思科認證：講解EFS的加密技巧

NTFS：Windows 2000/XP/2003支援的、一個特別為網路和磁碟配額、檔案加密等管理安全特性設計的磁碟格式。思科培訓NTFS支援檔案加密管理功能，可為使用者提供更高層次的安全保證。

MMC：Microsoft Management Console的簡稱，是一個集成了用來管理網路、計算機、服務及其他系統元件的管理工具。MMC不執行管理功能，但整合管理工具。可以新增到控制面板的主要工具型別稱為管理單元，其他可新增的專案包括 ActiveX 控制元件、指向 Web 頁的連結、資料夾、任務板檢視和任務。

由於EFS的使用者驗證過程是在你登入Windows時進行的，所以只要授權使用者登入到Windows，就可以開啟任何一個被授權的加密檔案。因此，實際上EFS對使用者來說是透明的。也就是說如果你加密了某些資料後，你對這些資料的訪問將不會有任何限制，而且不會有任何提示，你根本感覺不到它的存在。但是當其他非授權使用者試圖訪問加密過的資料時，就會收到“訪問拒絕”的錯誤提示，從而保護我們的加密檔案。

　　小提示：

如果你要使用EFS加密檔案系統，必須將Windows 2000/XP/Server 2003的加密檔案所在分割槽格式化為NTFS格式。

　　實戰一：實戰EFS資料夾加密

第一步：右擊選擇要加密的資料夾，選擇“屬性”，然後單擊彈出視窗中的“常規”標籤，再單擊最下方的“屬性→高階”，在“壓縮或加密屬性”一欄中，把“加密內容以便保護資料”勾選上。

第二步：單擊“確定”按鈕，回到檔案屬性再單擊“應用”按鈕，會彈出“確認屬性更改”視窗，在“將該應用用於該資料夾、子資料夾和檔案”打上“√”，最後單擊“確定”按鈕即開始加密檔案。思科培訓這樣這個資料夾裡的原來有的以及新建的所有檔案和子資料夾都被自動加密了。

第三步：如果想取消加密，只需要右擊資料夾，取消“加密內容以便保護資料”的勾選，確定即可。

　　小提示

在命令列模式下也可用“cipher”命令完成對資料的加密和解密操作，在命令符後輸入“cipher/?”並回車可以得到具體的命令引數使用方法。

　　實戰二：右鍵輕鬆加密解密

用上述方法加密檔案須確認多次，非常麻煩，其實只要修改一下注冊表，就可以給滑鼠的右鍵選單中增添“加密”和“解密”選項，以後在需要時用右擊即可完成相關操作。單擊“開始→執行”，輸入regedit後回車，開啟登錄檔編輯器，定位到[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Exporer/Advanced]，在“編輯”選單上單擊“新建→DWORD值”，然後輸入EncryptionContextMenu作為鍵名，並設定鍵值為“1”。退出登錄檔編輯器，開啟資源管理器，任意選中一個NTFS分割槽上的檔案或者資料夾，右擊就可以在右鍵選單中找到相應的“加密”和“解密”選項，直接單擊就可以完成加密/解密的操作。

　　實戰三：多使用者禁止特殊資料夾加密

在多使用者共用電腦的時候，我們通常將使用者指定為普通使用者許可權，但是普通使用者賬戶在預設的情況下是允許使用加密功能，因此如果在一些多使用者共用的電腦上有人利用EFS加密檔案，勢必會給其他使用者帶來許多麻煩。所以需要設定某些特定的資料夾禁止被加密，或者禁止檔案加密功能。

先來說說如何只想禁止加密某個資料夾，方法是隻要在該資料夾中用記事本建立一個名為的檔案，然後新增如下內容：

最後儲存這個檔案即可。這樣如果以後其他使用者試圖加密該資料夾時就會出現錯誤資訊，無法進行下去。思科培訓龍旭講師提醒你要注意，你只能使用這種方法禁止其他使用者加密該資料夾，資料夾中的子資料夾將不受保護。

　　實戰四：禁用EFS加密功能

如果要徹底禁用EFS加密，可以開啟“登錄檔編輯器”，定位到[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionEFS]，在“編輯”選單上單擊“新建→Dword值”，然後輸入EfsConfiguration作為鍵名，並設定鍵值為“1”，這樣本機的EFS加密就被禁用了。

　　實戰五：匯出EFS金鑰

使用Windows 2000/XP的加密後，如果重灌系統，那麼原來被加密的檔案就無法打開了!如果你沒有事先做好金鑰的備份，那麼資料是永遠打不開的。由此可見，做好金鑰的被備份就很重要。

第一步：首先以本地帳號登入，最好是具有管理員許可權的使用者。然後單擊“開始→執行”，輸入“MMC”後回車，開啟控制面板介面。

第二步：單擊控制面板的“控制面板→新增刪除管理單元”，在彈出的“新增/刪除管理單元”對話方塊中單擊“新增”按鈕，在“新增獨立管理單元”對話方塊中選擇“證書”後，單擊“新增”按鈕新增該單元。如果是管理員，會要求選擇證書方式，選擇“我的使用者證書”，然後單擊“關閉”按鈕，單擊“確定”按鈕返回控制面板。

第三步：依次展開左邊的“控制面板根節點→證書→個人→證書→選擇右邊視窗中的賬戶”，右擊選擇“所有任務→匯出”，彈出“證書匯出嚮導”。

第四步：單擊“下一步”按鈕，選擇“是，匯出私鑰”，單擊“下一步”按鈕，勾選“私人資訊交換”下面的“如果可能，將所有證書包括到證書路徑中”和“啟用加強保護”項，單擊“下一步”按鈕，進入設定密碼介面。

第五步：輸入設定密碼，這個密碼非常重要，一旦遺忘，將永遠無法獲得，以後也就無法匯入證書。輸入完成以後單擊“下一步”按鈕，選擇儲存私鑰的位置和檔名。

第六步：單擊“完成”按鈕，彈出“匯出成功”對話方塊，表示你的證書和金鑰已經匯出成功了，開啟儲存金鑰的路徑，會看到一個“信封+鑰匙”的圖示，這就是你寶貴的金鑰!丟失了它，不僅僅意味著你再也打不開你的資料，也意味著別人可以輕易開啟你的資料。

　　實戰六：匯入EFS金鑰

由於重灌系統後，對於被EFS加密的檔案我們是不能夠開啟的，所以重灌系統以前，一定記住匯出金鑰，然後在新系統中將備份的金鑰匯入，從而獲得許可權。

　　小提示

確保你匯入的金鑰有檢視的權利，否則就是匯入了也沒有用的。這一點要求在匯出時就要做到。

記住匯出時設定的密碼，最好使用和匯出是相同的使用者名稱。

第一步：雙擊匯出的金鑰(就是那個“信封+鑰匙”圖示的檔案)，會看到“證書匯入嚮導”歡迎介面，單擊“下一步”按鈕，確認路徑和金鑰證書，然後單擊“下一步”繼續。

第二步：在“密碼”後面輸入匯出時設定的密碼，把密碼輸入後勾選“啟用強金鑰保護”和“標誌此金鑰可匯出”(以確保下次能夠匯出)，然後單擊“下一步”繼續。

第三步：根據提示，依次單擊“下一步”按鈕，OK了，單擊完成按鈕，看到“匯入成功”就表示你已經成功匯入金鑰了。

試試看，原來打不開的檔案，現在是不是全部都能打開了呢?

　　小提示

EFS加密的檔案打不開了，把NTFS分割槽轉換成FAT32分割槽或者使用相同的使用者名稱和密碼登入甚至重新Ghost回原系統都不能解決問題，因此備份和匯入EFS金鑰就顯得非常重要。

Windows XP家用版並不支援EFS功能。