储设备上加密和解密。

以下是EFS加密解密的原理：
1. 生成密钥对：EFS首先生成一对非对称密钥，包括一个公钥和一个私钥。

公钥用于加密文件，私钥用于解密文件。

2. 加密文件：当用户选择对文件或文件夹进行加密时，EFS会使用文件所有者的公钥来加密文件。

该公钥是从文件所有者的用户帐户或证书中提取出来的。

3. 生成文件加密密钥：EFS生成一个随机的文件加密密钥，用于对文件内容进行加密。

该密钥也被称为加密文件的FEK （文件加密密钥）。

4. 用文件加密密钥加密文件内容：EFS使用生成的文件加密密钥对文件的内容进行加密。

这个过程使用对称密钥加密算法，如AES（高级加密标准）。

5. 用文件所有者的公钥加密文件加密密钥：EFS使用文件所有者的公钥对生成的文件加密密钥进行加密，以确保只有文件所有者的私钥才能解密文件加密密钥。

6. 存储加密后的文件：加密后的文件内容和加密后的文件加密密钥都会存储在存储设备上，但是它们都是加密的，只能被拥有正确私钥的用户解密。

7. 解密文件：当文件所有者想要访问加密的文件时，EFS将使用私钥对加密文件的文件加密密钥进行解密。

然后使用解密后的文件加密密钥对文件内容进行解密，以还原原始文件。

总的来说，EFS通过使用非对称密钥加密文件加密密钥和对称密钥加密文件内容的方式，实现了文件的加密和解密。

这种方法有效地保护了敏感数据的机密性，只有拥有正确私钥的用户才能访问和解密加密的文件。

详解EFS加密技术在windows vista下，有两⼤加密技术：EFS和Bitlocker。

其实，EFS加密从windows 2000开始就有了。

如何⽤好EFS加密技术保护⾃⼰数据呢？这⾥进⾏详细说明。

什么是EFS加密加密⽂件系统 (EFS) 是 Windows 的⼀项功能，它允许您将信息以加密的形式存储在硬盘上。

EFS原理：EFS所⽤的加密技术是基于公钥的。

它易于管理，不易受到攻击，并且对⽤户是透明的。

如果⽤户想要访问⼀个加密的NTFS⽂件，并且有这个⽂件的私钥，那么就能像打开普通⽂档那样打开这个⽂件，⽽没有该⽂件的私钥拥护将被拒绝访问。

这是在另⼀个账户下访问加密的⽂件时失败的信息。

其实从设计上来看，EFS加密是相当安全的⼀种公钥加密⽅式，只要别⼈⽆从获得你的私钥，那么以⽬前的技术⽔平来看是完全⽆法破解的。

和其他加密软件相⽐，EFS最⼤的优势在于和系统紧密集成，同时对于⽤户来说，整个过程是透明的。

例如，⽤户A加密了⼀个⽂件，那么就只有⽤户A可以打开这个⽂件。

当⽤户A登录到Windows的时候，系统已经验证了⽤户A的合法性，这种情况下，⽤户A在Windows资源管理器中可以直接打开⾃⼰加密的⽂件，并进⾏编辑，在保存的时候，编辑后的内容会被⾃动加密并合并到⽂件中。

在这个过程中，该⽤户并不需要重复输⼊⾃⼰的密码，或者⼿⼯进⾏解密和重新加密的操作,因此EFS在使⽤时⾮常便捷。

EFS 的⼀些重要功能：加密⽅法⼗分简单；仅须选中⽂件或⽂件夹属性中的复选框即可启⽤加密。

您可以控制哪些⼈能够读取这些⽂件。

在关闭⽂件时⽂件即被加密，但是当打开这些⽂件时，⽂件将会⾃动处于备⽤状态。

如果不再希望对某个已加密的⽂件实施加密，清除该⽂件的属性中的复选框即可。

完全⽀持EFS加密和解密的操作系统包括：Windows Vista Business/Enterprise/Ultimate。

Windows Vista Home Basic/Home Premium只能在有密钥的情况下打开被EFS加密的⽂件，但⽆法加密新的⽂件。