在windows vista系統中，有兩種主要的加密技術：efs和bitlocker。實際上，efs加密功能自Windows 2000以來就已存在。本文將詳細介紹如何有效利用efs加密技術來保護您的重要數據。

什么是EFS加密？

加密文件系統（EFS）是Windows操作系統的一項功能，允許用戶以加密形式將信息存儲在硬盤上。

EFS的工作原理：EFS基于公鑰加密技術。它易于管理，不易遭受攻擊，且對用戶來說是透明的。如果用戶想要訪問一個加密的NTFS文件，并且擁有該文件的私鑰，那么他可以像打開普通文檔一樣輕松打開該文件；反之，沒有私鑰的用戶將無法訪問。

alt=”詳解EFS加密技術” /> 圖中展示了在另一個賬戶下嘗試訪問加密文件時失敗的情況。

從設計上來看，EFS加密是一種非常安全的公鑰加密方式，只要他人的私鑰無法被獲取，目前的技術水平是無法破解的。相比其他加密軟件，EFS的最大優勢在于它與系統緊密集成，且對用戶而言，整個過程是透明的。例如，用戶A加密了一個文件，只有用戶A可以打開該文件。當用戶A登錄Windows系統時，系統已經驗證了用戶A的身份，在這種情況下，用戶A可以在Windows資源管理器中直接打開并編輯自己的加密文件，保存時，編輯后的內容會自動加密并更新到文件中。在此過程中，用戶無需重復輸入密碼或手動進行解密和重新加密操作，因此EFS使用起來非常方便。

EFS的一些重要功能：

• 加密方法非常簡單，只需在文件或文件夾屬性中勾選相應的復選框即可啟用加密。
• 用戶可以控制哪些人能夠讀取這些文件。
• 文件在關閉時自動加密，打開時自動解密。
• 如果不再希望對某個已加密的文件實施加密，只需清除該文件屬性中的復選框即可。
• 完全支持EFS加密和解密的操作系統包括Windows Vista Business/Enterprise/Ultimate。Windows Vista Home Basic/Home Premium只能在有密鑰的情況下打開EFS加密的文件，但無法加密新的文件。

下面以Windows Vista Ultimate為例，介紹如何使用EFS加密功能：

加密和解密文件非常簡單，只需在Windows資源管理器中右鍵點擊要加密或解密的文件或文件夾，選擇“屬性”，打開“屬性”對話框的“常規”選項卡，然后點擊“高級”按鈕，打開“高級屬性”對話框。

alt=”詳解EFS加密技術” />如果希望加密該文件或文件夾，請勾選“加密內容以便保護數據”；如果希望解密文件或文件夾，請取消勾選“加密內容以便保護數據”，然后點擊“確定”即可。如果選擇加密或解密的對象是一個包含子文件夾或文件的文件夾，點擊“確定”后，會看到“確認屬性更改”對話框。

在這里，我們可以決定將該屬性更改應用到哪些對象。例如，如果希望同時加密或解密該文件夾中包含的子文件夾和文件，可以選擇“將更改應用于此文件夾、子文件夾和文件”；如果只希望加密或解密該文件夾本身，則可以選擇“僅將更改應用于此文件夾”。

默認情況下，被加密的文件或文件夾在Windows資源管理器中會顯示為綠色。同時，顯示藍色的表示選擇了“壓縮內容以便節省磁盤空間”：

alt=”詳解EFS加密技術” />當然，可以更改默認設置，打開文件夾選項：

alt=”詳解EFS加密技術” />證書的備份和還原

一個加密密鑰始終與一個加密證書相關聯。要備份加密密鑰，您需要備份用于加密的證書。

許多人在使用EFS加密時吃了虧。如前所述，EFS是一種公鑰加密體系，因此加密和解密操作都需要證書（也稱為密鑰）的參與。例如，許多人會這樣操作：在系統中使用EFS加密文件，某天因為某些原因直接重裝了操作系統，并創建了與舊系統相同用戶名和密碼的賬戶，但發現之前加密的文件無法打開。

如果只是設置了NTFS權限的文件，我們還可以讓管理員獲取所有權并重新指派權限，但對于EFS加密的文件，則完全無能為力，因為解密文件所需的證書已經在系統重裝時消失了。在目前的技術水平下，如果沒有證書，解密文件幾乎是不可能的。

因此，要安全使用EFS加密，必須注意證書的備份和還原，許多人正是因為不了解這一點而吃了虧。幸運的是，從Windows Vista開始，當我們第一次使用EFS加密文件時，系統會提醒我們備份自己的證書。

備份的步驟：

登錄到以前加密文件時所用的賬戶。

1、打開“證書管理器（certmgr.msc）”。如果系統提示您輸入管理員密碼或進行確認，請輸入密碼或提供確認。

alt=”詳解EFS加密技術” />2、點擊“個人”文件夾旁邊的箭頭將其展開。

雙擊證書時，證書的用途將顯示在“常規”選項卡上的“這個證書的用途如下”下面。

點擊“預期用途”下面的列出“加密文件系統”或“允許加密磁盤上的數據”的證書。（可能需要滾動到右側才能看到此信息。如果您還進行過其他需要證書的操作，例如訪問加密網站或使用網絡銀行系統，這里可能會出現多個證書。我們需要的是“預期目的”被標記為“加密文件系統”的證書）

3、點擊“操作”菜單，指向“所有任務”，然后點擊“導出”。

在導出向導中，點擊“是，導出私鑰”，然后點擊“下一步”。（只有將私鑰標記為可導出且可以訪問它時才會顯示該選項。）

4、點擊“個人信息交換”，然后點擊“下一步”。

由于這是用于加密文件系統的證書，因此證書的格式不可選擇，使用默認選項即可。但這里要介紹另外一個選項“如果導出成功，刪除密鑰”。選中該選項后，系統會在成功導出證書后自動將當前系統里的密鑰刪除，這樣加密的文件就無法被任何人訪問了。為什么要這樣做？對于安全性要求較高的文件，我們可以把導出的證書利用U盤等移動設備保存并隨身攜帶，只在需要的時候才導入到系統中，平時系統中不保留證書，這樣可以進一步防止他人在未經授權的前提下訪問機密數據。設置好相應的選項后點擊“下一步”。

alt=”詳解EFS加密技術” />注意：如果可能的話，根據要使用證書的方式選擇要使用的格式。對于帶有私鑰的證書，請使用個人信息交換格式。如果要將一個文件中的多個證書從一臺計算機移到另一臺計算機，請使用加密消息語法標準。如果需要在多個操作系統上使用證書，請使用DER編碼的二進制X.509格式。

5、輸入要使用的密碼，確認該密碼，然后點擊“下一步”。導出過程將會創建一個文件來存儲證書。

輸入文件的名稱和位置（包括完整路徑），或者點擊“瀏覽”，導航至其位置，然后輸入文件名。

6、點擊“完成”。

注意：將EFS證書的備份副本存儲在安全的位置并使用密碼進行保護。

當然，在另一臺計算機上或重裝系統后，要查看加密的文件，必須導入證書，與上面導入相似，這里就不細說了。

對于Windows Vista Ultimate，還可以通過安裝“BitLocker和EFS增強”更新（Windows Ultimate Extras）來將EFS恢復證書保存到microsoft的“數字保險箱”。

alt=”詳解EFS加密技術” /> alt=”詳解EFS加密技術” />這個功能也非常好，而且操作更簡單。

解惑：

有一種錯誤的概念，認為加密文件系統就是給文件加上密碼。實際上，EFS是一種可以將敏感的數據加密并存儲在NTFS文件系統上面的技術，離開了NTFS文件系統它將無法實現。

附錄：

個人信息交換（PKCS #12）個人信息交換格式（PFX，也稱為PKCS #12）允許證書及相關私鑰從一臺計算機傳輸到另一臺計算機或可移動媒體。由于導出私鑰可能使私鑰暴露于無關方，因此PKCS #12格式是此版本的Windows中唯一受支持的用于導出證書及其關聯私鑰的格式。加密消息語法標準（PKCS #7）通過PKCS #7格式可以將某個證書及其證書路徑中的所有證書從一臺計算機傳輸到另一臺計算機，或從計算機傳輸到可移動媒體。DER編碼的二進制X.509 ASN.1的DER（區別編碼規則），如ITU-T Recommendation X.509中所定義，可以由不在運行Windows Server 2003的計算機上的證書頒發機構使用，因此它支持互操作性。DER證書文件使用.cer擴展名。