高手急救！！！重装系统以后恢复不了加密文件夹！_CMS教程

呵呵，ntfs的加密恢复很复杂。

(EFS)“加密文件系统”完全解读

“加密文件系统”(EFS) 提供一种核心文件加密技术，该技术用于在 NTFS文件系统卷上存储已加密文件。一旦加密了文件或文件夹，你就可以象使用其他文件和文件夹一样使用它们。对加密该文件的用户，加密是透明的。这表明不必在使用前解密已加密的文件。你可以象平时那样打开和更改文件。但是，试图访问已加密文件或文件夹的入侵者将被禁止这些 *** 作。如果入侵者试图打开、复制、移动或重新命名已加密文件或文件夹，将收到拒绝访问的消息。

正如设置其他任何属性（如只读、压缩或隐藏）一样，通过为文件夹和文件设置加密属性，可以对文件夹或文件进行加密和解密。如果加密一个文件夹，则在加密文件夹中创建的所有文件和子文件夹都自动加密。推荐在文件夹级别上加密。

也可以用命令行功能 cipher 加密或解密文件或文件夹。有关 cipher 命令的详细信息，请参看本文附录。

使用 EFS 可以防止在未经授权的情况下获取对物理存储的敏感数据（例如，窃取便携式计算机或 Zip 磁盘）的访问的入侵者，以确保文档安全。

文件加密系统简介

文件加密系统 (EFS) 可以使用户对文件进行加密和解密。使用 EFS 可以保证文件的安全，以防那些未经许可的入侵者访问存储的敏感数据（例如，通过盗窃笔记本电脑或外挂式硬盘驱动器来偷取数据）。

用户可以象使用普通文件和文件夹那样使用已加密的文件和文件夹。加密过程是透明的。EFS 用户如果是加密者本人，系统会在用户访问这些文件和文件夹时将其自动解密，但是不允许入侵者访问任何已加密的文件或文件夹。

使用加密文件

在使用加密文件和文件夹时，请记住下列信息和建议。

重要的 EFS 信息

只有 NTFS 卷上的文件和文件夹才能被加密。

不能加密压缩文件或文件夹。首先必须对文件和文件夹解压缩，然后才能加密。在已压缩的卷上，解压缩所要加密的文件夹。

只有对文件实施加密的用户才能打开它。

不能共享加密文件。EFS 不能用于发布私人数据。

如果将加密的文件复制或移动到非 NTFS 格式的卷上，该文件将会被解密。

使用剪切和粘贴将文件移动到已加密的文件夹。如果使用拖放式 *** 作来移动文件，则不会将它们在新文件夹中自动加密。

无法加密系统文件。

加密的文件夹或文件不能防止被删除。任何拥有删除权限的人均可以删除加密的文件夹或文件。

对于编辑文档时某些程序创建的临时文件，只要这些文件在 NTFS 卷上而且放在已加密文件夹中，则它们也会被加密。为此建议加密硬盘上的 Temp 文件夹。加密 Temp 文件夹可以确保在编辑过程中的文档也处于保密状态。如果在 Outlook 中创建一个新文档或打开附件，该文件将在 Temp 文件夹中创建为加密文档。如果选择将加密的文档保存到 NTFS 卷的其他位置，则它在新位置仍被加密。

在允许进行远程加密的远程计算机上可以加密或解密文件及文件夹。详细信息，请与域管理员联系。然而，如果通过网络打开已加密文件，通过此过程在网络上传输的数据并未加密。其他协议，例如 SSL/PCT 或者 IPSEC 必须用于通过线路加密数据。

恢复策略是当你对第一个文件或文件夹进行加密时自动执行的，以便如果你丢失了文件加密证书和相关的私钥，恢复代理可以给你解密文件。

EFS 推荐

如果你将大多数文档保存在“我的文档”文件夹中，则将对该文件夹加密。这将确保在默认情况下加密个人文档。

加密 Temp 文件夹，使程序创建的所有临时文件自动加密。

加密文件夹而不是加密单独的文件，以便如果程序在编辑期间创建了临时文件，这些临时文件也会加密。

从 Microsoft 管理控制台 (MMC) 的“证书”，使用“导出”命令，可以在软盘上制作文件加密证书和相关私钥的备份副本。将软盘保留在安全位置。那么，如果你丢失了文件加密证书（由于磁盘故障或任何其他原因），则可以从 MMC 的证书中使用“导入”命令从软盘还原证书和相关的私钥，并可以打开加密的文件。

数据加密和解密

文件加密系统 (EFS) 可以使用户在本地计算机上安全地存储数据。EFS 通过在选定的 NTFS 文件和文件夹中加密数据来达到这一目的。

由于 EFS 与文件系统集成在一起，所以它易于管理、难以被攻击而且对用户完全透明。这是一种保护易于盗窃的计算机（便携机）上的数据的典型方法。

FAT 卷中的文件和文件夹不能被加密和解密。而且，EFS 一般用于在本地计算机上安全地存储数据。例如，它不支持加密文件的共享。

EFS 加密密钥

如果用户对指定的文件进行加密，那么对用户来讲实际的数据加密和解密过程是完全透明的。用户不需要了解这个过程。但对管理员来说，以下关于数据如何被加密和解密的说明是十分有用的。

以下说明只适用于文件，而不适用于文件夹。文件夹本身不会被加密，而是文件夹中所包含文件的内容被加密。和文件夹一样，子文件夹不能被加密，但是它们都带有明显标识指出其中包含加密的文件数据。

文件的加密过程如下：

每个文件都有一个唯一的文件加密密钥，用于以后对文件数据进行解密。

文件的加密密钥在文件之中加密的--通过与用户的 EFS 证书对应的公钥进行保护。

文件加密密钥同时受到授权恢复代理的公钥的保护。

文件的解密过程如下：

要解密一个文件，首先要对文件加密密钥进行解密。当用户的私钥与这个公钥匹配时，文件加密密钥就被解密。

用户并不是唯一能对文件加密密钥进行解密的人。恢复代理的私钥同样可以对文件加密密钥进行解密。

当文件加密密钥被解密后，可以被用户或恢复代理用于文件数据的解密。

私钥保存在受保护的密钥存储区，而不是在安全帐户管理器 (SAM) 或单独的目录中。

在远程服务器上存储加密文件

如 Windows 2000 计算机环境中的用户想在远程服务器上存储加密文件，请注意以下信息：

Windows 2000 支持在远程服务器上存储加密文件。然而，这一功能并不支持多个用户对加密文件的远程共享。

用户永远不能在物理存放位置的安全性不好的服务器上存储高敏感度的数据。

加密的数据在网络上传输时是不加密的，只有当它存储在磁盘上时才是加密的。当系统包括网际协议的安全机制 (IPSec) 时例外。IPSec 对传输在 TCP/IP 网络上的数据进行加密。

加密的文件不能从 Macintosh 客户端访问。

用户可以对远程服务器上的文件加密之前，管理员必须指定远程服务器为信任委派。允许在该服务器上拥有这些文件的所有用户对文件进行加密。

加密文件系统和数据恢复

作为系统的整个安全策略的一部分，'加密文件系统'(EFS) 的数据故障恢复是可用的。例如，如果你丢失了文件加密证书和相关的私钥（由于磁盘错误或是其他原因），还是可以通过指定的故障恢复代理来恢复数据。或者，在商业环境中，单位能够在雇员离开后恢复雇员加密的数据。

恢复策略

EFS 通过实施故障恢复策略要求来提供内置数据的故障恢复。要求故障恢复策略必须在用户可以加密文件之前就位。故障恢复策略提供人员，作为被指派的故障恢复代理。当管理员第一次登录到系统上时，默认的故障恢复策略将会自动地添加进去，以便为管理员提供故障恢复代理。

故障恢复代理拥有特殊证书和相关私钥，该私钥允许在故障恢复策略的影响范围内恢复数据。如果是故障恢复代理，请务必在 Microsoft 管理控制台 (MMC) 的证书中使用“导出”命令，将故障恢复证书和相关私钥备份到安全位置。在备份之后，应使用 MMC 中的“证书”管理单元从恢复代理的个人存储区（而不是从恢复策略）删除恢复证书。然后，当需要为用户执行故障恢复 *** 作时，应该首先从 MMC 的“证书”管理单元中使用“导入”命令将故障恢复证书和相关的私钥还原到故障恢复代理的个人存储区。在数据恢复之后，应从恢复代理的个人存储区中再次删除恢复证书。不必重复导出过程。从计算机中删除故障恢复证书并将其保存在安全位置是用于保护敏感数据的附加安全措施。

默认故障恢复策略在本地配置为用于单机。对于网络中的计算机，可以在域、部门或单个计算机一级配置故障恢复策略，并在所定义的影响范围内，将其应用于所有基于 Windows 2000 的计算机。恢复证书由证书颁发机构 (CA) 发布，并使用 MMC 中的证书来管理。

在网络环境中，对于故障恢复策略影响范围中的所有计算机用户，域管理员控制如何执行 EFS。在默认的 Windows 2000 安装中，当安装第一个域控制器时，域管理员是指定的域故障恢复代理。域管理员配置故障恢复策略的方法将决定如何为本地机器上的用户执行 EFS。域管理员登录到第一域控制器以更改域的故障恢复策略。下表解释几种故障恢复策略配置对用户的影响。

空的故障恢复策略无法使用 EFS 没有故障恢复代理删除每个故障恢复代理域等级中没有故障恢复策略可以在本地使用 EFS 默认的故障恢复代理是本地计算机的管理员在第一个域控制器上删除故障恢复策略故障恢复策略以指定的故障恢复代理来配置。可以在本地使用 EFS 默认的故障恢复代理是域管理员网络环境的默认配置

因为 Windows 2000 安全子系统处理故障恢复策略的实施、复制和缓冲，用户能够在暂时脱机的系统上执行文件加密，如便携式计算机（此过程类似于使用缓冲的凭据登录到域帐户）。

故障恢复策略

“故障恢复策略”指计算机环境中的用户在恢复加密的数据时所遵从的策略。故障恢复策略是一种公钥策略类型。

安装 Windows 2000 Server 时，如果已设置第一个域控制器时，将自动对域执行故障恢复策略。域管理员被颁发自签名的证书，该证书将域管理员指派为故障恢复代理。

EFS 通过实施故障恢复策略要求来提供内置数据的故障恢复。要求故障恢复策略必须在用户可以加密文件之前就位。故障恢复策略提供指派为故障恢复代理的人员。当管理员第一次登录到系统时，故障恢复策略将自动就位，让管理员成为故障恢复代理。

配置恢复策略

默认故障恢复策略是为单独的计算机在本地配置的。对于网络中的计算机，可以在域、组织单元或单独计算机级别上配置故障恢复策略，并在所定义的影响范围内将其应用到所有基于 Windows 2000 的计算机。故障恢复证书由证书颁发机构 (CA) 颁发，并用 Microsoft 管理控制台 (MMC) 中的证书来管理。

在网络上，故障恢复策略由域管理员或故障恢复代理设置，它控制策略影响范围内所有计算机的控制恢复项。

由于安全子系统处理故障恢复策略的实施、复制和缓存，因此用户可以在暂时脱机的系统上（如便携机）执行文件加密。（此进程类似于使用缓存的凭据登录到域帐户）。

故障恢复策略的类型

管理员可以定义三种策略中的一种：非故障恢复策略、空故障恢复策略，或者带一个或多个故障恢复代理的故障恢复策略。

故障恢复代理策略。当管理员添加一个或多个故障恢复代理时，故障恢复代理策略生效。这些代理负责在其管理范围内恢复任何加密的数据。这是最常用的故障恢复策略类型。

空故障恢复策略。当管理员删除所有的故障恢复代理及其公钥证书时，空故障恢复策略生效。空故障恢复策略意味着没有故障恢复代理，而且用户无法在故障恢复策略影响范围内的计算机上加密数据。空故障恢复策略的结果是完全关闭 EFS。

非故障恢复策略。当管理员删除组故障恢复策略时，非故障恢复策略生效。由于没有组故障恢复策略，因此单个计算机上的默认本地策略被用于恢复数据。这意味着本地管理员控制其计算机上的数据恢复。

更改故障恢复策略

要更改域的默认故障恢复策略，请以管理员身份登录第一个域控制器。然后，必须通过'Active Directory 用户和计算机'管理单元激活'组策略'，并选择'安全设置'、'公钥策略'和'加密数据的故障恢复代理'。

故障恢复代理

故障恢复代理就是获得授权解密由其他用户加密的数据的管理员。例如，当雇员离开公司而其剩余数据需要解密时故障恢复代理非常有用。在添加域的故障恢复代理之前，必须确保每个故障恢复代理都已经颁发 X509 第三版的证书。

故障恢复代理拥有特殊证书和相关私钥，允许在故障恢复策略的影响范围内恢复数据。如果你是故障恢复代理，请务必在 Microsoft 管理控制台 (MMC) 的证书中使用“导出”命令，将故障恢复证书和相关私钥备份到安全位置。备份完成后，应该使用 MMC 中的证书删除故障恢复证书。然后，在需要为用户执行故障恢复 *** 作时，应该首先从 MMC 的证书中使用“导入”命令还原故障恢复证书和相关私钥。恢复数据之后，应该再次删除故障恢复证书。不必重复导出过程。

要对域添加故障恢复代理，请将它们的证书添加到现有的故障恢复策略中。可以通过“Active Directory 用户和计算机”管理单元激活“添加故障恢复代理”向导来完成。

使用证书

证书是一种帮你申请新的公钥证书并管理现有证书的管理单元。证书由提供身份验证、数据完整性以及在不安全的网络（如 Internet）间进行安全通讯的许多公钥安全服务和应用程序所使用。管理员可以为自己或其他用户、计算机或服务管理证书。用户只管理自己的证书。有关打开管理单元或使用 Microsoft 管理控制台 (MMC) 的信息，请参阅相关信息。

附：Cipher 命令详解

在 NTFS 卷上显示或改变文件的加密。

cipher [/e| /d] [/s:dir] [/a][/i] [/f] [/q] [/h] [pathname []]

1．参数

无

不带参数使用，将显示当前文件夹和其包含文件的加密状态。

加密指定的文件夹。文件夹将被标记，以后添加到此文件夹中的文件将被加密。

将指定的文件夹解密。文件夹将被标记，以后将会不加密添加到此文件夹的文件。

/s: dir

对在给定目录及全部子目录中的文件执行指定 *** 作。

对带指定名称的文件执行所选 *** 作。如果没有匹配的文件，该参数将被忽略。

即使发生错误，系统仍然继续执行指定的 *** 作。默认情况下，遇到错误时 cipher 会停止。

对所有指定的对象进行加密或解密。默认情况下，已加密或解密的文件被跳过。

只报告最基本的信息。

显示带隐藏或系统属性的文件。默认情况下，这些文件是不加密或解密的。

pathname

指定样式、文件或文件夹。

2．范例

要使用 cipher 命令加密文件夹 MonthlyReports 中的子文件夹 May，请键入下列命令：

cipher /e monthlyreports\may

要加密 MonthlyReports 文件夹中的 January 到 December 子文件夹以及 month 子文件夹中的 Manufacturing 子文件夹，请键入：

cipher /e /s:monthlyreports

如果只想加 May 子文件夹中的 Marketingxls 文件，请键入：

cipher /e /a monthlyreports\may\marketingxls

要加密 May 文件夹中的 Marketingxls 文件、Maintenancedoc 文件以及 Manufacturing 子文件夹，请键入：

cipher /e /a monthlyreports\may\ma

要确定 May 是否已加密，请键入：

cipher monthlyreports\may

要确定 May 文件夹中哪些文件已加密，请键入：

cipher monthlyreports\may\

3．注意

加密或解密文件

要防止加密文件在修改时变为解密，建议你将文件和其存放的文件夹两者一同加密。

多个文件夹名称

可以使用多个文件夹名称和通配符。

多个参数

每个参数之间至少有一个空格分隔。

你这个问题很麻烦的,以下资料给你参考一下吧祝你好运!

EFS是Encrypting File System，加密文件系统的缩写，他可以被应用在windows 2000以上的 *** 作系统且为NTFS5格式的分区上(windows xp home不支持)

EFS 只能对存储在磁盘上的数据进行加密,是一种安全的本地信息加密服务EFS使用核心的的文件加密技术在NTFS卷上存储加密文件

它可以防止那些未经允许的对敏感数据进行物理访问的入侵者(偷取笔记本电脑,硬盘等)

EFS是如何工作的

当一个用户使用EFS去加密文件时，必须存在一个公钥和一个私钥，如果用户没有，EFS服务自动产生一对。对于初级用户来说，即使他完全不懂加密，也能加密文件，可以对单个文件进行加密，也可以对一个文件夹进行加密，这样所有写入文件夹的文件将自动被加密。

一旦用户发布命令加密文件或试图添加一个文件到一个已加密的文件夹中，EFS将进行以下几步：

第一步：NTFS首先在这个文件所在卷的卷信息目录下(这个目录隐藏在根目录下面)创建一个叫做efs0log的日志文件，当拷贝过程中发生错误时利用此文件进行恢复。

第二步：然后EFS调用CryptoAPI设备环境设备环境使用Microsoft Base Cryptographic Provider 10 产生密匙,当打开这个设备环境后,EFS产生FEK(File Encryption Key,文件加密密匙)FEK的长度为128位（仅US和Canada），这个文件使用DESX加密算法进行加密。

第三步: 获取公有/私有密匙对;如果这个密匙还没有的话(当EFS第一次被调用时),EFS产生一对新的密匙EFS使用1024位的RSA算法去加密FEK

第四步：EFS为当前用户创建一个数据解密块Data Decryptong Field(DDF),在这里存放FEK然后用公有密匙加密FEK

第五步：如果系统设置了加密的代理,EFS同时会创建一个数据恢复块Data Recovery Field(DRF),然后把使用恢复代理密匙加密过的FEK放在DRF每定义一个恢复代理,EFS将会创建一个Data Recovery Agent(DRA)Winxp没有恢复代理这个功能,所以没有这一步，这个区域的目的是为了在用户解密文件的中可能解密文件不可用。这些用户叫做恢复代理，恢复代理在EDRP(Encryption Data Recovery Policy,加密数据恢复策略)中定义，它是一个域的安全策略。如果一个域的EDRP没有设置，本地EDRP被使用。在任一种情况下，在一个加密发生时，EDRP必须存在（因此至少有一个恢复代理被定义）。DRF包含使用RSA加密的FEK和恢复代理的公钥。如果在EDRP列表中有多个恢复代理，FEK必须用每个恢复代理的公钥进行加密，因此，必须为个恢复代理创建一个DRF。

第六步：包含加密数据、DDF及所有DRF的加密文件被写入磁盘。

第七步: 在加密文件所在的文件夹下将会创建一个叫做Efs0tmp的临时文件要加密的内容被拷贝到这个临时文件,然后原来的文件被加密后的数据覆盖在默认的情况下,EFS使用128位的DESX算法加密文件数据,但是Windows还允许使用更强大的的168位的3DES算法加密文件,这是FIPS算法必须打开,因为在默认的情况下它是关闭的

第八步：在第一步中创建的文本文件和第七步中产生的临时文件被删除。

文件被加密后,只有可以从DDF或是DRF中解密出FEK的用户才可以访问文件这种机制和一般的安全机制不同并意味着要想访问文件,除了要有访问这个文件的权力外还必须拥有被用户的公有密匙加密过的FEK只有使用私有密匙解密文件的用户才可以访问文件这样的话会有一个问题:就是一个可以访问文件的用户可把文件加密之后,文件真正的拥有者却不能访问文件解决这个问题的办法:用户加密文件的时候只创建一个文件解密块Data Decryption Field(DDF),但是只后他可以增加附加用户到密匙队列这种情况下,EFS简单地把FEK用想给其他用户访问权的用户的私有密匙加密然后用这些用户的公有密匙加密FEK,新增加的DDF和第一个DDF放在一起(这些新增加的用户对文件只有访问的权力)

解密的过程和加密的过程是相反的,参考>

NTFS是WinNT以上版本支持的一种提供安全性、可靠性的高级文件系统。在Windows2000和WindowsXP中，NTFS还可以提供诸如文件和文件夹权限、加密、磁盘配额和压缩这样的高级功能。

一、加密文件或文件夹

步骤一：打开Windows资源管理器。

步骤二：右键单击要加密的文件或文件夹，然后单击“属性”。

步骤三：在“常规”选项卡上，单击“高级”。选中“加密内容以便保护数据”复选框

在加密过程中还要注意以下五点：

1要打开“Windows 资源管理器”，请单击“开始→程序→附件”，然后单击“Windows 资源管理器”。

2只可以加密NTFS分区卷上的文件和文件夹，FAT分区卷上的文件和文件夹无效。

3被压缩的文件或文件夹也可以加密。如果要加密一个压缩文件或文件夹，则该文件或文件夹将会被解压。

4无法加密标记为“系统”属性的文件，并且位于systemroot目录结构中的文件也无法加密。

5在加密文件夹时，系统将询问是否要同时加密它的子文件夹。如果选择是，那它的子文件夹也会被加密，以后所有添加进文件夹中的文件和子文件夹都将在添加时自动加密。

二、解密文件或文件夹

步骤一：打开Windows资源管理器。

步骤二：右键单击加密文件或文件夹，然后单击“属性”。

步骤三：在“常规”选项卡上，单击“高级”。

步骤四：清除“加密内容以便保护数据”复选框。

同样，我们在使用解密过程中要注意以下问题：

1要打开“Windows资源管理器”，请单击“开始→程序→附件”，然后单击“Windows资源管理器”。

2在对文件夹解密时，系统将询问是否要同时将文件夹内的所有文件和子文件夹解密。如果选择仅解密文件夹，则在要解密文件夹中的加密文件和子文件夹仍保持加密。但是，在已解密文件夹内创立的新文件和文件夹将不会被自动加密。

以上就是使用文件加、解密的方法！而在使用过程中我们也许会遇到以下一些问题，在此作以下说明：

1高级按钮不能用

原因：加密文件系统(EFS)只能处理NTFS文件系统卷上的文件和文件夹。如果试图加密的文件或文件夹在FAT或FAT32卷上，则高级按钮不会出现在该文件或文件夹的属性中。

解决方案：

将卷转换成带转换实用程序的NTFS卷。

打开命令提示符。键入：

Convert [drive]/fs:ntfs

(drive 是目标驱动器的驱动器号)

2当打开加密文件时，显示“拒绝访问”消息

原因：加密文件系统(EFS)使用公钥证书对文件加密，与该证书相关的私钥在本计算机上不可用。

解决方案：

查找合适的证书的私钥，并使用证书管理单元将私钥导入计算机并在本机上使用。

3用户基于NTFS对文件加密，重装系统后加密文件无法被访问的问题的解决方案(注意：重装Win2000/XP前一定要备份加密用户的证书)：

步骤一：以加密用户登录计算机。

步骤二：单击“开始→运行”，键入“mmc”，然后单击“确定”。

步骤三：在“控制台”菜单上，单击“添加/删除管理单元”，然后单击“添加”。

步骤四：在“单独管理单元”下，单击“证书”，然后单击“添加”。

步骤五：单击“我的用户账户”，然后单击“完成”(如图2，如果你加密用户不是管理员就不会出现这个窗口，直接到下一步) 。

步骤六：单击“关闭”，然后单击“确定”。

步骤七：双击“证书——当前用户”，双击“个人”，然后双击“证书”。

步骤八：单击“预期目的”栏中显示“加密文件”字样的证书。

步骤九：右键单击该证书，指向“所有任务”，然后单击“导出”。

步骤十：按照证书导出向导的指示将证书及相关的私钥以PFX文件格式导出(注意：推荐使用“导出私钥”方式导出，这样可以保证证书受密码保护，以防别人盗用。另外，证书只能保存到你有读写权限的目录下)。

4保存好证书

注意将PFX文件保存好。以后重装系统之后无论在哪个用户下只要双击这个证书文件，导入这个私人证书就可以访问NTFS系统下由该证书的原用户加密的文件夹(注意：使用备份恢复功能备份的NTFS分区上的加密文件夹是不能恢复到非NTFS分区的)。

最后要提一下，这个证书还可以实现下述用途：

(1)给予不同用户访问加密文件夹的权限

将我的证书按“导出私钥”方式导出，将该证书发给需要访问这个文件夹的本机其他用户。然后由他登录，导入该证书，实现对这个文件夹的访问。

(2)在其也WinXP机器上对用“备份恢复”程序备份的以前的加密文件夹的恢复访问权限

将加密文件夹用“备份恢复”程序备份，然后把生成的Backupbkf连同这个证书拷贝到另外一台WinXP机器上，用“备份恢复”程序将它恢复出来(注意：只能恢复到NTFS分区)。然后导入证书，即可访问恢复出来的文件了。

WindowsXP中的文件加密功能及其使用

作者：lvvl 来源：赛迪网安全社区

Windows XP文件加密功能强大并且简单易用，因而许多用户都使用它来保护自己的重要文件。但由于大部分用户对该功能了解不足，在使用过程中经常出现问题，在本刊“电脑医院”中我们也频繁地收到读者的求助信，为此，CHIP在这里将特意为您详细介绍有关该功能的使用技巧。

微软在Windows2000中内建了文件加密功能，该功能后来被移植到WinXP中。使用该功能，我们只需简单地单击几下鼠标就可以将指定的文件或者文件夹进行加密，而且在加密后我们依然可以和没加密前一样方便地访问和使用它们，非常方便。而且加密后即使黑客侵入系统，完全掌握了文件的存取权，依然无法读取这些文件与文件夹。

但简单强大的文件加密功能也给许多用户带来了困扰。由于使用简单，许多用户都乐于使用它来保护自己的重要文件，但大部分用户由于缺乏对该功能的真正了解，在使用时泄密、无法解密等问题频繁发生，恰恰被加密的文件往往是重要的文件，影响非常大。为此，笔者特意整理了有关该功能的一些相关知识和使用技巧与您分享。

加密和解密文件与文件夹

Windows2000系列和WinXP专业版及Windows2003的用户都可使用内建的文件加密功能，但前提是准备加密的文件与文件夹所在的磁盘必须采用NTFS文件系统。同时要注意，由于加密解密功能在启动时还不能够起作用，因此系统文件或在系统目录中的文件是不能被加密的，如果 *** 作系统安装目录中的文件被加密了，系统就无法启动。另外，NTFS文件系统还提供一种压缩后用户可以和没压缩前一样方便访问文件与文件夹的文件压缩功能，但该功能不能与文件加密功能同时使用，使用ZIP、RAR等其他压缩软件压缩的文件不在此限。

加密时，只需使用鼠标右键单击要加密的文件或者文件夹，然后选择“属性”，在“属性”对话框的“常规”选项卡上单击“高级”按钮，在“高级属性”对话框上选中“加密内容以保护数据”复选框并确认即可对文件进行加密，如果加密的是文件夹，系统将进一步d出“确认属性更改”对话框要求您确认是加密选中的文件夹，还是加密选中的文件夹、子文件夹以及其中的文件。而解密的步骤与加密相反，您只需在“高级属性”对话框中清除“加密内容以保护数据”复选框上的选中标记即可（如图1），而在解密文件夹时将同样d出“确认属性更改”对话框要求您确认解密 *** 作应用的范围。

图1

加密后，用户可以像使用普通文件一样直接打开和编辑，又或者执行复制、粘贴等 *** 作，而且用户在加密文件夹内创建的新文件或从其他文件夹拷贝过来的文件都将自动被加密。被加密的文件和文件夹的名称将默认显示为淡绿色，如您的电脑上被加密的文件和文件夹的名称不是彩色显示，您可以单击“我的电脑|工具|文件夹选项”，然后在“文件夹选项”对话框中单击“查看”选项卡，选中“以彩色显示加密或压缩的NTFS文件”复选框即可。

赋予或撤销其他用户的权限

如果需要，您可赋予其他用户对加密文件的完全访问权限，但要明白，Windows所采用的是基于密钥的加密方案，并且是在用户第一次使用该功能时才为用户创建用于加密的密钥，因此您准备赋予权限的用户也必须曾经使用过系统的加密功能，否则将无法成功赋予对方权限。Windows内建的文件加密功能只允许赋予其他用户访问加密文件的完全权限，而不允许将加密文件夹的权限赋予给其他用户。

要赋予或撤销其他用户对加密文件的访问权限，可用鼠标右键单击已加密的文件，选择“属性”，在“属性”对话框的“常规”选项卡上单击“高级”按钮，在“高级属性”对话框中单击“详细信息”按钮，即可通过“添加”和“删除”按钮添加或删除其他可以访问该文件的用户。

备份密钥

有许多读者在系统发生故障或重新安装系统以后，无法再访问之前他们加密过的文件与文件夹而向本刊“电脑医院”求助。但此时为时已晚，Windows内建的加密功能与用户的账户关系非常密切，同时用于解密的用户密钥也存储在系统内，任何导致用户账户改变的 *** 作和故障都有可能带来灾难，要避免这种情况的发生，您必须未雨绸缪，在使用加密功能后马上备份加密密钥。

备份密钥的 *** 作并不复杂，您只需单击“开始|运行”，键入“certmgrmsc”打开证书管理器，在左边窗口中依次单击控制台，打开“证书-当前用户”下的“个人”中的“证书”，然后在右边窗口中用鼠标右键单击“预期目的”是“加密文件系统”的证书，指向“所有任务|导出”，系统将打开“证书导出向导”指引您进行 *** 作，向导将询问您是否需要导出私钥，您应该选择“导出私钥”，并按照向导的要求输入密码保护导出的私钥，然后选择存储导出后文件的位置即可完成。

建议您将导出的证书存储在系统盘以外的其他磁盘上，以避免在使用磁盘镜像之类的软件恢复系统时将备份的证书覆盖掉。备份后，当加密文件的账户出现问题或重新安装了系统后需要访问或解密以前加密的文件时，您只需要使用鼠标右键单击备份的证书，选择“安装PFX”，系统将d出“证书导入向导”指引您的 *** 作，您只需要键入当初导出证书时输入用于保护备份证书的密码，然后选择让向导“根据证书类型，自动选择证书存储区”即可完成，完成后就可以访问以前的加密文件了。

指定恢复代理

如果您同时使用多个账户或者与其他用户共用一台电脑，担心更换账户或者其他账户加密的文件出问题，那么您可以考虑指定一个文件故障恢复代理，恢复代理可以解密系统内所有通过内建加密功能加密的文件，一般用于网络管理员在网络上处理文件故障，并能使管理员在职员离职后解密职员加密的工作资料。在Win2000中，默认Administrator为恢复代理，而在WinXP上，如果需要恢复代理则必须自行指定。但需要注意，恢复代理只能够解密指定恢复代理后被加密的文件，所以您应该在所有人开始使用加密功能前先指定恢复代理。

如果您所使用的电脑是企业网络中的，那么您需要联系管理员查询是否已经制定了故障恢复策略，而如果您只是在使用一台单独的电脑，那么您可以按照下面的步骤指定恢复代理。首先，您需要使用准备指定为恢复代理的用户账户登录，申请一份故障恢复证书，该用户必须是管理员或者拥有管理员权限的管理组成员。对于企业网络上的电脑，登录后可以通过上面介绍过的“证书管理器”，在“使用任务”中的“申请新证书”中向服务器申请。而在个人电脑上，您必须单击“开始|附件|命令提示符”，在命令行窗口中键入“cipher /r:c:\efstxt”（efstxt可以是任一文件），命令行窗口将提示您输入保护证书的密码并生成我们需要的证书。生成的证书一个是PFX文件，一个是CER文件，先使用鼠标右键单击PFX文件，选择“安装PFX”，通过d出的“证书导入向导”选择“根据证书类型，自动选择证书存储区” 导入证书。

图2

禁止加密功能

在多用户共用电脑的环境下，我们往往通过将其他用户指定为普通用户权限，限制他们使用某些功能，但由于普通用户账户默认允许使用加密功能，因此在一些多用户共用的电脑上经常会带来一些困扰。如果担心电脑上其他用户乱加密磁盘上的文件，您可以设置特定的文件夹禁止被加密，也可以完全禁止文件加密功能。

如果您希望将某个文件夹设置为禁止加密，可以编辑一个文本文件，内容包括“[Encryption]”和“Disable=1”两行，然后命名为“Desktopini”，将其放到不希望被加密的文件夹中即可。当其他用户试图加密该文件夹时，系统将提示用户该文件夹加密功能被禁止。但需要注意，您只能使用这种方法禁止其他用户加密该文件夹，文件夹中的子文件夹将不受保护。

如果需要，您也可以完全禁止文件加密功能，在Win2000中，只需使用Administrator登录并运行“secpolmsc”打开策略编辑器，用鼠标右键单击左边控制台上的“安全设置|公钥策略|加密文件系统”，选择“属性”，在属性对话框上清除“允许用户使用文件加密系统（EFS）来加密文件”复选框上的选中标记，然后重新启动电脑即可。而在WinXP上虽然也有相应的选项，但实际上并不能够起作用，您需要通过编辑注册表来禁止文件加密功能。首先单击“开始|运行”，键入“regeditexe”打开注册表编辑器，依次单击 “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\EFS”，再用鼠标右键单击建立一个“DWORD”值，双击新建的值并赋值为“1”，关闭注册表后重新启动电脑。这样，当其他用户试图使用文件加密功能时，系统将提示加密功能已被禁止（如图3）。

图3

防止泄密

由于对文件加密功能缺乏了解，许多读者对该功能是否能够真正发挥作用抱有怀疑态度，而另外一些用户却又因为过分地放心而导致泄密事件频繁发生。首先，对于该功能的加密效果您大可放心，不必因为在您使用加密文件时不需要输入密码而怀疑加密效果，在加密后能够透明地使用恰恰正是该功能的优点。虽然有一些第三方软件曾经成功地破解使用该功能加密的文件，但这种软件暂时对于Windows XP是无效的，而且即使在其他版本的Windows *** 作系统上，也是可以避免的。

但您需要小心由于自己的失误引起加密失效，也需要了解该功能的特点。Windows XP内建的文件加密功能与用户的账户是联系在一起的，换言之，如果您的Windows账户没有保护好，密码被其他人获得，那么对方也就可以像您一样登录系统访问加密的文件。另外，当已加密的文件被拷贝或者移动到非NTFS文件系统磁盘上时，文件将被解密。在文件通过网络传输时，也是以明文方式进行传输的。这些您都需要清楚，避免错误 *** 作引起泄密。而最主要的是加密后的文件并不是绝对安全的，虽然可以确保不被读取，但却无法避免被删除。

此外，在加密文件的过程中，系统将把原来的文件存储到缓冲区，然后在加密后将原文件删除。这些被删除掉的文件在系统上并不是不可能恢复的，通过磁盘文件恢复工具很有可能被恢复过来而造成泄密，此时您需要考虑通过其他磁盘安全工具，或者使用系统内建的“cipher”命令对磁盘上的已删除文件进行清除，具体的步骤是，单击“开始|附件|命令提示符”，在命令行窗口中键入“cipher /w C:\foldername”即可清除C盘foldername文件夹中已删除文件残留的碎片，如果不输入文件夹名称则将对整个磁盘进行清理。

疑难排解

当您的Windows登录账户变更而无法访问已加密的文件时，由于用户的账户名称或者密码变更时将无法与原来的加密证书联系上，因而您需要考虑是否在使用其他账户时更改了当前账户的名称或者密码？又或者是管理员进行了这样的 *** 作？如果的确如此，您可以尝试将自己的账户名称和密码更改成原来的，问题应该能够解决。但需要注意，根据微软的说法，改回账户名称与密码的方法在管理员账户上可能无效，而且如果您的账户并不是改变而是被删除后重建，也就是说是一个全新的账户，那么您只能够求助于恢复代理或者导入备份的证书。

如果您已经重新格式化了硬盘、重新安装了系统又或者使用尚未加密文件时的系统盘镜像恢复了系统而导致无法访问加密文件，那么您只能够通过导入自己的证书或者恢复代理的方法来解决问题，这时基本上已经没有其他方法可以帮助您取回文件。另外，Windows XP SP1版后使用了新的加密算法，如果您加密时使用的是Windows XP SP1版本，那么当您尝试挽救数据时也应该使用该版本，或者未来的更新版本，否则在其他版本上乱试，加密文件可能会损毁。

系统安全深入理解加密文件系统EFS

微软在NTFS40及后续版本的文件系统中，捆绑了两个功能强大的工具：压缩文件系统和加密文件系统。这个选项在文件夹的属性-高级里面。是一个单选框。压缩文件系统在这里就不多提了，不过有一点，可能有心的朋友注意得到，就是这两个选项不可以同时选。这个原因很简单，因为不论是加密文件还是压缩文件，我们都是在改变文件，我们通过改变他们的读码框架来加密或者压缩文件。这里可能有人要问，WinRAR为什么可以及加密文件又压缩文件。其实WinRAR加密的方法是在基于WinRAR这个文件压缩系统，而不是基于文件本身。我们还是言归正传。

这里面要提到的一点叫做加密方式。相信有些朋友对Alice和Bob这两个名字非常熟悉，这两个名字最早用于IBM出版的一本图书中，用来解释对称加密和非对称加密。对称加密，简单一点说就是加密所使用的密码和解密所使用的密码是同一个密码。非对称呢，加密使用的和解密是不同的密码。这个不同的密码，一个被称为私钥，另一个就是公钥。从名字上面可以看出来，私钥，是无论如何不会公开的，公钥，则是发布出去的。

详细解释一下，熟悉非对称加密的朋友可以跳过这一段。egAlice要发送一份敏感数据给BOB，显然需要加密。非对称加密，使用两个不同的密码加密和解密。就是说，如果alice的公钥和私钥为一组密码，分别是alice的公钥和alice的私钥。那么，用alice公钥加密的东西只有使用alice的私钥可以解密，对应的，如果使用alice公钥加密的东西，只有alice的私钥可以解开。那么对于bob也是一样。如果我们采用对称加密的方法，也就是加密和解密的过程使用的是一个密码，那么这个密码是无论如何不能被第三方截获的。互联网络，可以截获；电话，可以监听；甚至当面交换，都可以被窃听。所以这是对称加密的一个重大缺陷。如果采用非对称加密，alice和bob都不公开自己的私钥，然后他们在交换信息前，互相交换公钥。这样，alice使用bob的公钥加密alice要给bob的文件，这个使用bob公钥加密过的文件，仅有bob的私钥可以解开。而bob从来没有公开过他的私钥，所以，我们看到，这样的加密，是安全的。这个信息加密解密，交换公钥的过程，就是非对称加密。

解释过非对称加密，我们也可以简单的比较出两者在安全性上的优越性。不过非对称加密一个重要的缺陷，就是运算时间很长，对称加密在工作效率上可能是非对称加密的100-1000倍。所以微软也是在看到这一点后，在EFS中集成了两者的优点。EFS使用了对称加密和非对称加密结合的工作方式，即先生成一个字符串作为密钥采用对称加密方法加密文件，然后，再使用非对称加密加密这个密钥。这个密钥具体位数我记不得了，大约在70位。这里出现一个问题，实际在 *** 作系统中，公钥和私钥是怎么获得的？为什么管理员可以解开所有用户的加密文件？

依照微软的白皮书中解释，加密文件系统中的用户证书的获得，有两种途径，一个是从CA(CertificationAuthority)获得，另一种是在企业级CA失效的时候由本机为自己颁发一个数字证书。这里需要解释的是证书和密钥的关系，证书是密钥的载体，在证书中包含了密钥。这里可能又有人要问，用户的私钥是存放在什么地方？用户的私钥是通过另外一种验证机制实现的，这个在系统层面，日后我会写文章加以阐释。除了这两个密钥，还有一个用于直接加密文件的密钥，这个根据用户自己的SID计算出来的，微软没有公开这方面的信息，还请有心人共同尝试理解其中的工作原理。管理员之所以可以管理所有用户的加密文件，是为了保证系统的稳定，如果每一个用户的文件都只有创建者可以修改，那么计算机可能因此陷入混乱的状态。

近日听闻有些软件可以破解微软的EFS，我本为之兴奋，结果下载后研究了一下，这种软件的工作原理是备份出管理员的帐户信息，通过ERA(紧急恢复代理)实现加密文件的恢复。事实上，如果用户不慎在重新安装系统的时候忘记备份出相应的密钥，那么这个加密过的文件可能永远打不开。这一点不难理解，因为每一次安装 *** 作系统， *** 作系统会随即生成一个SID号，当然，如果用户的人品足够好，还是可能生成一样的SID号的（开个玩笑）。关于备份管理员账号和密码，可以通过Windows2000及后续版本中内建的忘记密码向导来帮助备份密码。希望可以给大家一些帮助。

加密文件系统的最佳做法

察看本文应用于的产品

文章编号 : 223316

最后修改 : 2006年8月16日

修订 : 120

本文的发布号曾为 CHS223316

本页

概要

更多信息

如何启用加密文件系统文件共享

如何为多个用户加密文件

如何使用加密文件系统进行加密和解密

加密文件夹

加密文件夹及其内容

解密文件夹

其他信息

文件是如何加密的

为什么必须备份证书

如何备份证书

概要

Microsoft Windows 具有对使用 NTFS 文件系统的卷上的数据直接加密的功能，以便其他用户无法使用该数据。如果在对象的“属性”对话框中设置了属性，则可以对文件和文件夹进行加密。

由于加密/解密过程对用户而言是透明的，应确保要使用文件加密的组织充分宣传有关其用法的坚定准则。

回到顶端

更多信息

以下是标准做法的列表： • 指导用户将其证书和私钥导出到可移动媒体中，并且在不使用媒体时妥善保存它。为了尽可能获得最高安全性，在不使用计算机时，一定要从计算机中删除私钥。这可以防止对计算机具有物理访问权限的攻击者试图访问该私钥。在必须访问加密的文件时，可以从可移动媒体轻松导入私钥。

• 应加密所有用户的 My Documents 文件夹 (User_profile\My Documents)。这可以确保该个人文件夹在默认情况下已加密，因为大多数文档都存储在这里。

• 指导用户不要加密单个文件，而是加密文件夹。程序以各种方式对文件进行处理。在文件夹级别统一加密文件，可以确保文件不会被意外解密。

• 与恢复证书关联的私钥是极其敏感的。这些密钥必须在物理安全的计算机上生成，或者必须将其证书导出到 pfx 文件中，该文件不仅要用强密码保护，而且保存该文件的磁盘一定要存放在物理安全位置。

• 恢复代理证书必须分配给不用于任何其他用途的专用恢复代理帐户。

• 更改恢复代理时不要毁坏恢复证书或私钥。（代理会定期更改。）保留所有这些证书或私钥，直到用它们加密的所有文件都得到更新为止。

• 根据组织单位 (OU) 的大小，为每个组织单位指定两个或多个恢复代理帐户。指定两台或多台计算机用于恢复，为每个恢复代理帐户分别指定一台。为适当的管理员授予使用恢复代理帐户的权限。最好拥有两个恢复代理帐户，以便为文件恢复提供冗余。在两台计算机上保留这些密钥，可以提供更多冗余以便能够恢复丢失的数据。

• 执行恢复代理存档程序，以确保可使用过期恢复密钥恢复加密的文件。必须导出恢复证书和私钥，并以安全的受控方式保存它们。理想情况下，存档就像所有安全数据一样，必须存储在访问受控制的电子仓库中，并且您必须有两份存档：一个主存档和一个备份存档。主存档应保存在现场，而备份存档应位于现场之外的安全位置。

• 避免在打印服务器体系结构中使用打印假脱机文件，或者确保在加密的文件夹中生成打印假脱机文件。

• 每次用户加密和解密文件时，加密文件系统都会占用一些 CPU 开销。请明智地计划服务器使用情况。如果有许多客户端在使用加密文件系统 (EFS)，请平衡服务器的负载。

回到顶端

如何启用加密文件系统文件共享

在 Microsoft Windows XP 中，EFS 支持在多个用户之间共享加密文件。利用此支持，您可授予单个用户访问加密文件的权限。只能向单个文件添加其他用户。Microsoft Windows 2000 和 Windows XP 都不支持向文件夹添加多个用户。此外，EFS 也不支持对加密的文件使用组。

加密文件后，可通过用户界面中的一个新按钮来启用文件共享。必须首先加密文件，然后保存该文件，之后才能添加其他用户。可以从本地计算机或 Active Directory 目录服务（如果用户拥有有效的 EFS 证书）添加用户。只能向单个文件添加其他用户。不支持向 EFS 加密文件夹添加多个用户。此外，只有单个用户可以被添加到文件。EFS 不支持对加密的文件使用组。

有关如何对文件夹和文件启用 EFS 加密的信息，请参见“如何使用加密文件系统进行加密和解密”部分。

如何为多个用户加密文件

注意：此过程仅适用于 Windows XP。无法在 Windows 2000 中为多个用户加密文件。

为此，请按照下列步骤 *** 作： 1 启动 Microsoft Windows 资源管理器，然后选择要向其中添加其他用户的加密文件。

2 右键单击加密文件，然后单击“属性”。

3 单击“高级”以访问 EFS 设置。

4 单击“详细信息”以添加其他用户。

5 单击“添加”。“添加”对话框将显示个人存储区中的任何其他支持 EFS 的证书，或“其他人”和“受信任人”证书存储区中的任何其他用户的同类证书。

如果您要添加的用户不在其中，请单击“查找用户”以搜索 Active Directory。将显示“选择用户”窗口。出现一个对话框，它根据您的搜索条件显示 Active Directory 中的有效 EFS 证书。如果没有为该用户找到有效证书，将显示一条消息，通知您没有适用于选定用户的证书。在这种情况下，目标用户必须将其证书副本发送给您，以便导入。然后您就可以将他们添加到加密文件中。

6 选择要添加的用户的证书，然后单击“确定”。您将返回到“详细信息”选项卡，该选项卡将显示有权访问加密文件的多个用户以及用户的 EFS 证书。

7 重复此过程，直到添加完所有要添加的用户为止。单击“确定”以注册更改并继续。

注意：如果进行解密的用户对文件拥有写权限，则可解密文件的任何用户都可以删除其他用户。

回到顶端

如何使用加密文件系统进行加密和解密

按照以下步骤 *** 作，可使用加密文件系统加密和解密文件或文件夹。

注意：这些指南适用于 Windows 2000 和 Windows XP。

加密文件夹

尽管您可以分别加密各个文件，但极力建议您指定一个特定文件夹来存储加密的数据。

加密文件夹及其内容

尽管您可以分别加密各个文件，但一般来说，最好还是指定一个特定文件夹来存储加密的文件，然后加密该文件夹。这样一来，在该文件夹中创建的所有文件或移至该文件夹的文件，都将自动获得加密属性。

要加密文件夹及其当前内容，请按照下列步骤 *** 作： 1 右键单击要加密的文件夹，然后单击“属性”。

2 在“属性”对话框中，单击“高级”。

3 将出现一个“高级属性”对话框，显示用于压缩和加密的属性选项。此对话框还包含存档和索引属性。

注意：尽管 NTFS 文件系统既支持压缩又支持加密，但不同时支持压缩和加密。这意味着您只能选择其中之一。不能同时加密并压缩文件或文件夹。

要加密文件夹，请单击以选中“加密内容以便保护数据”复选框，然后单击“确定”。

4 单击“确定”以关闭“高级属性”对话框。

5 如果您在步骤 1 至 3 中选择要加密的文件夹中已包含有文件，则会出现“确认属性更改”对话框。

可以选择仅加密文件夹，以便所有以后移至该文件夹的文件或在该文件夹中创建的文件都会被加密。如果还想加密此文件夹的所有内容，请单击“将改动应用于这个文件夹、子文件夹和文件”，然后单击“确定”。

解密文件夹

解密文件夹时所使用的过程与上述过程基本相同，只是顺序相反： 1 右键单击要解密的文件夹，然后单击“属性”。

2 单击“高级”。

3 单击以清除“加密内容以便保护数据”复选框，以解密数据。

4 单击“确定”以关闭“高级属性”对话框。

5 单击“确定”以关闭“属性”对话框。

6 如果该文件夹中含有文件，则会出现“确认属性更改”对话框。可以选择仅解密该文件夹。但是，这样不会解密该文件夹中当前包含的任何文件。

如果要解密此文件夹的所有内容，请单击“将改动应用于这个文件夹、子文件夹和文件”，然后单击“确定”。

回到顶端

其他信息

文件是如何加密的

文件是使用算法进行加密的，算法实质上就是对数据进行重新排列、加密然后编码。当加密第一个文件时，会随机生成一个密钥对。密钥对由一个私钥和一个公钥组成，用于编码和解码加密的文件。

如果密钥对丢失或损坏，并且没有指定恢复代理，则无法恢复数据。

为什么必须备份证书

如果加密时所使用的证书损坏或丢失，则无法恢复数据，因此必须备份证书并将其存储在安全位置，这一点至关重要。也可以指定恢复代理。此代理可以恢复数据。恢复代理的证书与用户证书分别用于不同目的。

如何备份证书

要备份证书，请按照下列步骤 *** 作： 1 启动 Microsoft Internet Explorer。

2 在“工具”菜单上，单击“Internet 选项”。

3 在“内容”选项卡的“证书”部分，单击“证书”。

4 单击“个人”选项卡。

注意：根据您是否安装了用于其他目的的证书，可能会出现多个证书。

5 每次选择一个证书，直到“证书的预期目的”字段显示“加密文件系统”。这是加密第一个文件夹时生成的证书。

6 单击“导出”以启动“证书导出向导”，然后单击“下一步”。

7 单击“是，导出私钥”以导出私钥，然后单击“下一步”。

8 单击“启用加强保护”，然后单击“下一步”。

9 键入密码。（必须用密码保护私钥。）

10 指定要保存该密钥的路径。密钥可保存在软盘、硬盘上的其他位置或 CD 中。如果硬盘出现故障或进行重新格式化，则密钥和备份将丢失。（如果将密钥备份到软盘或 CD 上，则必须将该软盘或 CD 存放到安全位置。）

11 指定目标位置，然后单击“下一步”。

有关加密文件系统 (EFS) 的其他信息，请访问下面的 Microsoft 网站：

Windows 2000 中的加密文件系统

如果你没有备份私钥，重装系统之后，EFS加密文件就会打不开。假如发生了这样的事情，对于Win2000系统，可以使用恢复代理来解密，即用Administrator这个用户登录系统，然后就能打开加密文件了；如果系统是WinXP，目前还没有办法打开加密文件，因为EFS加密现在还无人能破解，既找不到破解软件，也没有破解方法。因此最后还是要提醒你，加密之后一定要备份私钥！只要你备份了PFX私钥文件，EFS加密就不会出问题

建议你以后可以使用其他的加密方法比如文件夹加密超级大师软件啦。加密 *** 作方便安全。具有文件加密、文件夹加密、数据粉碎、彻底隐藏硬盘分区、禁止或只读使用USB存储设备等功能。在加密上非常专业。

EFS是Encrypting File System，加密文件系统的缩写，他可以被应用在windows 2000以上的 *** 作系统且为NTFS5格式的分区上(windows xp home不支持)

EFS 只能对存储在磁盘上的数据进行加密,是一种安全的本地信息加密服务EFS使用核心的的文件加密技术在NTFS卷上存储加密文件

它可以防止那些未经允许的对敏感数据进行物理访问的入侵者(偷取笔记本电脑,硬盘等)

EFS是如何工作的

一旦用户发布命令加密文件或试图添加一个文件到一个已加密的文件夹中，EFS将进行以下几步：

第三步: 获取公有/私有密匙对;如果这个密匙还没有的话(当EFS第一次被调用时),EFS产生一对新的密匙EFS使用1024位的RSA算法去加密FEK

第四步：EFS为当前用户创建一个数据解密块Data Decryptong Field(DDF),在这里存放FEK然后用公有密匙加密FEK

第六步：包含加密数据、DDF及所有DRF的加密文件被写入磁盘。

第八步：在第一步中创建的文本文件和第七步中产生的临时文件被删除。

加密过程可参考 >

以上就是关于高手急救！！！重装系统以后恢复不了加密文件夹！全部的内容，包括:高手急救！！！重装系统以后恢复不了加密文件夹！、文件被权限限制,怎么办、“配额不足，无法处理此命令” 紧急求助电脑高手等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！

欢迎分享，转载请注明来源：内存溢出

原文地址: http://outofmemory.cn/zz/10213991.html

高手急救！！！重装系统以后恢复不了加密文件夹！

发表评论

评论列表（0条）