Windows系統EFS加密出了問題怎麼辦？(轉)

Windows系統EFS加密出了問題怎麼辦？(轉)[@more@]

　　什麼是EFS

　　從Windows 2000開始，微軟對NTFS檔案系統進行了升級，將在Windows NT中使用的4.0升級為5.0，其最大的特點就是安全特性更加強大，特別是增加了加密檔案系統EFS，用來在使用NTFS檔案系統的捲上直接加密資料，能讓使用者在系統上使用公鑰加密去保護私有的資料。

　　你可以為某個隱私的檔案或資料夾加密，以防止他人使用。沒有正確許可權的人即使能訪問到硬碟，若試圖操作加密的檔案或資料夾，則會收到一條“拒絕訪問”錯誤訊息。

　　另外，使用者驗證過程是在登入Windows時進行的，這就保證了EFS加密系統對計算機使用者來說是透明的。通俗地說，只要具有許可權的賬戶登入到Windows，就可以像開啟任何一個普通檔案一樣使用自己加密的檔案，而不像通常的加密軟體會彈出一個對話方塊，讓你輸入密碼，這就大大方便了使用者。

　　用ESF加密檔案

　　當你使用了Windows 2000/XP/2003系統（注意Windows XP家庭版不支援EFS加密檔案系統），且格式化磁碟為NTFS檔案系統，你就具有了應用EFS的條件。

　　要使用EFS加密，只須開啟資源管理器，在需要加密的檔案（夾）上點滑鼠右鍵，選“屬性”，在“屬性” 對話方塊中點“高階”開啟“高階屬性”對話方塊，勾選“加密內容以便保護資料”（（取消該選項前的鉤即可解密檔案）。

　　“確定”後點選“應用”，如果加密的是資料夾，則會彈出圖2所示對話方塊，你可以根據需要選擇是僅加密此資料夾還是將此資料夾下的子資料夾和檔案也一起

　　最後點選“確定”後，在預設情況下，一般你會發現檔案（夾）在資源管理器中顯示的顏色變為彩色，表示已經被加密（或壓縮）了。

　　提示：你也可以不使檔案（夾）變色，在資源管理器中，點“工具→資料夾選項→檢視”，將“用彩色顯示加密或壓縮的NTFS檔案”取消即可。

　　EFS加密解密技巧

　　在實際應用中，我們還可以透過各種技巧來完成EFS加密的相關操作。

　　1.新增“加密”右鍵選單

　　如果覺得上述加密方法還是太煩瑣，可以在“執行”中輸入“regedit”，開啟登錄檔編輯器，找到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced，在右邊視窗中點選滑鼠右鍵，選擇“新建→Dword值”，取鍵名為“EncryptionContextMenu”，並設定鍵值為“1”。

　　退出登錄檔編輯器，開啟資源管理器，任意選中一個NTFS分割槽上的檔案（夾），點滑鼠右鍵，選單中多出了一個“加（解）密”的選項。你可以直接點選此選單，即可完成加密解密操作。

　　2.禁止加密某個資料夾

　　如果你想設定禁止加密某個資料夾，可以在這個資料夾中建立一個名為“Desktop.ini”的檔案，然後用記事本編輯內容為：

　　Encryption?

　　Disable=1

　　但是這個方法不能禁止已加密資料夾的檔案以及子資料夾。

　　3.徹底禁止EFS加密

　　要在機器上徹底禁用EFS加密，可以透過修改登錄檔實現。點選“開始→執行”，輸入“Regedit”回車，開啟登錄檔編輯器，找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionEFS，在“編輯”選單上點選“新建→Dword值”，輸入“EfsConfiguration”作為鍵名，並設定鍵值為“1”，這樣本機的EFS加密就被禁用了。如果想重新使用EFS加密時，只要把鍵值改為“0”即可。

　　備份加密證照

　　重新安裝系統後要開啟加密檔案的解決辦法

　　EFS加密原理

　　讓我們來簡單瞭解一下EFS是如何工作的。在EFS中，資料靠FEK（檔案加金鑰匙）加密，而FEK跟使用者的公鑰一起加密儲存；解密的時候順序剛好相反，首先用私鑰解密出FEK，然後用FEK解密資料。簡言之，系統是靠你的公鑰/私鑰（統稱金鑰）來加解密的。

　　那麼金鑰從何而來呢?金鑰是透過使用者的SID產生的。在Windows 2000/XP中，每一個使用者都有一個SID（安全標示符），首次使用EFS時，系統會根據SID首先生成金鑰。SID都是惟一的，如同人的指紋，因而使用者的金鑰也絕不會相同，這就保證了EFS加密的可靠。目前，據官方訊息說EFS還未證實被破解過。

　　需要注意的是，如果重新安裝了系統，就會產生一個新的SID，即使你安裝系統的時候採用的是原來的使用者名稱和密碼，也無法直接開啟原來被加密的檔案（夾）了，很多朋友經常由於忽略了這一點而導致資料損失。

　　備份金鑰

　　既然EFS採用加密金鑰來進行加解密，那麼只要加密金鑰存在，我們就能恢復資料。因此，將金鑰備份下來以作不時之需是最好的辦法。

　　點選“開始→執行”，在“執行”對話方塊中輸入“certmgr.msc”開啟證照管理器，開啟“證照→當前使用者”下的“個人→證照”，只要你做過加密操作，右邊視窗就會有與使用者名稱同名的（如果有多份證照，選“預期目的”為“加密檔案系統”）證照。

　　選中證照後點滑鼠右鍵，選“所有任務→匯出”，在彈出的“證照匯出嚮導”中，選擇“匯出私鑰”，並按照嚮導的要求輸入密碼來保護匯出的私鑰，最後儲存為一個PFX字尾的檔案。

　　當加密檔案的賬戶出現問題或重新安裝了系統後需要訪問或解密以前加密的檔案時，只要使用滑鼠右鍵單擊備份的證照，選擇“安裝PFX”，系統將彈出“證照匯入嚮導”，鍵入當初匯出證照時輸入用於保護備份證照的密碼，然後選擇讓嚮導“根據證照型別，自動選擇證照儲存區”即可。完成後就可以訪問以前的加密檔案了。

　　提示：需要注意的是，任何其他使用者只要獲得了你備份的證照，都可以對你的加密檔案進行解密，因此一定要確保備份證照的安全性。

　　小知識

　　1.把未加密的檔案複製到已經加密的資料夾中，這些檔案會被自動加密。

　　2.若是將加密檔案移動到NTFS分割槽上，資料會保留加密屬性；如果移動到FAT（FAT32）區上，這些資料將會被自動解密。另外，NTFS分割槽上儲存的檔案不能同時被壓縮和加密。

　　3.Windows的系統檔案和系統資料夾不能被加密。

　　用恢復代理解密檔案

　　刪除使用者後開啟加密檔案的解決辦法

　　EFS加密是安全可靠的，那麼，一旦使用者賬戶被刪除，就像開頭提到的那位，重新建立一個相同的使用者可以開啟嗎?答案當然是否定的，重新建立的使用者雖然與以前使用者同名，但是系統卻不會分配相同的SID（記住，不可能存在相同SID！除非是克隆系統），因此金鑰也不同，加密的檔案自然就無法開啟了。

　　當然，這種情況也不是完全沒有解決的辦法，因為用EFS加密過的檔案，除了加密者本人之外還有“恢復代理”可以開啟。恢復代理是一種特殊的使用者，作用是解開用EFS加密的檔案。

　　對於Windows 2000來說，在單機和工作組環境下，預設的恢復代理是 Administrator ；Windows XP在單機和工作組環境下沒有預設的恢復代理。而在域環境中就完全不同了，所有加入域的Windows 2000/XP計算機，預設的恢復代理全部是域管理員。所以我說那位網友是幸運的，因為他用的是Windows 2000，可以用Administrator這個使用者登入系統，然後就能直接開啟或者解密檔案。

　　大量使用Windows XP的朋友就沒有那麼幸運了，由於沒有預設的恢復代理，事先又沒有設定恢復代理，一旦使用者被刪除，你面臨的將是資料的丟失。因此如果你使用的是Windows XP使用者，請事先設定恢復代理。

　　設定Windows XP恢復代理

　　1.首先確定用哪個使用者作為恢復代理，可以設定任何使用者，比如你想讓USER成為恢復代理，就用USER賬戶登入系統（一般建議使用Administrator作為恢復代理）。

　　2.在“執行”中輸入“cipher /r?c： est”（test可以是任何其它名字），回車後系統會提示詢問是否用密碼把證照保護起來，你可以自己設定一個密碼，也可不需要密碼保護就直接按回車。完成後我們在C盤的根目錄下可以發現test.cer和test.pfx兩個檔案（在資源管理器中點“工具→資料夾選項→檢視”，取消“隱藏已知檔案型別的副檔名”才能看到檔案字尾名）。

　　3.先使用滑鼠右鍵單擊PFX檔案，選擇“安裝PFX”，將彈出“證照匯入嚮導”，如果提示輸入密碼，就輸入步驟2中設定的密碼，選中“標示此私鑰為可匯出的”，下一步選擇“根據證照型別，自動選擇證照儲存區”匯入證照。

　　4.在“執行”中輸入“gpedit.msc”並回車，開啟組策略編輯器。在“計算機配置→Windows設定→安全設定→公鑰策略→正在加密檔案系統”下，點選滑鼠右鍵，並選擇“新增資料恢復代理”，按“新增故障恢復代理嚮導”開啟test.cer，完成後即成功將USER使用者設定為指定恢復代理

　　現在，登入USER使用者，就可以解密所有在指定恢復代理後被加密的檔案（夾）了。注意，在設定恢復代理前已經加密的檔案是不能解密的，所以必須未雨綢繆，事先設定恢復代理。

　　EFS加密疑難解答

　　1.重灌系統後預設的恢復代理是否能恢復以前的加密資料?

　　不能，假設Administrator使用者是預設恢復代理，重灌系統後，這個Administrator的SID已經發生了變化，所以不能作為以前使用者的恢復代理了，只有將備份的證照匯入才能開啟檔案。

　　2.被EFS加密過的資料是否絕對安全?

　　不是，安全永遠是相對的。EFS加密過的檔案，如果不是使用者本人或恢復代理，雖然無法開啟加密檔案，但是仍然可以刪除，所以對於重要檔案，最佳的做法是NTFS許可權和EFS加密配合使用。只有同時具有NTFS許可權以及金鑰，才能操作檔案。

　　3.我用的是Windows 2000系統，在區域網中且加入了域，我用Administrator為何不能解密檔案?

　　由於加入域中，預設的恢復代理是域管理員，而不是

　　

·上一篇：

·下一篇：

最新更新
	· · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·