葡京网投哪个正规 > 联系我们 > EFS的加密方法和解密必知,EFS加密出了问题怎么办

原标题:EFS的加密方法和解密必知,EFS加密出了问题怎么办

浏览次数:185 时间:2019-11-30

几天前,一位朋友给我发出十万火急的求援消息,他在公司计算机中用EFS加密的文件不能打开了了,里面有所有重要客户资料。他说由于系统用户配置问题,他删除了自己的账户,重新建了一个相同用户名的账户,但是不料以前加密的文件夹再也不能打开了。不过,幸好这位仁兄使用的Windows 2000,我告诉他可以使用恢复代理来解密,才使他放下心来。

随着稳定性和可靠性的逐步提高,Windows 2000/XP已经被越来越多的人使用,很多人还用Windows 2000/XP自带的EFS加密功能把自己的一些重要数据加密保存。虽然EFS易用性不错,不过发生问题后就难解决了,例如不做任何准备就重装了操作系统,那很可能导致以前的加密数据无法解密。最近一段时间我们已经可以在越来越多的论坛和新闻组中看到网友的求救,都 是类似这样的问题而导致重要数据无法打开,损失惨重。为了避免更多人受到损失,这里我把使用EFS加密的注事项写出来,希望对大家有所帮助。 
  注意,下文中的Windows XP皆指Professional版,Windows XP Home版并不支持EFS加密。

 

经常看到对文件和文件夹加密的文章,大多是安装各种软件来实现的,如果你的系统是WinXP/Win2003/2000,就没有必要如此兴师动众地加密了,既不需要你安装软件,也不需要繁琐的操作,因为Windows本身就集成了EFS(Encryption File System-EFS)加密功能,可以加密NTFS分区上的文件和文件夹!加密之后,就等于把你的文件和文件夹全部都锁进了保险柜,安全性当然不用担心啦,因为它采用了56位的数据加密标准,到目前为止还无人能破解的!

类似这样的求救可以在众多技术论坛中看到,且越来越多,并非每个朋友都是幸运的,由于重要数据无法打开导致损失惨重的事件也是屡见不鲜。如果你也使用Windows 2000/XP,并对数据加密,为避免受到损失,就需要了解EFS加密,并成为个中高手。

  什么是EFS加密

使用Windows XP的朋友都知道,让他们最烦恼的事当属在重装系统的时候忘了导出备份EFS加密文件的证书。遇上了这种情况怎么办呢?不能眼睁睁看着这些文件不能用吧?想重新使用这些已加密的文件吗?那就跟我来吧,但是这种解密文件的方法对加密文件是有要求的。

  一、ESF加密文件或文件夹

  什么是EFS

  EFS(Encrypting File System,加密文件系统)是Windows 2000/XP所特有的一个实用功能,对于NTFS卷上的文件和数据,都可以直接被操作系统加密保存,在很大程度上提高了数据的安全性。

  要求:EFS加密文件证书没有备份的情况下要恢复加密文件,只适用于该文件夹加密,但是其子文件和子文件夹没加密,且没有新文件加入该文件夹的情况。如果里面的文件也被加密了,这种方法就无能为力了。

  为了提高文件的安全性,微软在WinXP/Win2003/2000中(注意Windows XP家庭版不支持EFS加密文件系统),针对NTFS引入了EFS加密技术。EFS加密操作非常简单,对加密文件的用户也是透明的,文件加密之后,不必在使用前手动解密,只有加密者才能打开加密文件,其他用户登陆系统后,将无法打开加密文件。

  从Windows 2000开始,微软对NTFS文件系统进行了升级,将在Windows NT中使用的4.0升级为5.0,其最大的特点就是安全特性更加强大,特别是增加了加密文件系统EFS,用来在使用NTFS文件系统的卷上直接加密数据,能让用户在系统上使用公钥加密去保护私有的数据。

  EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK (File Encryption Key,文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。随后系统利用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时,系统首先利用当前用 户的私钥解密FEK,然后利用FEK解密出文件。在首次使用EFS时,如果用户还没有公钥/私钥对(统称为密钥),则会首先生成密钥,然后加密数据。如果你登录到了域环境中,密钥的生成依赖于域控制器,否则它就依赖于本地机器。

  以笔者的操作系统为例介绍,笔者的系统为Windows Me/XP 双操作系统,为了使Windows Me能访问Windows XP的文件系统,Windows Me需要装上NTFS For 98,这一步很关键。

  1、ESF加密操作

  你可以为某个隐私的文件或文件夹加密,以防止他人使用。没有正确权限的人即使能访问到硬盘,若试图操作加密的文件或文件夹,则会收到一条“拒绝访问”错误消息。

  EFS加密有什么好处

  提醒:该软件用到了Window XP中的7个系统文件,他们分别是:autochk.exe、C_437.NLS、C_1252.NLS、L_INTL.NLS、NTDLL.DLL、NTFS.SYS、ntoskrnl.exe。

  例如要对NTFS分区上的test目录进行ESF加密,可以这样操作:在WinXP中,单击“开始”/程序/附件,点击打开“Windows 资源管理器”,点击“我的电脑”,打开NTFS分区,右击要加密的文件或文件夹(例如test目录);然后单击“属性”,在“常规”选项卡上,单击“高级”按钮;在弹出的窗口中,勾选“加密内容以便保护数据”复选框(如图1);点击“确定”退出。

  另外,用户验证过程是在登录Windows时进行的,这就保证了EFS加密系统对计算机用户来说是透明的。通俗地说,只要具有权限的账户登录到Windows,就可以像打开任何一个普通文件一样使用自己加密的文件,而不像通常的加密软件会弹出一个对话框,让你输入密码,这就大大方便了使用者。

  首先,EFS加密机制和操作系统紧密结合,因此我们不必为了加密数据安装额外的软件,这节约了我们的使用成本。

  首先先进入Windows Me,然后找到加密的文件夹把里面的文件复制到任何文件夹即可。然后,打开文件看看文件的内容是不是你想要的。

图片 1

  用ESF加密文件

  其次,EFS加密系统对用户是透明的。这也就是说,如果你加密了一些数据,那么你对这些数据的访问将是完全允许的,并不会受到任何限制。而其他非授权用户试图访问加密过的数据时,就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Wind ows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件。

  不过这种方法适用范围不大,因为大多数人都对所有的文件加了密。所以,我们有必要平时备份好EFS加密文件的证书,免得“后悔一辈子”。在已备份加密文件证书的情况下,可以使用以下方法找回加密文件:

图 1

  当你使用了Windows 2000/XP/2003系统(注意Windows XP家庭版不支持EFS加密文件系统),且格式化磁盘为NTFS文件系统,你就具有了应用EFS的条件。

  如何使用EFS加密

  备份密钥:当有备份的密钥时我们重装系统也不会怕打不开以前加过密的文件了。点击“开始→运行”,在“运行”对话框中输入“certmgr.msc”打开证书管理器,点击“证书→当前用户”下的“个人→证书”(看不到?你都没有加密的文件怎么会有证书?)选择“证书”右击,选择“所有任务→导出”,在弹出的“证书导出向导”中选取“导出私钥”,随后选择保存证书的目录,按回车后,私钥便成功导出。

  如果加密的是文件夹,此时会弹出一个对话框(如图2),你可以根据需要,选择仅加密此文件夹、还是将此目录下的子文件夹和文件也一起加密;点击选择之后,点击“确定”按钮,最后再点击“应用”完成。

  要使用EFS加密,只须打开资源管理器,在需要加密的文件(夹)上点鼠标右键,选“属性”,在“属性” 对话框中点“高级”打开“高级属性”对话框,勾选“加密内容以便保护数据”((取消该选项前的钩即可解密文件)。

  要使用EFS加密,首先要保证你的操作系统符合要求。目前支持EFS加密的Windows操作系统主要有Windows 2000全部版本和Windows XP Professional。至于还未正式发行的Windows Server 2003和传闻中的开发代号为Longhorn的新一带操作系统,目前看来也支持这种加密机制。其次,EFS加密只对NTFS5分区上的数据有效(注意,这里我们提到了NTFS5分区,这是指由Windows 2000/XP格式化过的NTFS分区;而由Windows NT4格式化的NTFS分区是NTFS4格式的,虽然同样是NTFS文件系统,但它不支持EFS加密),你无法加密保存在FAT和FAT32分区上的数据。

  当要重新装系统的时候便把原来保存的私钥导入即可。

图片 2

  “确定”后点击“应用”,如果加密的是文件夹,则会弹出图2所示对话框,你可以根据需要选择是仅加密此文件夹还是将此文件夹下的子文件夹和文件也一起

  对于想加密的文件或文件夹,只需要用鼠标右键点击,然后选择“属性”,在常规选项卡下点击“高级”按钮,之后在弹出的窗口中选中“加密内容以保护数据”,然后点击确定,等待片刻数据就加密好了。如果你加密的是一个文件夹,系统还会询问你,是把这个加密属性 应用到文件夹上还是文件夹以及内部的所有子文件夹。按照你的实际情况来操作即可。解密数据也是很简单的,同样是按照上面的方法,把“加密内容以保护数据”前的钩消除,然后确定。

  设置Windows 恢复代理(以下以magic用户为例):

图 2

  最后点击“确定”后,在默认情况下,一般你会发现文件(夹)在资源管理器中显示的颜色变为彩色,表示已经被加密(或压缩)了。

  如果你不喜欢图形界面的操作,还可以在命令行模式下用“cipher”命令完成对数据的加密和解密操作,至于“cipher”命令更详细的使用方法则可以通过在命令符后输入“cipher/?”并回车获得。

  STEP1:首先以magic这个用户登录系统。

  于是在默认情况下,你就会发现刚才EFS加密的文件(夹),在资源管理器中显示的颜色会变为彩色(如图3),例如图3中的文件/文件夹名字的颜色,不是常见的黑色、而是绿色的,这表示它们已经被EFS加密了。

  提示:你也可以不使文件(夹)变色,在资源管理器中,点“工具→文件夹选项→查看”,将“用彩色显示加密或压缩的NTFS文件”取消即可。
EFS加密解密技巧

  注意事项:如果把未加密的文件复制到具有加密属性的文件夹中,这些文件将会被自动加密。若是将加密数据移出来,如果移动到NTFS分区上,数据依旧保持加密属性;如果移动到FAT分区上,这些数据将会被自动解密。被EFS加密过的数据不能在Windows 中直接共享。如果通过网络传输经EFS加密过的数据,这些数据在网络上将会以明文的形式传输。NTFS分区上保存的数据还可以被压缩,不过一个文件不能同时被压缩和加密。最后一点,Windows的系统文件和系统文件夹无法被加密。

  STEP2:在“运行”对话框中输入“cipher /r:c:magic”(magic可以是其他任何名字)回车后要求输入一个密码,随便输入一个回车后便在c盘里出现magic.cer和magic.pfx两个文件。

图片 3

  在实际应用中,我们还可以通过各种技巧来完成EFS加密的相关操作。

  这里还有个窍门,用传统的方法加密文件,必须打开层层菜单并依次确认,非常麻烦,不过只要修改一下注册表,就可以给鼠标的右键菜单中增添“加密”和“解密”的选项。

  STEP3:安装magic.pfx证书,输入刚才设置的保护证书的密码,一路按NEXT就完成了证书的安装。

图 3

  1.添加“加密”右键菜单

  在运行中输入“regedit”并回车,打开注册表编辑器,定位到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion /Explorer/Advanced ,在“编辑”菜单上点击“新建-Dword值”,输入“EncryptionContextMenu”作为键名,并设置键值为“1”。现在退出注册表编辑器,打开资源管理器,任意选中一个NTFS分区上的文件或者文件夹,然后点击鼠标右键,就可以在右键菜 单中找到相应的选项,直接点击就可以完成加密解密的操作。

  STEP4:在“开始→运行”输入“gpedit.msc”,打开组策略编辑器,在“计算机配置→Windows设置→安全设置→公钥策略→正在加密文件系统”下,右击弹出右键菜单,选择“添加数据恢复代理”,打开“添加故障恢复代理向导”打开magic.cer,然后按几次下一步就完成了恢复代理的设置。最后,就可以用magic这个用户名解密加密的文件了。

  对文件的EFS加密方法,与上面介绍的类似。现在我们有了一个EFS加密过的目录(例如test),以后如果你要对某个文件或文件夹进行EFS加密,也可以把它们移到该目录中,这样就会被自动加密。

  如果觉得上述加密方法还是太烦琐,可以在“运行”中输入“regedit”,打开注册表编辑器,找到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced,在右边窗口中点击鼠标右键,选择“新建→Dword值”,取键名为“EncryptionContextMenu”,并设置键值为“1”。

  如果你想设置禁止加密某个文件夹,可以在这个文件夹中创建一个名为“Desktop.ini”的文件,然后用记事本打开,并添加如下内容:

XP的朋友都知道,让他们最烦恼的事当属在重装系统的时候忘了导出备份EFS加密文件的证书。遇上了这种情况怎么办呢?不能眼睁...

  小提示:FAT分区上的文件和文件夹是不能被ESF加密的,另外,标记为“系统”属性的文件,位于Window系统目录中的文件也无法ESF加密。

  退出注册表编辑器,打开资源管理器,任意选中一个NTFS分区上的文件(夹),点鼠标右键,菜单中多出了一个“加(解)密”的选项。你可以直接点击此菜单,即可完成加密解密操作。

  [Encryption]

  2、及时备份密钥

  2.禁止加密某个文件夹

  Disable=1

  ESF加密操作虽然简单,但是如果你重装了系统,以后即使利用原来的用户名和密码,也无法打开EFS加密文件(夹),因此你应该及时备份密钥,这样以后即使重装系统,也能打开加密文件。

  如果你想设置禁止加密某个文件夹,可以在这个文件夹中创建一个名为“Desktop.ini”的文件,然后用记事本编辑内容为:

  之后保存并关闭这个文件。这样,以后要加密这个文件夹的时候就会收到错误信息,除非这个文件被删除。

  备份密钥方法:在WinXP中,点击菜单“开始”/运行,键入certmgr.msc打开证书管理器,点击“证书→当前用户”下的“个人→证书”,只要以前做过加密操作,右边窗口就会有用户名同名的证书(如图4),假如有多份证书,选择“预期目的”为“加密文件系统”的;右击“证书”,在菜单中选择“所有任务→导出”,于是就会弹出一个“证书导出向导”窗口,在窗口中选取“导出私钥”,并按照向导的要求,输入密码保护导出的私钥,选择保存证书的目录,最后证书(CER后缀的文件)和私钥(PFX后缀的文件)便成功导出。

   Encryption
  Disable=1

  而如果你想在本机上彻底禁用EFS加密,则可以通过修改注册表实现。在运行中输入“Regedit”并回车,打开注册表编辑器,定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionEFS,在“编辑”菜单上点击“新建-Dword值”,输入“EfsConfiguration”作为键名,并设置键值为“1”,这样本机的EFS加密就被禁用了。而以后如果又想使用时只需把键值改为“0”。

图片 4

  但是这个方法不能禁止已加密文件夹的文件以及子文件夹。

  如何保证EFS加密的安全和可靠

图 4

  3.彻底禁止EFS加密

  前面我们已经了解到,在EFS加密体系中,数据是靠FEK加密的,而FEK又会跟用户的公钥一起加密保存;解密的时候顺序刚好相反,首先用私钥解密出FEK,然后用FEK解密数据。可见,用户的密钥在EFS加密中起了很大作用。

以后对于这些备份密钥(证书和私钥),我们只要有一个文件,即可恢复加密数据。其他用户如果获得你的备份密钥,也能轻松解密你的加密文件,因此一定要保管好备份密钥。

  要在机器上彻底禁用EFS加密,可以通过修改注册表实现。点击“开始→运行”,输入“Regedit”回车,打开注册表编辑器,找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionEFS,在“编辑”菜单上点击“新建→Dword值”,输入“EfsConfiguration”作为键名,并设置键值为“1”,这样本机的EFS加密就被禁用了。如果想重新使用EFS加密时,只要把键值改为“0”即可。

  密钥又是怎么来的呢?在Windows 2000/XP中,每一个用户都有一个SID(Security Identifier,安全标示符)以区分各自的身份,每个人的SID都是不相同的,并且有唯一性。可以这样理解:把SID想象成人的指纹,虽然世界上已经有几十亿人(同名同姓的也有很多),可是理论上还没有哪两个人的指纹是完全相同的。因此,这具有唯一 性的SID就保证了EFS加密的绝对安全和可靠。因为理论上没有SID相同的用户,因而用户的密钥也就绝不会相同。在第一次加密数据的时候,操作系统就会根据加密者的SID生成该用户的密钥,并把公钥和私钥分开保存起来,供用户加密和解密数据。

二、取消EFS加密有技巧

  备份加密证书

  这一切,都保证了EFS机制的可靠。

  如果你不想对某个文件或文件夹EFS加密了,可以这样取消:打开Windows资源管理器;右键单击加密文件或文件夹,单击“属性”;在“常规”选项卡上点击“高级”;在弹出的窗口中,清除“加密内容以便保护数据”复选框(如图5),最后按“确定”即可。

  重新安装系统后要打开加密文件的解决办法

  其次,EFS机制在设计的时候就考虑到了多种突发情况的产生,因此在EFS加密系统中,还有恢复代理(Recovery Agent)这一概念。

图片 5

  EFS加密原理

  举例来说,公司财务部的一个职工加密了财务数据的报表,某天这位职工辞职了,安全起见你直接删除了这位职工的账户。直到有一天需要用到这位职工创建的财务报表时才发现这些报表是被加密的,而用户账户已经删除,这些文件无法打开了。不过恢复代理的存在就解决 了这些问题。因为被EFS加密过的文件,除了加密者本人之外还有恢复代理可以打开。

图 5

  让我们来简单了解一下EFS是如何工作的。在EFS中,数据靠FEK(文件加密钥匙)加密,而FEK跟用户的公钥一起加密保存;解密的时候顺序刚好相反,首先用私钥解密出FEK,然后用FEK解密数据。简言之,系统是靠你的公钥/私钥(统称密钥)来加解密的。

  对于Windows 2000来说,在单机和工作组环境下,默认的恢复代理是 Administrator ;Windows XP在单机和工作组环境下没有默认的恢复代理。而在域环境中就完全不同了,所有加入域的Windows 2000/XP计算机,默认的恢复代理全部是域管理员。

  三、如何找回EFS加密文件?

  那么密钥从何而来呢?密钥是通过用户的SID产生的。在Windows 2000/XP中,每一个用户都有一个SID(安全标示符),首次使用EFS时,系统会根据SID首先生成密钥。SID都是惟一的,如同人的指纹,因而用户的密钥也绝不会相同,这就保证了EFS加密的可靠。目前,据官方消息说EFS还未证实被破解过。

  这一切,都保证了被加密数据的安全。
 如何避免不慎使用EFS加密带来的损失

  当加密文件的系统账户出问题了,或者重装了系统之后,EFS加密文件就无法访问了,许多朋友都遇到过这样的问题,网上到处都是类似的求助帖子,为此,你可以这样来破解:

  需要注意的是,如果重新安装了系统,就会产生一个新的SID,即使你安装系统的时候采用的是原来的用户名和密码,也无法直接打开原来被加密的文件(夹)了,很多朋友经常由于忽略了这一点而导致数据损失。

  如果你也和我一样,由于对EFS加密不了解致使重要数据丢失,那么也别气馁,就当买了个教训。毕竟通过这事情你还是能学会很多东西的。那就是:备份密钥!设置有效的恢复代理!

  1、以前备份有PFX私钥

  备份密钥

  对于上面讲到的情况1,备份密钥可以避免这种悲剧的发生。在运行中输入“certmgr.msc”然后回车,打开证书管理器。密钥的导出和导入工作都将在这里进行。

  假如你以前备份有PFX私钥文件,现在想打开加密文件绝对不成问题!找到备份的PFX私钥文件,鼠标右击该文件,在弹出的菜单中选择“安装PFX”,系统将弹出“证书导入向导”,键入当初导出证书时输入的密码,然后选择“根据证书类型,自动选择证书存储区”即可,完成后就可以访问EFS加密文件了。

  既然EFS采用加密密钥来进行加解密,那么只要加密密钥存在,我们就能恢复数据。因此,将密钥备份下来以作不时之需是最好的办法。

  在你加密过文件或文件夹后,打开证书管理器,在“当前用户”-“个人”-“证书”路径下,应该可以看见一个以你的用户名为名称的证书(如果你还没有加密任何数据,这里是不会有证书的)。右键点击这个证书,在“所有任务”中点击“导出”。之后会弹出一个证书 导出向导,在向导中有一步会询问你是否导出私钥,在这里要选择“导出私钥”,其它选项按照默认设置,连续点击继续,最后输入该用户的密码和想要保存的路径并确认,导出工作就完成了。导出的证书将是一个pfx为后缀的文件。

  2、以前备份有CER证书

  点击“开始→运行”,在“运行”对话框中输入“certmgr.msc”打开证书管理器,打开“证书→当前用户”下的“个人→证书”,只要你做过加密操作,右边窗口就会有与用户名同名的(如果有多份证书,选“预期目的”为“加密文件系统”)证书。

  重装操作系统之后找到之前导出的pfx文件,鼠标右键点击,并选择“安装PFX”,之后会出现一个导入向导,按照导入向导的提示完成操作(注意,如果你之前在导出证书时选择了用密码保护证书,那么在这里导入这个证书时就需要提供正确的密码,否则将不能继续 ),而之前加密的数据也就全部可以正确打开。

  假如你以前未备份PFX私钥文件、但是备份过CER证书,如果又重装了系统,就没有办法打开加密文件了,假如还没有重装系统,可以这样破解:

  选中证书后点鼠标右键,选“所有任务→导出”,在弹出的“证书导出向导”中,选择“导出私钥”,并按照向导的要求输入密码来保护导出的私钥,最后存储为一个PFX后缀的文件。

  对于情况2,我们对Windows XP和Windows 2000两种情况分别加以说明。

 

  当加密文件的账户出现问题或重新安装了系统后需要访问或解密以前加密的文件时,只要使用鼠标右键单击备份的证书,选择“安装PFX”,系统将弹出“证书导入向导”,键入当初导出证书时输入用于保护备份证书的密码,然后选择让向导“根据证书类型,自动选择证书存储区”即可。完成后就可以访问以前的加密文件了。

  由于Windows XP没有默认的恢复代理,因此我们加密数据之前最好能先指定一个默认的恢复代理(建议设置Administrator为恢复代理,虽然这个账户没有显示在欢迎屏幕上,不过确实是存在的)。这样设置:

  点击菜单“开始”/运行,键入certmgr.msc打开证书管理器,点击“证书→当前用户”下的“个人”;然后右击鼠标,在弹出的菜单中选择“所有任务→导入”,在“证书导入向导”窗口中按提示操作,点“浏览”按钮,选择“个人”(如图6),把证书导入到“个人”存储区。
然后在左侧点击“个人”下的证书,右边窗口就会看见一个证书,右击该证书,选择菜单“所有任务→用相同密钥续订证书”(如图7),就可以访问EFS加密文件了。

  提示:需要注意的是,任何其他用户只要获得了你备份的证书,都可以对你的加密文件进行解密,因此一定要确保备份证书的安全性。
小知识

  首先要获得可以导入作为恢复代理的用户密钥,如果你想让Administrator成为恢复代理,首先就要用Administrator账户登录系统。在欢迎屏幕上连续按Ctrl+Alt+Del两次,打开登录对话框,在用户名处输入Administra tor,密码框中输入你安装系统时设置的Administrator密码,然后登录。首先在硬盘上一个方便的地方建立一个临时的文件,文件类型不限。这里我们以C盘根目录下的一个1.txt文本文件文件为例,建立好后在运行中输入“CMD”然后回车,打开 命令提示行窗口,在命令提示符后输入“cipher /r:c:1.txt”,回车后系统还会询问你是否用密码把

图片 6

  1.把未加密的文件复制到已经加密的文件夹中,这些文件会被自动加密。

2000/XP已经被越来越多的人使用,很多人还用Windows 2000/XP自带的EFS加密功能把自己的一些重要数据加...

图 6

  2.若是将加密文件移动到NTFS分区上,数据会保留加密属性;如果移动到FAT(FAT32)区上,这些数据将会被自动解密。另外,NTFS分区上保存的文件不能同时被压缩和加密。

图片 7

  3.Windows的系统文件和系统文件夹不能被加密。

图 7

  用恢复代理解密文件

  结束语

  删除用户后打开加密文件的解决办法

  有人说,EFS加密虽然牢不可破、简单好用,但是加密文件却经常打不开,这是由于你没有备份私钥文件造成的。如果你没有备份私钥,重装系统之后,EFS加密文件就会打不开。假如发生了这样的事情,对于Win2000系统,可以使用恢复代理来解密,即用Administrator这个用户登录系统,然后就能打开加密文件了;如果系统是WinXP,目前还没有办法打开加密文件,因为EFS加密现在还无人能破解,既找不到破解软件,也没有破解方法。因此最后还是要提醒你,加密之后一定要备份私钥!只要你备份了PFX私钥文件,EFS加密就不会出问题

  EFS加密是安全可靠的,那么,一旦用户账户被删除,就像开头提到的那位,重新创建一个相同的用户可以打开吗?答案当然是否定的,重新创建的用户虽然与以前用户同名,但是系统却不会分配相同的SID(记住,不可能存在相同SID!除非是克隆系统),因此密钥也不同,加密的文件自然就无法打开了。

...

  当然,这种情况也不是完全没有解决的办法,因为用EFS加密过的文件,除了加密者本人之外还有“恢复代理”可以打开。恢复代理是一种特殊的用户,作用是解开用EFS加密的文件。

  对于Windows 2000来说,在单机和工作组环境下,默认的恢复代理是 Administrator ;Windows XP在单机和工作组环境下没有默认的恢复代理。而在域环境中就完全不同了,所有加入域的Windows 2000/XP计算机,默认的恢复代理全部是域管理员。所以我说那位网友是幸运的,因为他用的是Windows 2000,可以用Administrator这个用户登录系统,然后就能直接打开或者解密文件。

  大量使用Windows XP的朋友就没有那么幸运了,由于没有默认的恢复代理,事先又没有设置恢复代理,一旦用户被删除,你面临的将是数据的丢失。因此如果你使用的是Windows XP用户,请事先设置恢复代理。

  设置Windows XP恢复代理

  1.首先确定用哪个用户作为恢复代理,可以设置任何用户,比如你想让USER成为恢复代理,就用USER账户登录系统(一般建议使用Administrator作为恢复代理)。

  2.在“运行”中输入“cipher /rc: est”(test可以是任何其它名字),回车后系统会提示询问是否用密码把证书保护起来,你可以自己设置一个密码,也可不需要密码保护就直接按回车。完成后我们在C盘的根目录下可以发现test.cer和test.pfx两个文件(在资源管理器中点“工具→文件夹选项→查看”,取消“隐藏已知文件类型的扩展名”才能看到文件后缀名)。

  3.先使用鼠标右键单击PFX文件,选择“安装PFX”,将弹出“证书导入向导”,如果提示输入密码,就输入步骤2中设置的密码,选中“标示此私钥为可导出的”,下一步选择“根据证书类型,自动选择证书存储区”导入证书。

  4.在“运行”中输入“gpedit.msc”并回车,打开组策略编辑器。在“计算机配置→Windows设置→安全设置→公钥策略→正在加密文件系统”下,点击鼠标右键,并选择“添加数据恢复代理”,按“添加故障恢复代理向导”打开test.cer,完成后即成功将USER用户设置为指定恢复代理

  现在,登录USER用户,就可以解密所有在指定恢复代理后被加密的文件(夹)了。注意,在设置恢复代理前已经加密的文件是不能解密的,所以必须未雨绸缪,事先设置恢复代理。
EFS加密疑难解答

  1.重装系统后默认的恢复代理是否能恢复以前的加密数据?

  不能,假设Administrator用户是默认恢复代理,重装系统后,这个Administrator的SID已经发生了变化,所以不能作为以前用户的恢复代理了,只有将备份的证书导入才能打开文件。

  2.被EFS加密过的数据是否绝

...

本文由葡京网投哪个正规发布于联系我们,转载请注明出处:EFS的加密方法和解密必知,EFS加密出了问题怎么办

关键词:

上一篇:三种加密方式一起看,Win10系统如何使用微软账户进行登陆

下一篇:没有了