EFS加密的使用和注意事项

在为用户解决问题的过程中,经常会遇到“用户使用我们软件加密了数据,但解密后数据无法打开的情况”。根据用户的提供的信息,才发现原来用户是先使用了系统自带的EFS加密,然后又使用我们的软件加密。即便解除了我们软件的加密,但EFS加密还存在并没有解除。

那什么是EFS加密?EFS加密如何使用?如何判断是否使用了EFS加密?这篇文章就给大家详细介绍一下EFS加密以及使用EFS加密需要注意的事项。

什么是EFS加密?

EFS(Encrypting File System,加密文件系统)是Windows2000以后系统自带的一项加密技术,对于NTFS卷上的文件和数据,都可以直接被操作系统加密保存,在很大程度上提高了数据的安全性。

这项加密技术基于NTFS分区系统,特点是对用户透明。也就是说,在同一台电脑上如果你用某个用户加密了一个文件,那么除了加密的用户谁都无法打开这个文件。非授权用户试图访问加密数据时,就会收到“拒绝访问”的错误提示。(操作系统不同,错误提示也不完全一样。)

而如果你用正确的账户登录,访问加密文件的时候系统实时解密和加密,完全感觉不到差别。默认情况下,加密过的文件名称在电脑中显示为绿色。

EFS加密如何使用?

在目标对象上点击鼠标右键,选择“属性”,打开属性对话框,然后在常规选项卡上点击“高级”按钮,打开高级属性对话框,选中“加密内容以便保护数据”这个选项,反之解密。

如何判断是否使用了EFS加密?

方法1:查看加密文件的名称是否显示为绿色(一般情况下)。

方法2:为了更好地确定是否使用了EFS加密,请在目标对象上点击鼠标右键,选择“属性”,打开属性对话框,然后在常规选项卡上点击“高级”按钮,打开高级属性对话框,查看“加密内容以便保护数据”选项是否勾选。

EFS加密注意事项

1. EFS加密简单好用、安全性高,但如果更换了登录用户,或是重装系统后使用原来的用户名和密码,也无法打开EFS加密文件(夹)。

2. 及时备份密钥,即便重装系统或升级系统,也能打开加密文件。

备份密钥:运行“certmgr.msc”打开证书管理器,在“当前用户/个人/证书”路径下,应该可以看见一个以你的用户名为名称的证书(如果你还没有加密任何数据,这里是不会有证书的)。用鼠标右键点击这个证书,在“所有任务”中点击“导出”。之后会弹出一个证书导出向导,在向导中有一步会询问你是否导出私钥,在这里要选择“导出私钥”,其它选项按照默认设置,连续点击继续,最后输入该用户的密码和想要保存的路径并确认,导出工作就完成了。导出的证书将是一个pfx为后缀的文件。这个pfx文件最好能保存到其他位置,并且要保证该文件的安全。

3. 当用户的密钥丢失后,如重装了操作系统,或者无意中删除了某个帐户,只需恢复密钥即可。

恢复密钥:找到之前导出的pfx文件,用鼠标右键点击,并选择“安装PFX”,之后会出现一个导入向导,按照导入向导的提示完成操作(注意,如果你之前在导出证书时选择了用密码保护证书,那么在这里导入这个证书时就需要提供正确的密码,否则将不能继续),而之前加密的数据也就全部可以正确打开。

4. 如果把未加密的文件复制到具有加密属性的文件夹中,这些文件会被自动加密。若是将加密数据移出来(前提是正在使用的账号有移动/复制/删除加密文件的权限),如果移动到NTFS分区上,数据依旧保持加密属性;如果移动到FAT分区上,这些数据会被自动解密。

5. FAT分区上的文件和文件夹不能被EFS加密,另外标记为“系统”属性的文件,或位于Windows系统目录中的文件也无法使用EFS加密。

EFS相关问题

1. 为什么打开加密过的文件不需要输入密码呢?

这正是EFS加密的一个特性,同时也是EFS加密和操作系统紧密结合的最佳证明。和一般的加密软件不同,EFS加密不是靠双击文件,然后弹出一个对话框,然后输入正确密码来确认用户的;EFS加密的用户确认工作在登录到Windows时就已经进行了。一旦使用正确的账户登录,就能打开相应的任何加密文件,并不需要提供什么额外的密码。

2. 我的加密文件已经打不开了,我能够把NTFS分区转换成FAT32分区来挽救我的文件吗?

这当然是不可能的了。很多人尝试过各种方法,例如把NTFS分区转换成FAT32分区;用NTFS DOS之类的软件到DOS下去把文件复制到FAT32分区等,不过这些尝试都以失败告终。毕竟EFS是一种加密,而不是一般的什么权限之类的东西,这些方法对付EFS加密都是无济于事。而如果你的密钥丢失或者没有做好备份,那么一旦发生事故所有加密过的数据就都没救了。

3. 被EFS加密过的数据是不是就绝对安全了呢?

当然不是,安全永远都是相对的。以被EFS加密过的文件为例,如果没有合适的密钥,虽然无法打开加密文件,不过仍然可以删除。所以对于重要文件,最佳的做法是NTFS权限和EFS加密并用。这样,如果非法用户没有合适的权限,将不能访问受保护的文件和文件夹;而即使拥有权限,没有密钥同样还是打不开加密数据。

4. 我只是用Ghost恢复了一下系统,用户账户和相应的SID都没有变,怎么以前的加密文件也打不开了?

这也是正常的,因为EFS加密所用到的密钥并不是在创建用户的时候生成,而是在你第一次用EFS加密文件的时候。如果你用Ghost创建系统的镜像前还没有加密过任何文件,那你的系统中就没有密钥,而这样的系统制作的镜像当然也就不包括密钥。一旦你加密了文件,并用Ghost恢复系统到创建镜像的状态,解密文件所用的密钥就丢失了。因此这个问题一定需要注意!

编者按

如果选择使用EFS加密,请务必备份密钥。使用EFS加密后,又使用我公司加密软件对已加密数据进行再次加密,解密之后也只是解除了我公司软件的加密,并没有彻底解除EFS加密。为了避免一些问题的出现,我公司加密软件在加密时,对于已经具有加密或压缩属性的文件(夹),会做出如下提示:

安全认证

我们已经获得国内外多家知名安全厂商的安全认证。

成熟、稳定、易用

我们有10余年的成长历史和有上千万的用户。

卓越的服务和技术支持

优质的电话、在线客服、邮件服务和专业的技术支持。