快速煉成EFS加密達人

帷幄

在平時的學習或工作中，免不了要用一些專業的加密工具，保護重要的數據文件。為了圖方便，很多人就地取材，都選擇了Windows系統自帶的EFS加密功能，來保證重要數據文件的訪問安全！EFS加密看似簡單，不過在實際加密過程中，有些人常常會受到各種各樣的困擾，例如，不知道如何加密、解密，不知道如何管理加密文件，不知道加密文件和證書的關聯，不知道EFS加密功能與NTFS分區的聯系等等。那么如何在很短的時間內弄清楚這些問題，快速煉成EFS加密達人呢？

EFS與NTFS之間的關聯

EFS的全稱為“Encrypting File System”，含義為加密文件系統，使用該加密方式對重要數據文件加密時，它會自動創建好文件加密鑰匙，并利用該鑰匙與特殊算法生成加密文件，同時刪除原始文件。這個加密過程很透明，用戶感覺不到密鑰的使用，主要是因為Windows系統在后臺，悄悄將加密的文件、用戶的證書和安全標識符之間建立了聯系。

Windows系統將加密生成的密鑰內容自動保存在NTFS系統中，通過與NTFS分區的內在聯系，讓用戶日后在訪問已經加密了的文件時，不需要輸入密鑰內容，從而產生透明的感覺。換句話說就是，用戶對某個文件進行了EFS加密后，再次訪問它時，還是不會受到任何限制。但其他人訪問這個文件時，卻會出現“訪問拒絕”之類的錯誤。EFS加密方式對用戶的安全認證是在登錄系統時進行的，只要用戶可以順利登錄進入Windows系統，任何EFS加密文件都能正常訪問到。

當位于NTFS分區中的EFS加密文件，被拷貝到FAT格式的磁盤分區中時，文件的加密屬性就會自動消失，這時文件就不會受到EFS加密功能的安全保護了。當然，移動、拷貝EFS加密文件是有條件的，用戶必須要擁有目標文件的安全證書才行，如果該證書已被刪除或丟失，那么日后即使用戶獲得了系統管理員權限，即使用戶重新創建安全證書，也將不能改變EFS加密文件的位置，只是管理員用戶能刪除加密文件。

文件與證書之間的關聯

EFS功能在加密文件時，會自動生成與之對應的安全證書，那么加密文件與證書之間又有什么關聯呢？正常情況下，加密文件與證書都相對獨立，相同的用戶在不同的時間備份證書時，證書的內容是不同的，日后他在導入證書的時候，如何才能知道哪個證書正在發揮作用呢？

當用戶使用EFS方式對某個文件進行首次加密時，Windows系統生成的證書就是當前證書，只要不將其刪除掉，那么它就能始終發揮作用。例如，當我們對111文件進行加密后，系統自動生成的證書就能一直發揮作用，哪怕我們將該證書刪除掉，只要不注銷Windows系統，那么就能正常訪問加密文件。而且，對其他重要文件進行EFS加密時，發揮作用的也是已經被刪除的證書。

不過，只要我們關閉或注銷了Windows系統，下次使用相同的用戶賬號重新登錄進入Windows系統時，就不能訪問以前加密過的文件了，因為與該加密文件關聯的證書已經不存在了。這時，如果我們繼續對222文件進行加密時，系統會自動生成一個全新的安全證書，該證書又會變成當前證書，這個當前證書與之前的當前證書是完全不同的。為了安全起見，很多人完成文件加密操作后，往往會下意識對證書進行備份和刪除，隨著加密文件的不斷增多，與之對應的安全證書也會越來越多，如果某個時候我們要同時訪問已經加密過的111、222、333等文件時，是否需要逐一導入各自對應的安全證書呢？當然不需要！Windows系統自帶的EFS加密方式，一個很重要的特性就是，支持透明處理功能，最新創建的安全證書適用于所有的加密文件，所以只要保留最新的安全證書，就能正常訪問不同的加密文件，而其他各個加密文件對應的舊證書都可以全部刪除。

查看文件證書對應關系

雖然最新生成的安全證書對所有加密文件有效，但在計算機中同時保存很多安全證書和加密文件的情況下，如果我們想了解每個加密文件究竟與哪個安全證書對應時，該怎么查看呢？

很簡單！通過安全證書的編號，就能弄明白特定加密文件究竟與哪個安全證書對應了，具體操作為：在系統資源管理器窗口中，找到特定的EFS加密文件，打開它的右鍵菜單，點擊“屬性”命令，彈出目標加密文件的屬性設置框，選擇“常規”標簽，按下對應標簽頁面中的“高級”按鈕，展開加密文件的高級設置對話框。單擊其中的“詳細信息”按鈕，在其后界面的“證書指紋”位置處（如圖1所示），能看到一串數字，該數字就是當前文件使用的安全證書唯一編號。

為了找到安全證書文件中的編號，我們還要使用“Win+R”快捷鍵，調用系統運行文本框，輸入“certmgr.msc”命令并回車，彈出如圖2所示的證書管理控制臺界面，從中選中某個安全證書，用鼠標雙擊之，打開對應安全證書的屬性對話框，點擊“詳細信息”標簽，切換到如圖3所示的標簽設置頁面，在“指紋”位置處就能看到安全證書的編號。檢查這里的編號與加密文件使用的編號是否相同，如果相同的話，那就意味著該證書與加密文件存在對應關系。為了方便下次查找，我們最好在備份安全證書時，將證書文件名稱設置成加密文件的名稱，日后根據文件名稱就能快速弄清楚加密文件究竟對應哪個安全證書了。

安全證書的備份保存

安全證書是訪問EFS加密文件的密鑰，不小心將其丟失或刪除的話，用戶即使擁有系統管理員操作權限，也無法訪問加密文件中的內容，為此，我們一定要重視安全證書的備份保存操作。

在對重要數據文件執行初次加密時，Windows系統在加密操作成功后，會在系統托盤區域處自動彈出相關提示，要求用戶備份保存好安全證書，如果沒有按提示備份證書的話，日后每次登錄進入Windows系統后，用戶都能看到這樣的提示。當然，我們也可以按照如下操作步驟，對加密文件的證書進行隨時備份：打開系統資源管理器窗口，找到已經加密成功的文件，用鼠標右鍵單擊它，點選右鍵菜單中的“屬性”命令，在加密文件屬性對話框的常規標簽頁面中，單擊“高級”按鈕，進入高級屬性對話框。按下“詳細信息”按鈕，選中其后界面中的證書選項，單擊“備份密鑰”按鈕，彈出備份向導對話框，依照提示設置好證書的訪問密碼，以確保證書的使用安全，同時定義好安全證書的保存路徑，最后點擊“完成”按鈕退出備份向導對話框。endprint

除此而外，我們也能在安全證書控制臺窗口，備份所需要的安全證書，具體操作為：先在系統運行對話框中，執行“certmgr.msc”命令，打開安全證書控制臺窗口。在該窗口的左側列表中，將鼠標定位到“證書—當前用戶”、“個人”、“證書”分支上，用鼠標右鍵單擊該分支下的特定證書選項，依次選擇右鍵菜單中的“所有任務”、“導出”命令，彈出安全證書導出向導對話框，如圖4所示，依照提示選擇是否要將私鑰和安全證書一起導出，默認只導出安全證書，之后設置好安全證書的導出格式、文件名稱以及存儲路徑，最后單擊“完成”按鈕結束證書的導出備份任務。

日后，當刪除了本地計算機中的安全證書時，只有先將備份好的證書導入進來，才能成功訪問加密文件，導入證書的具體操作步驟為：雙擊特定的EFS加密文件，彈出安全證書導入設置框，根據提示不停點“下一步”按鈕，并輸入正確的導入密碼，就能順利將安全證書導入進來，這時就能正常訪問加密文件了。

要提醒大家的是，為了保證加密文件的安全，我們必須保存好兩種類型的密碼，一種是登錄Windows系統的密碼，另外一種是安全證書的導入密碼。如果別人知道前一種密碼，他們就能輕易登錄進入Windows系統，導出加密文件的安全證書，加密文件的安全性就不復存在。如果不小心丟失了證書的導入密碼，那么我們手頭即使擁有加密文件的安全證書，也無法成功訪問到加密文件中的隱私信息。

EFS加密操作的技巧

1. 加密保護重要文件

要使用EFS加密功能保護重要文件的安全，必須先將重要文件轉移到NTFS磁盤分區中，因為這種加密功能僅對NTFS分區有效。在對某個文件執行EFS加密操作時，可以依次點擊“開始”、“所有程序”、“附件”、“Windows資源管理器”命令，進入系統資源管理器窗口，找到保存重要文件的特定文件夾，打開該文件夾的右鍵菜單，從中選擇“屬性”命令，彈出特定文件夾屬性設置框。

單擊“常規”標簽，在常規標簽設置頁面中按下“高級”按鈕，打開文件夾高級屬性框，如圖5所示。在“壓縮或加密屬性”設置項處，將“加密內容以便保護數據”選中，確認后保存設置操作。繼續按下“確定”按鈕后，系統會彈出如圖6所示的提示對話框，選中“將更改應用于此文件夾、子文件夾和文件”選項，確認后退出EFS加密對話框。這時，細心的用戶會發現，加密成功的文件夾名稱，已經變成了綠色顯示狀態，通過這種狀態，能很直觀地看到計算機中有哪些文件夾處于EFS加密狀態。

在一些特殊場合下，用戶有時不想讓EFS加密文件處于綠色顯示狀態，因為這容易讓加密文件夾成為眾矢之的。要達到這個目的，可以進行如下設置操作，取消EFS加密文件的彩色顯示屬性：打開Windows系統資源管理器窗口，依次點擊“組織”、“文件夾和搜索選項”命令，切換到文件夾選項設置對話框。選擇“查看”標簽，彈出如圖7所示的標簽設置頁面，取消選中“用彩色顯示加密或壓縮的NTFS文件”選項，確認后保存設置即可。

2. 安全訪問加密文件

在手頭擁有安全證書的前提下，加密文件中的隱私內容可以輕易地訪問到。為了保證安全訪問加密文件，首先要為重要的EFS加密文件設置合適的訪問權限，讓值得信任的用戶有權限對加密文件進行相關權限的操作。在進行該操作時，先打開Windows系統資源管理器窗口，找到需要訪問的重要加密文件，打開它的快捷菜單，執行“屬性”命令，彈出加密文件屬性對話框，點選“常規”標簽，按下對應標簽頁面中的“高級”按鈕，點擊高級設置框中的“詳細信息”按鈕，之后按下“添加”按鈕，將擁有安全證書的用戶賬號添加導入進來，確認后返回。

接著用剛剛授權的可信賬號重新登錄計算機系統，登錄成功后，找到EFS加密文件，用鼠標雙擊之，彈出安全證書導入對話框，將事先備份好的安全證書導入進來，就能安全訪問到加密文件中的內容了。對于那些沒有安全證書的用戶來說，即使他們能夠登錄進入Windows系統，也不能對加密文件進行隨意訪問。所以，在這里再次提醒大家，必須要妥善保存好加密文件的安全證書，一旦丟失，即使文件的主人，也無法看到其中的內容了。

3. 快速進行加密操作

對重要文件夾進行EFS加密時，一般都要經過打開系統資源管理器窗口、進入加密文件屬性對話框、展開高級設置界面等環節。其實，我們完全可以將EFS方式的加密、解密命令添加到文件的右鍵菜單中，日后通過右鍵菜單命令，就能實現快速加密、解密操作目的，從而有效提升操作效率。

首先使用“Win+R”快捷鍵，調用系統運行對話框，在其中執行“regedit”命令，開啟系統注冊表編輯器運行狀態。在編輯窗口左側列表中，將鼠標定位到“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Exporer＼Advanced”注冊表分支上。在該分支下面，手工創建一個“EncryptionContextMenu”雙字節鍵值。

用鼠標雙擊“EncryptionContextMenu”鍵值，彈出如圖8所示的編輯鍵值文本框，輸入數字“1”，點擊“確定”按鈕執行設置保存操作，再重新啟動計算機系統，讓設置正式生效。日后，當我們需要對重要文件夾執行EFS加密或解密操作時，只要簡單地打開它的右鍵菜單，點擊“加密”或“解密”菜單選項即可。

4. 臨時停用加密功能

在多用戶賬號環境下，倘若允許普通用戶自由進行EFS加密，或許會影響他人的正常工作。所以，有的時候，我們需要臨時停用Windows系統自帶的加密功能，確保公共資源訪問不會受到影響。在臨時關閉Windows系統的EFS加密功能時，可以按照如下步驟來進行：首先在系統運行文本框中，輸入“Regedit”命令并回車，切換到系統注冊表控制臺界面。在該編輯界面的左側列表中，將鼠標定位到注冊表分支“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼EFS”上，如圖9所示。

看看指定分支下面是否有“EfsConfiguration”鍵值，找不到該鍵值時，不妨打開目標分支的右鍵菜單，從中逐一點擊“新建”、“Dword值”選項，將新創建的鍵值名稱設置為“EfsConfiguration”，同時將其數值設置為“1”，再刷新系統注冊表讓上述設置正式生效。這樣，用戶日后就不能使用Windows系統自帶的EFS加密功能，隨意加密重要共享文件了。endprint