EFS添加授权用户

例如：A 用EFS加密了 nn 文件夹，B为要添加的授权用户。

首先，登录A，运行 certmgr.msc ，个人--证书，窗口右侧有你当前用户用户加密的证书，右键导出，根据提示导出证书 例如：ce.pfx.

然后，登录B，导入导出的证书，就能访问A加密的nn文件夹了。

以上绝对原创。

答毕。

一样啊 比如你想让bob访问你就把证书给bob，不想让aoa访问就不给aoa证书。

右键点击文件，依次选择“属性→高级→详细信息”，点击“添加”按钮，可以添加其他用户，让该用户也可以打开此EFS加密文件。

如果没有bob用户的话，因为 bob 用户没有对任何文件进行加密。也就没有证书让你选，你可以用bob加密一个文件，然后你再用其他用户加密的时候就能添加bob用户了

加密文件系统。 EFS加密是基于公钥策略的， 对用户是透明的。这也就是说，如果你加密了一些数据，那么你对这些数据的访问将是完全允许的，并不会受到任何限制。 选中NTFS分区中的一个文件，点击鼠标右键，选择“属性”命令，在出现的对话框中点击“常规”选项卡，然后点击“高级”按钮，在出现的对话框中选中“加密内容以便保护数据”选项，点击“确定”即可。 (1)什么是EFS加密EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK(File Encryption Key，文件加密钥匙)，然后将利用FEK和数据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。随后系统利用你的公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件。在首次使用EFS时，如果用户还没有公钥/私钥对(统称为密钥)，则会首先生成密钥，然后加密数据。如果你登录到了域环境中，密钥的生成依赖于域控制器，否则依赖于本地机器。 EFS加密系统对用户是透明的。这也就是说，如果你加密了一些数据，那么你对这些数据的访问将是完全允许的，并不会受到任何限制。而其他非授权用户试图访问加密过的数据时，就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的，只要登录到Windows，就可以打开任何一个被授权的加密文件。 (2)EFS加密选中NTFS分区中的一个文件，点击鼠标右键，选择“属性”命令，在出现的对话框中点击“常规”选项卡，然后点击“高级”按钮，在出现的对话框中选中“加密内容以便保护数据”选项，点击“确定”即可。也可使用cipher命令。用法： 显示或更改 NTFS 分区上的目录[文件]的加密 CIPHER [/E | /D] [/S:directory] [/A] [/F] [/Q] [/H] [pathname [...]] CIPHER /K CIPHER /R:filename CIPHER /U [/N] CIPHER /W:directory CIPHER /X[:efsfile] [filename] /A 在文件及目录上 *** 作。如果父目录没有加密，当加密文件 被修改后，它可能被解密。建议您给此文件和父目录加密。 /D 将指定的目录解密。会标记目录，这样随后添加的文件 就不会被加密。 /E 将指定的目录加密。会标记目录，这样随后添加的文件 就会被加密。 /F 强制在所有指定的对象上进行加密 *** 作，即使这些对象已经 被加密。默认地会跳过已经加密的对象。 /H 显示带隐藏或系统属性的文件。在默认方式下，会忽略 这些文件。 /I 即使发生错误也继续执行指定的 *** 作。在默认方式下， CIPHER 在遇到错误时会停止。 /K 为运行 CIPHER 的用户创建新的加密密钥。如果选择了 此选项，会忽略所有其他选项。 /N 此选项只能与 /U 同时使用。这将阻止更新密钥。此选项 用于查找本地磁盘上所有加密文件。 /Q 只报告最重要的信息。 /R 生成一个 EFS 恢复代理密钥和证书，然后将它们写入一个 .PFX 文件(包含证书和私钥)和一个 .CER 文件(只包含 证书)。管理员可以将 .CER 的内容添加到 EFS 恢复策略， 从而为用户创建恢复代理并导入 .PFX 来恢复单独文件。 /S 在已知目录和所有子目录执行指定的 *** 作。 /U 尝试包括本地磁盘上所有加密的文件。如果用户文件加密 密钥或恢复代理的密钥改变，这会将其更新为当前的密钥。 除了 /N 外，此选项不能与其他选项一起使用。 /W 从整个卷上所有没有使用的磁盘空间删除数据。如果选择了 此选项，会忽略其他选项。指定的目录可以位于本地卷上的 任意位置。如果它是另一个卷上一个目录的装入点， 此卷上的数据将被删除。 /X 将 EFS 证书和密钥备份成文件的文件名。如果提供了 EFS 文件，将会备份当前用户的、用于加密此文件的证书。 否则，将会备份用户当前的 EFS 证书和密钥。 directory 一个目录路径。 filename 没有扩展名的一个文件名。 pathname 指定一个模式、文件或目录。 efsfile 一个加密的文件路径。 不用参数时，CIPHER 显示当前目录和它包含文件的加密状态。您可以 使用几个目录名和通配符。多个参数之间必须有空格。 此时你可以发现，加密文件名的颜色变成了绿色，当其他用户登录系统后打开该文件时，就会出现“拒绝访问”的提示，这表示EFS加密成功。而如果想取消该文件的加密，只需将“加密内容以便保护数据”选项去除即可。 注意：Windows XP Home不支持EFS加密。 (3)EFS解密如果其他人想共享经过EFS加密的文件或文件夹，又该怎么办呢？由于重装系统后，SID(安全标示符)的改变会使原来由EFS加密的文件无法打开，所以为了保证别人能共享EFS加密文件或者重装系统后可以打开EFS加密文件，必须要进行备份证书。 点击“开始→运行”菜单项，在出现的对话框中输入“certmgr.msc”，回车后，在出现的“证书”对话框中依次双击展开“证书-当前用户→个人→证书”选项，在右侧栏目里会出现以你的用户名为名称的证书。选中该证书，点击鼠标右键，选择“所有任务→导出”命令，打开“证书导出向导”对话框。 在向导进行过程中，当出现“是否要将私钥跟证书一起导出”提示时，要选择“是，导出私钥”选项，接着会出现向导提示要求密码的对话框。为了安全起见，可以设置证书的安全密码。当选择好保存的文件名及文件路径后，点击“完成”按钮即可顺利将证书导出，此时会发现在保存路径上出现一个以PFX为扩展名的文件。 当其他用户或重装系统后欲使用该加密文件时，只需记住证书及密码，然后在该证书上点击右键，选择“安装证书”命令，即可进入“证书导入向导”对话框。按默认状态点击“下一步”按钮，输入正确的密码后，即可完成证书的导入，这样就可顺利打开所加密的文件。详细的私钥证书导入方法如下： 设置Windows 恢复代理(以下以magic用户为例): STEP1:首先以magic这个用户登录系统。 STEP2:在“运行”对话框中输入“cipher /r:c:\magic”(magic可以是其他任何名字)回车后要求输入一个密码，随便输入一个回车后便在c盘里出现magic.cer和magic.pfx两个文件。 STEP3:安装magic.pfx证书，输入刚才设置的保护证书的密码，一路按NEXT就完成了证书的安装。 STEP4:在“开始→运行”输入“gpedit.msc”，打开组策略编辑器，在“计算机配置→Windows设置→安全设置→公钥策略→正在加密文件系统”下，右击d出右键菜单，选择“添加数据恢复代理”，打开“添加故障恢复代理向导”打开magic.cer，然后按几次下一步就完成了恢复代理的设置。最后，就可以用magic这个用户名解密加密的文件了。 (4)禁止EFS加密如果你想设置禁止加密某个文件夹，可以在这个文件夹中创建一个名为“Desktop.ini”的文件，然后用记事本打开，并添加如下内容： [Encryption] Disable=1 之后保存并关闭这个文件。这样，以后要加密这个文件夹的时候就会收到错误信息，除非这个文件被删除。 而如果你想在本机上彻底禁用EFS加密，则可以通过修改注册表实现。在运行中输入“Regedit”并回车，打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS，在“编辑”菜单上点击“新建－Dword值”，输入“EfsConfiguration”作为键名，并设置键值为“1”，这样本机的EFS加密就被禁用了。而以后如果又想使用时只需把键值改为“0”。 (5)EFS加密注意事项a.只有NTFS格式的分区才可以使用EFS加密技术 b.第一次使用EFS加密后应及时备份密钥 c.如果将未加密的文件复制到具有加密属性的文件夹中，这些文件将会被自动加密。若是将加密数据移出来则有两种情况：若移动到NTFS分区上，数据依旧保持加密属性；若移动到FAT分区上，这些数据将会被自动解密。 d.被EFS加密过的数据不能在Windows中直接共享 e.NTFSF分区中加密和压缩功能不能同时使用 f.Windows系统文件和文件夹无法加密

建议使用EFS加密，这种办法最安全！

从Windows 2000开始，微软新增了一种叫做EFS的加密方法。这是一种既方便又安全的加密方式，然而人们总是对它敬而远之，为什么呢？一方面，EFS加密方式不像其他加密软件那样容易理解。另一方面，由于EFS的高安全性，如果用户 *** 作不当则很可能导致数据丢失。为了帮助大家理解EFS，避免使用中的错误 *** 作，我们准备了这篇文章，希望你能真正地用好EFS。

提示：要使用EFS，必须满足两个条件：

1. 文件需要保存在NTFS文件系统的分区上。

2. *** 作系统必须支持EFS加密。目前支持EFS的 *** 作系统主要有：Windows 2000、Windows XP Professional、Windows 2003。

EFS加密的优势

既然EFS如此麻烦，为什么不使用更简单的加密方法呢？例如用WinRAR将文件压缩的时候设置密码，这样解压时就需要提供密码，不是很直观吗？其实不然。首先EFS使用密钥加密，不易被破解。虽然Winrar可以给压缩的文件设置密码，但是网上有很多破解工具都可以破解，而EFS自从1999年发布至今，没有听说有谁能够破解。其次，EFS和系统结合紧密，如果你用帐户A加密了数据，那么只有使用帐户A登录系统，才能打开文件。另外，EFS对用户是完全透明的，EFS加密后的文件对于加密者来说，和没有加密的文件是完全一样的，可以直接在资源管理器中打开查看、编辑、删除、复制和移动，所有 *** 作都和平时一样。

加密方法

下面我们就来说说如何将文件（夹）用EFS加密，最简单的办法就是在目标对象上点击鼠标右键，选择“属性”，打开属性对话框，然后在常规选项卡上点击“高级”按钮，打开高级属性对话框，选中“加密内容以便保护数据”这个选项（如图1）。

http://cimg2.163.com/tech/2006/4/12/200604121006287cd2a.jpg

这里有一点需要注意，我们可以对NTFS分区上的文件进行加密或者压缩，然而这两种属性不能同时应用到一个对象上。也就是说，一个文件被加密后就不能被压缩，被压缩后就不能被加密。想要知道文件有没有被加密或者压缩很简单，默认设置下，在Windows资源管理器中，正常文件会用黑色文字显示，而压缩后的文件会用蓝色文字显示，加密后的文件则会用绿色文字显示。

每次加密都需要打开其高级属性对话框，非常麻烦。我们可以打开注册表编辑器，依次展开如下项目：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced，在这里新建一个名为EncryptionContextMenu的DWORD值，并将其数值设置为“1”，这样用鼠标右键点击一个文件或文件夹的时候，右键菜单中就会有加密（如果目标对象尚未被加密）或者解密（如果目标对象已经被加密）选项，只要选择相应的选项就可以直接完成 *** 作（如图2）。

http://cimg2.163.com/tech/2006/4/12/20060412100644e98b9.jpg

如果有一个加密后的文件希望共享，可以首先在这个文件上点击鼠标右键，选择“属性”，打开属性对话框。接着点击常规选项卡上的“高级”按钮，打开高级属性对话框，并点击“详细信息”按钮，打开如图3所示的详细信息对话框。

http://cimg2.163.com/tech/2006/4/12/2006041210070175924.jpg

在这个对话框中点击“添加”按钮，就可以选择你希望可以打开这个文件的用户。不过要注意，这里添加用户并不是添加用户的名称，而是添加用户的公钥，也就是说希望共享文件的用户必须有自己的公钥。

密钥的备份和恢复

你肯定觉得EFS非常简单吧？为什么有很多人在使用EFS的时候出现问题呢？笔者认为最大的原因在于很多人并没有真正理解EFS的加密方式。说到加密，密钥是一个非常重要的概念。EFS是一种公钥加密，那么这里就要说说什么是公钥加密了。在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK (File Encryption Key，文件加密钥匙)，然后利用FEK和数据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。随后系统利用你的公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件。在首次使用EFS时，如果用户还没有公钥/私钥对（统称为密钥），则会首先生成密钥，然后加密数据。

从这段话中我们可以看出两个重点：文件的加密和解密都需要密钥的参与，而密钥分为公钥和私钥两种。很明显，无论是加密还是解密文件，都需要用到个人密钥。加密文件的时候使用公钥，解密文件的时候则使用相对应的私钥。那么无论是丢失了公钥还是私钥，都会给我们的使用带来麻烦，尤其是私钥，丢失之后就再也无法解密文件了。

为了保证数据安全，我们最好能在加密文件之后立即将自己的密钥备份出来，并保存到安全的地方，以防系统崩溃或其他原因导致数据无法解密。如何备份密钥呢？运行“certmgr.msc”打开证书管理器，在“当前用户/个人/证书”路径下，应该可以看见一个以你的用户名为名称的证书（如果你还没有加密任何数据，这里是不会有证书的）。用鼠标右键点击这个证书，在“所有任务”中点击“导出”（如图4）。之后会d出一个证书导出向导，在向导中有一步会询问你是否导出私钥，在这里要选择“导出私钥”，其它选项按照默认设置，连续点击继续，最后输入该用户的密码和想要保存的路径并确认，导出工作就完成了。导出的证书将是一个pfx为后缀的文件。这个pfx文件最好能保存到其他位置，并且要保证该文件的安全。

http://cimg2.163.com/tech/2006/4/12/2006041210073855126.jpg

恢复密钥

当用户的密钥丢失后，例如重装了 *** 作系统，或者无意中删除了某个帐户，我们只要找到之前导出的pfx文件，用鼠标右键点击，并选择“安装PFX”，之后会出现一个导入向导，按照导入向导的提示完成 *** 作（注意，如果你之前在导出证书时选择了用密码保护证书，那么在这里导入这个证书时就需要提供正确的密码，否则将不能继续），而之前加密的数据也就全部可以正确打开。

讲到这里，相信你对EFS的基本使用方法已经有了一个大概的认识，不过光有理论知识是不够的，笔者希望大家都多在实践中掌握EFS的使用。 由于EFS安全性非常高，如果使用不慎或方法不当则可能造成非常麻烦的后果，所以建议大家先用不重要的文件进行EFS加密的试验。

---