（一）故障型別：EFS加密檔案無法開啟

（二）典型特徵：

重灌系統後以前加密的檔案無法開啟
金鑰檔案丟失導致加密檔案無法開啟

（三）損壞程度星級評價：★★★★

（四）故障原理及恢復思路

在使用EFS加密一個NTFS檔案時，系統首先會生成一個偽隨機數FEK (File Encryption Key，檔案加金鑰匙)，然後用FEK加密資料並對檔案進行原位覆寫。隨後系統利用使用者的公鑰加密FEK，並把加密後的FEK儲存在加密檔案的$EFS屬性中。

而在訪問被加密的檔案時，系統首先利用當前使用者的私鑰解密FEK，然後利用FEK解密出檔案。在首次使用EFS時，如果使用者還沒有公鑰/私鑰時（統稱為金鑰），則會首先生成金鑰，然後加密資料。如果使用者登入到了域環境中，金鑰的生成依賴於域控制器，否則它就依賴於本地機器。

使用者私鑰是解密EFS檔案的關鍵，私鑰儲存於Windows分割槽的Documents and Settings\%UserName%\Application Data\Microsoft\Crypto\RSA\%UserSID% （使用者的SID為安全識別符號，相當於使用者的身份證號碼，當建立一個帳號時，系統為其分配一個唯一的SID編號）。

為了保護私鑰，Windows用主金鑰對私鑰進行加密，主金鑰位於Windows分割槽的Documents and Settings\%UserName%\Application Data\Microsoft\Protect\%UserSID%，然後再用使用者密碼生成的金鑰對主金鑰進行加密。

這樣就形成了“使用者密碼－>主金鑰－>私鑰－>FEK－>EFS加密檔案”加密鏈。所以如果想完整地獲得EFS加密資料，那麼必須得到使用者密碼、主金鑰和私鑰。

（五）恢復流程

1.檢測流程：

（1）檢視現有系統佔用空間；

（2）檢視現在有mft檔案目錄數佔用空間。

2.實施流程：

（1）查詢或重組加密FEK的私鑰;

（2）查詢可重組加密私鑰的主金鑰；

（3）根據使用者提拱的使用者密碼進行校驗匹配，解密使用者檔案；

（4）對解密出來的檔案進行邏輯分析和校驗，遷移出使用者所需資料。

3.驗收流程：

（1）對已遷移出來的所有資料做屬性統計，從檔案數量和容量等方面確保使用者所需資料已全部遷移成功；

（2）對已遷移出來的所有資料做完整性驗證，確保檔案在目錄結構及底層邏輯等方面正確無誤；

（3）對使用者指定的關鍵資料檔案進行針對性校驗，確保使用者關鍵資料成功恢復。

（六）恢復的可靠性分析及時間預估：

在大多數案例中此類故障主要是重灌系統導致金鑰丟失造成的，由於重灌系統將寫入大量檔案到系統分割槽，金鑰被覆蓋的機率相對較高，這也是導致此類故障恢復成功率較低的重要原因，一般此類故障成功率在50%左右，通常所需時間為1-3個工作日。

［小貼士］

透過EFS加密檔案後應該及時備份金鑰並妥善儲存；
出現此類故障後應該立刻停止繼續使用計算機，以降低金鑰被覆蓋的機率。

EFS加密文件無法開啟的解決原理和方法