帷幄

在平時的學(xué)習(xí)或工作中，免不了要用一些專業(yè)的加密工具，保護重要的數(shù)據(jù)文件。為了圖方便，很多人就地取材，都選擇了Windows系統(tǒng)自帶的EFS加密功能，來保證重要數(shù)據(jù)文件的訪問安全！EFS加密看似簡單，不過在實際加密過程中，有些人常常會受到各種各樣的困擾，例如，不知道如何加密、解密，不知道如何管理加密文件，不知道加密文件和證書的關(guān)聯(lián)，不知道EFS加密功能與NTFS分區(qū)的聯(lián)系等等。那么如何在很短的時間內(nèi)弄清楚這些問題，快速煉成EFS加密達人呢？

EFS與NTFS之間的關(guān)聯(lián)

EFS的全稱為“Encrypting File System”，含義為加密文件系統(tǒng)，使用該加密方式對重要數(shù)據(jù)文件加密時，它會自動創(chuàng)建好文件加密鑰匙，并利用該鑰匙與特殊算法生成加密文件，同時刪除原始文件。這個加密過程很透明，用戶感覺不到密鑰的使用，主要是因為Windows系統(tǒng)在后臺，悄悄將加密的文件、用戶的證書和安全標識符之間建立了聯(lián)系。

Windows系統(tǒng)將加密生成的密鑰內(nèi)容自動保存在NTFS系統(tǒng)中，通過與NTFS分區(qū)的內(nèi)在聯(lián)系，讓用戶日后在訪問已經(jīng)加密了的文件時，不需要輸入密鑰內(nèi)容，從而產(chǎn)生透明的感覺。換句話說就是，用戶對某個文件進行了EFS加密后，再次訪問它時，還是不會受到任何限制。但其他人訪問這個文件時，卻會出現(xiàn)“訪問拒絕”之類的錯誤。EFS加密方式對用戶的安全認證是在登錄系統(tǒng)時進行的，只要用戶可以順利登錄進入Windows系統(tǒng)，任何EFS加密文件都能正常訪問到。

當(dāng)位于NTFS分區(qū)中的EFS加密文件，被拷貝到FAT格式的磁盤分區(qū)中時，文件的加密屬性就會自動消失，這時文件就不會受到EFS加密功能的安全保護了。當(dāng)然，移動、拷貝EFS加密文件是有條件的，用戶必須要擁有目標文件的安全證書才行，如果該證書已被刪除或丟失，那么日后即使用戶獲得了系統(tǒng)管理員權(quán)限，即使用戶重新創(chuàng)建安全證書，也將不能改變EFS加密文件的位置，只是管理員用戶能刪除加密文件。

文件與證書之間的關(guān)聯(lián)

EFS功能在加密文件時，會自動生成與之對應(yīng)的安全證書，那么加密文件與證書之間又有什么關(guān)聯(lián)呢？正常情況下，加密文件與證書都相對獨立，相同的用戶在不同的時間備份證書時，證書的內(nèi)容是不同的，日后他在導(dǎo)入證書的時候，如何才能知道哪個證書正在發(fā)揮作用呢？

當(dāng)用戶使用EFS方式對某個文件進行首次加密時，Windows系統(tǒng)生成的證書就是當(dāng)前證書，只要不將其刪除掉，那么它就能始終發(fā)揮作用。例如，當(dāng)我們對111文件進行加密后，系統(tǒng)自動生成的證書就能一直發(fā)揮作用，哪怕我們將該證書刪除掉，只要不注銷Windows系統(tǒng)，那么就能正常訪問加密文件。而且，對其他重要文件進行EFS加密時，發(fā)揮作用的也是已經(jīng)被刪除的證書。

不過，只要我們關(guān)閉或注銷了Windows系統(tǒng)，下次使用相同的用戶賬號重新登錄進入Windows系統(tǒng)時，就不能訪問以前加密過的文件了，因為與該加密文件關(guān)聯(lián)的證書已經(jīng)不存在了。這時，如果我們繼續(xù)對222文件進行加密時，系統(tǒng)會自動生成一個全新的安全證書，該證書又會變成當(dāng)前證書，這個當(dāng)前證書與之前的當(dāng)前證書是完全不同的。為了安全起見，很多人完成文件加密操作后，往往會下意識對證書進行備份和刪除，隨著加密文件的不斷增多，與之對應(yīng)的安全證書也會越來越多，如果某個時候我們要同時訪問已經(jīng)加密過的111、222、333等文件時，是否需要逐一導(dǎo)入各自對應(yīng)的安全證書呢？當(dāng)然不需要！Windows系統(tǒng)自帶的EFS加密方式，一個很重要的特性就是，支持透明處理功能，最新創(chuàng)建的安全證書適用于所有的加密文件，所以只要保留最新的安全證書，就能正常訪問不同的加密文件，而其他各個加密文件對應(yīng)的舊證書都可以全部刪除。

查看文件證書對應(yīng)關(guān)系

雖然最新生成的安全證書對所有加密文件有效，但在計算機中同時保存很多安全證書和加密文件的情況下，如果我們想了解每個加密文件究竟與哪個安全證書對應(yīng)時，該怎么查看呢？

很簡單！通過安全證書的編號，就能弄明白特定加密文件究竟與哪個安全證書對應(yīng)了，具體操作為：在系統(tǒng)資源管理器窗口中，找到特定的EFS加密文件，打開它的右鍵菜單，點擊“屬性”命令，彈出目標加密文件的屬性設(shè)置框，選擇“常規(guī)”標簽，按下對應(yīng)標簽頁面中的“高級”按鈕，展開加密文件的高級設(shè)置對話框。單擊其中的“詳細信息”按鈕，在其后界面的“證書指紋”位置處（如圖1所示），能看到一串?dāng)?shù)字，該數(shù)字就是當(dāng)前文件使用的安全證書唯一編號。

為了找到安全證書文件中的編號，我們還要使用“Win+R”快捷鍵，調(diào)用系統(tǒng)運行文本框，輸入“certmgr.msc”命令并回車，彈出如圖2所示的證書管理控制臺界面，從中選中某個安全證書，用鼠標雙擊之，打開對應(yīng)安全證書的屬性對話框，點擊“詳細信息”標簽，切換到如圖3所示的標簽設(shè)置頁面，在“指紋”位置處就能看到安全證書的編號。檢查這里的編號與加密文件使用的編號是否相同，如果相同的話，那就意味著該證書與加密文件存在對應(yīng)關(guān)系。為了方便下次查找，我們最好在備份安全證書時，將證書文件名稱設(shè)置成加密文件的名稱，日后根據(jù)文件名稱就能快速弄清楚加密文件究竟對應(yīng)哪個安全證書了。

安全證書的備份保存

安全證書是訪問EFS加密文件的密鑰，不小心將其丟失或刪除的話，用戶即使擁有系統(tǒng)管理員操作權(quán)限，也無法訪問加密文件中的內(nèi)容，為此，我們一定要重視安全證書的備份保存操作。

在對重要數(shù)據(jù)文件執(zhí)行初次加密時，Windows系統(tǒng)在加密操作成功后，會在系統(tǒng)托盤區(qū)域處自動彈出相關(guān)提示，要求用戶備份保存好安全證書，如果沒有按提示備份證書的話，日后每次登錄進入Windows系統(tǒng)后，用戶都能看到這樣的提示。當(dāng)然，我們也可以按照如下操作步驟，對加密文件的證書進行隨時備份：打開系統(tǒng)資源管理器窗口，找到已經(jīng)加密成功的文件，用鼠標右鍵單擊它，點選右鍵菜單中的“屬性”命令，在加密文件屬性對話框的常規(guī)標簽頁面中，單擊“高級”按鈕，進入高級屬性對話框。按下“詳細信息”按鈕，選中其后界面中的證書選項，單擊“備份密鑰”按鈕，彈出備份向?qū)υ捒?，依照提示設(shè)置好證書的訪問密碼，以確保證書的使用安全，同時定義好安全證書的保存路徑，最后點擊“完成”按鈕退出備份向?qū)υ捒?。endprint

除此而外，我們也能在安全證書控制臺窗口，備份所需要的安全證書，具體操作為：先在系統(tǒng)運行對話框中，執(zhí)行“certmgr.msc”命令，打開安全證書控制臺窗口。在該窗口的左側(cè)列表中，將鼠標定位到“證書—當(dāng)前用戶”、“個人”、“證書”分支上，用鼠標右鍵單擊該分支下的特定證書選項，依次選擇右鍵菜單中的“所有任務(wù)”、“導(dǎo)出”命令，彈出安全證書導(dǎo)出向?qū)υ捒?，如圖4所示，依照提示選擇是否要將私鑰和安全證書一起導(dǎo)出，默認只導(dǎo)出安全證書，之后設(shè)置好安全證書的導(dǎo)出格式、文件名稱以及存儲路徑，最后單擊“完成”按鈕結(jié)束證書的導(dǎo)出備份任務(wù)。

日后，當(dāng)刪除了本地計算機中的安全證書時，只有先將備份好的證書導(dǎo)入進來，才能成功訪問加密文件，導(dǎo)入證書的具體操作步驟為：雙擊特定的EFS加密文件，彈出安全證書導(dǎo)入設(shè)置框，根據(jù)提示不停點“下一步”按鈕，并輸入正確的導(dǎo)入密碼，就能順利將安全證書導(dǎo)入進來，這時就能正常訪問加密文件了。

要提醒大家的是，為了保證加密文件的安全，我們必須保存好兩種類型的密碼，一種是登錄Windows系統(tǒng)的密碼，另外一種是安全證書的導(dǎo)入密碼。如果別人知道前一種密碼，他們就能輕易登錄進入Windows系統(tǒng)，導(dǎo)出加密文件的安全證書，加密文件的安全性就不復(fù)存在。如果不小心丟失了證書的導(dǎo)入密碼，那么我們手頭即使擁有加密文件的安全證書，也無法成功訪問到加密文件中的隱私信息。

EFS加密操作的技巧

1. 加密保護重要文件

要使用EFS加密功能保護重要文件的安全，必須先將重要文件轉(zhuǎn)移到NTFS磁盤分區(qū)中，因為這種加密功能僅對NTFS分區(qū)有效。在對某個文件執(zhí)行EFS加密操作時，可以依次點擊“開始”、“所有程序”、“附件”、“Windows資源管理器”命令，進入系統(tǒng)資源管理器窗口，找到保存重要文件的特定文件夾，打開該文件夾的右鍵菜單，從中選擇“屬性”命令，彈出特定文件夾屬性設(shè)置框。

單擊“常規(guī)”標簽，在常規(guī)標簽設(shè)置頁面中按下“高級”按鈕，打開文件夾高級屬性框，如圖5所示。在“壓縮或加密屬性”設(shè)置項處，將“加密內(nèi)容以便保護數(shù)據(jù)”選中，確認后保存設(shè)置操作。繼續(xù)按下“確定”按鈕后，系統(tǒng)會彈出如圖6所示的提示對話框，選中“將更改應(yīng)用于此文件夾、子文件夾和文件”選項，確認后退出EFS加密對話框。這時，細心的用戶會發(fā)現(xiàn)，加密成功的文件夾名稱，已經(jīng)變成了綠色顯示狀態(tài)，通過這種狀態(tài)，能很直觀地看到計算機中有哪些文件夾處于EFS加密狀態(tài)。

在一些特殊場合下，用戶有時不想讓EFS加密文件處于綠色顯示狀態(tài)，因為這容易讓加密文件夾成為眾矢之的。要達到這個目的，可以進行如下設(shè)置操作，取消EFS加密文件的彩色顯示屬性：打開Windows系統(tǒng)資源管理器窗口，依次點擊“組織”、“文件夾和搜索選項”命令，切換到文件夾選項設(shè)置對話框。選擇“查看”標簽，彈出如圖7所示的標簽設(shè)置頁面，取消選中“用彩色顯示加密或壓縮的NTFS文件”選項，確認后保存設(shè)置即可。

2. 安全訪問加密文件

在手頭擁有安全證書的前提下，加密文件中的隱私內(nèi)容可以輕易地訪問到。為了保證安全訪問加密文件，首先要為重要的EFS加密文件設(shè)置合適的訪問權(quán)限，讓值得信任的用戶有權(quán)限對加密文件進行相關(guān)權(quán)限的操作。在進行該操作時，先打開Windows系統(tǒng)資源管理器窗口，找到需要訪問的重要加密文件，打開它的快捷菜單，執(zhí)行“屬性”命令，彈出加密文件屬性對話框，點選“常規(guī)”標簽，按下對應(yīng)標簽頁面中的“高級”按鈕，點擊高級設(shè)置框中的“詳細信息”按鈕，之后按下“添加”按鈕，將擁有安全證書的用戶賬號添加導(dǎo)入進來，確認后返回。

接著用剛剛授權(quán)的可信賬號重新登錄計算機系統(tǒng)，登錄成功后，找到EFS加密文件，用鼠標雙擊之，彈出安全證書導(dǎo)入對話框，將事先備份好的安全證書導(dǎo)入進來，就能安全訪問到加密文件中的內(nèi)容了。對于那些沒有安全證書的用戶來說，即使他們能夠登錄進入Windows系統(tǒng)，也不能對加密文件進行隨意訪問。所以，在這里再次提醒大家，必須要妥善保存好加密文件的安全證書，一旦丟失，即使文件的主人，也無法看到其中的內(nèi)容了。

3. 快速進行加密操作

對重要文件夾進行EFS加密時，一般都要經(jīng)過打開系統(tǒng)資源管理器窗口、進入加密文件屬性對話框、展開高級設(shè)置界面等環(huán)節(jié)。其實，我們完全可以將EFS方式的加密、解密命令添加到文件的右鍵菜單中，日后通過右鍵菜單命令，就能實現(xiàn)快速加密、解密操作目的，從而有效提升操作效率。

首先使用“Win+R”快捷鍵，調(diào)用系統(tǒng)運行對話框，在其中執(zhí)行“regedit”命令，開啟系統(tǒng)注冊表編輯器運行狀態(tài)。在編輯窗口左側(cè)列表中，將鼠標定位到“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Exporer＼Advanced”注冊表分支上。在該分支下面，手工創(chuàng)建一個“EncryptionContextMenu”雙字節(jié)鍵值。

用鼠標雙擊“EncryptionContextMenu”鍵值，彈出如圖8所示的編輯鍵值文本框，輸入數(shù)字“1”，點擊“確定”按鈕執(zhí)行設(shè)置保存操作，再重新啟動計算機系統(tǒng)，讓設(shè)置正式生效。日后，當(dāng)我們需要對重要文件夾執(zhí)行EFS加密或解密操作時，只要簡單地打開它的右鍵菜單，點擊“加密”或“解密”菜單選項即可。

4. 臨時停用加密功能

在多用戶賬號環(huán)境下，倘若允許普通用戶自由進行EFS加密，或許會影響他人的正常工作。所以，有的時候，我們需要臨時停用Windows系統(tǒng)自帶的加密功能，確保公共資源訪問不會受到影響。在臨時關(guān)閉Windows系統(tǒng)的EFS加密功能時，可以按照如下步驟來進行：首先在系統(tǒng)運行文本框中，輸入“Regedit”命令并回車，切換到系統(tǒng)注冊表控制臺界面。在該編輯界面的左側(cè)列表中，將鼠標定位到注冊表分支“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼EFS”上，如圖9所示。

看看指定分支下面是否有“EfsConfiguration”鍵值，找不到該鍵值時，不妨打開目標分支的右鍵菜單，從中逐一點擊“新建”、“Dword值”選項，將新創(chuàng)建的鍵值名稱設(shè)置為“EfsConfiguration”，同時將其數(shù)值設(shè)置為“1”，再刷新系統(tǒng)注冊表讓上述設(shè)置正式生效。這樣，用戶日后就不能使用Windows系統(tǒng)自帶的EFS加密功能，隨意加密重要共享文件了。endprint