• 常见问题
• 文章
• 教程
• Web工具
• 参考
• 博客
• 代理
• 软件
• 手机

• 微软文件系统文章
• NT文件系统权限
• 文件分配表文件系统
• 文件压缩
• 加密文件系统
• 理解卷影副本
• 文章菜单
• » 的Windows Server
• » 微软网络
• » Microsoft安全性
• » Active Directory中
• » 微软的IIS
• » 微软的IPSec
• » 微软的DNS
• » 微软的DHCP
• » 微软的WINS
• » 微软文件
• » 远程访问
• » 微软Exchange
• » 微软SMS
• » 微软ISA服务器
• » 微软的BizTalk Server
• 主菜单
• » 网络
• » 物理层
• » 数据链路层
• » 网络层
• » 网络安全
• » 无线网络
• » 的VoIP
• » 电话
• » 移动电话
• » 电子
• » 广播电台
• » 电视
• » 密码
• » 密码
• » 智能卡
• » 隐私
• » 恶意软件
• » 漏洞
• » Unix系统
• » 麦金塔
• » 微软Windows
• » 网络
• » Web发布
• » 电子邮箱
• » 即时消息
• » 数据库
• » 计算机硬件
• » CPU的
• » 记忆
• » 存储
• » 视频
• » 音频
• » 多媒体
• » 卫星
• » 爪哇
• » IT管理
• » 科学
• » 杂项

加密文件系统（ EFS ）

英法西概况

加密文件系统（ EFS ）使得用户能够加密文件和文件夹，整个数据硬盘在NTFS格式的卷。 NTFS的，您可以设置权限的文件和文件夹在NTFS格式的音量控制访问这些文件和文件夹。 英，法，西，您可以加密文件和文件夹，以进一步加强安全的这些文件和文件夹。 即使未经授权的人访问管理的文件和文件夹，因为配置不正确的NTFS权限，文件和文件夹将被加密！ 只有文件的所有者，授权用户和指定恢复代理可以解密加密的文件。 在这种方式下，英，法，西确保企业机密数据的未经授权的访问。

英法西利用行业标准的算法和公钥加密，以确保强大的加密功能。 该文件是加密的，因此一直保密。 即使登录身份验证和NTFS文件权限是为了保护机密数据，您可以使用EFS添加额外的安全层。 这将确保，当黑客获得对数据存储的计算机，数据位于担保文件，因为EFS加密。 未经授权的人将无法打开加密文件。

英法西在Windows Server 2003进一步改善的能力英法西在Windows 2000中。 用户正在利用英，法，西可以共享加密文件与其他用户的文件共享，甚至Web文件夹。 您可以配置英，法，西通过组策略的功能和命令行工具。 英，法，西，非常适合以确保敏感数据的便携电脑。 它也运行良好，以确保数据的电脑时，多个用户共享。

如何英法西工程

英法西实际上是牢固结合的NTFS ，它的文件加密和解密过程是透明的用户 。 这意味着，当用户保存文件，英，法，西数据加密的数据被写入磁盘，当用户打开一个文件，它是由英，法，西解密的数据是从磁盘读取。 用户基本上是不知道这个过程中，并没有必要采取任何行动开始EFS加密和解密。 有可能是第三方的技术，可以提供的文件加密功能，但这些计划还没有完全透明的用户。 这些计划，负责将放在用户记住利用加密程序。 这反过来又导致较弱的安全进程，并可能造成安全漏洞的敏感机密数据。

英法西利用键加密和解密数据，加密应用程序编程接口（ CryptoAPI ）的架构，以提供加密功能。 虽然可以使用企业证书颁发机构（ CA ）的证书，这不是必需的。 如果没有十分的情况下，英，法，西标志证书可用于文件加密。 由于此功能，英，法，西可功能的计算机上的一个域的成员，并在独立的计算机。

其中英，法，西的钥匙使用加密和解密数据，是一个公共和私人密钥对，和每个文件加密密钥。 英法西生成一个文件加密密钥（ FEK ）这是一个对称密钥来加密数据。 文件加密密钥（ FEK ）是下一个加密的方式使用非对称加密用户的公钥。 实际使用非对称加密的公用和私人钥匙对加强安全。 加密FEK ，然后储存加密的档案。 当文件需要解密，必须在FEK解密。 该用户的私人钥匙是用来解密FEK 。 该FEK ，然后用来解密的数据文件。

英法西关键特性

• 英法西是默认打开的。 不过用户需要一个公共和私人密钥对，并允许使用EFS 。
• 英法西需要一个恢复代理证书，它的工作。 它将产生凭证如果您没有一个。
• 英法西只能加密文件时， NTFS文件系统的使用情况。
• 加密并不会影响文件和文件夹权限
• 您可以授权多个用户共享加密文件
• 英，法，西，当您移动文件到不同的文件系统，加密被删除。
• 当您移动文件到一个文件夹中的加密，档案留在其原来的形式。 它可以保持加密或加密。
• 当您将文件复制到一个加密的文件夹，该文件将被加密。
• 当一个文件夹被加密，所有的临时文件在这一特定的文件夹被加密的。
• 加密被列为档案属性，因此显示的其余部分的属性文件。
• 英，法，西可以加密和解密文件的远程计算机上
• 脱机文件也可以被加密的英法西
• 文件的加密可以存储在Web文件夹
• 英，法，西先前利用扩展数据加密标准（ DESX ）进行加密。 与Windows Server 2003中，三重DES （ 3DES加密）加密算法可用于加强安全的英，法，西。
• 您可以备份加密文件。
• 任何压缩文件和文件夹需要解压缩才能加密
• 系统文件和文件夹不能被加密。
• 文件或文件夹在漫游用户配置文件不能被加密

英法西的组成部分

英法西使用下列组件能够履行其职责：

• 英法西服务 ：英，法，西通信服务与英，法，西司机通过当地过程调用（ LPC ）端口。 在英法西服务和Microsoft加密应用程序开发界面（ CryptoAPI ）的沟通，与英，法，西服务接收文件加密密钥从CryptoAPI 。 它使用这些密钥生成数据解密领域（直接数字频率合成器）和数据恢复领域（协和钢板） 。 文件加密密钥（ FEK ）是用于数据的文件。 在英法西服务传递FEK ，因子，以及光纤到英，法，西英，法，西司机通过文件系统运行时库（ FSRTL ） 。
• 英法西司机 ：在英法西司机请求文件加密钥匙，直接数字频率合成器和协和钢板从英，法，西服务。 然后，这些继电器的英，法，西FSRTL 。
• 英法西文件系统运行时库（ FSRTL ） ：在英法西FSRTL存在于英，法，西司机，并经营与英，法，西司机作为一个组成部分。 NTFS文件控制标注是用作沟通机制两者之间的关系。 在英法西FSRTL开展了一系列的文件系统的功能，其中包括加密，解密和恢复文件数据时，它是从磁盘读取或写入磁盘。
• 微软的加密应用程序界面（ CryptoAPI ） ： CryptoAPI是利用英，法，西的加密功能。 CryptoAPI支持加密，解密，散列，数字签名和验证时，密钥管理，安全储存，以及密钥交换业务。

如何文件加密和解密

如前所述，英，法，西利用公共密钥和对称密钥加密，以确保内容的文件和文件夹。 该算法在公共密钥加密利用非对称密钥进行加密和解密。 这意味着，该键用来加密和解密数据是不同的，因为私钥和公钥是利用。 私钥存放业主的关键。 公共密钥可以用来在网络上。

当数据被加密，英，法，西产生了一个独特的FEK加密文件。 然后加密FEK使用公钥证书的用户。 英法西使用FEK ，以确保加密发生迅速。 私人钥匙的用户是利用解密FEK 。

下面列出的进程时，就会发生一个用户加密的文件：

• 该文件被打开的英，法，西服务
• 该数据流的文件复制到下一个临时文件明文设在临时目录中的系统
• 英法西产生了独特的FEK 。
• 的FEK用来加密的文件或者通过是或3DES加密。
• 数据解密领域（光纤）的创建。 该光纤持有FEK加密通过公共密钥的用户。
• 凡恢复代理的定义是通过组策略，在数据恢复领域（协和钢板）创建。
• 加密的数据，光纤，以及因子存放在该文件。
• 临时文件的明文设在临时目录中的系统将被删除。

下面列出的进程时，就会发生文件解密：

• NTFS的实际确定了文件被加密，然后提交请求解密通过对英，法，西司机。
• 司机旁边的英，法，西获得的数据解密领域（光纤） ，并传送到英，法，西服务。
• 获得了英，法，西服务的私人钥匙的用户。 它采用这一关键解密光纤。
• 一旦英法西服务已解密的光纤，并取得了FEK ，它发出的FEK到英，法，西司机。
• 在英法西司机利用FEK它收到了英，法，西解密服务中的数据文件。
• 在英法西司机然后通过解密数据为NTFS 。

英，法，西及证书

一旦用户可以加密文件夹或文件，英，法，西检查用户是否企业证书存储在个人证书存储。 英法西请求证书时，用户无法找到证书的个人证书存储，从证书颁发机构（ CA ） 。 英法西收益建立一个自签署证书的用户，如果没有企业CA 。 在英法西证书的用户访问时，英，法，西需要加密和解密FEK 。 英法西还再次EFS证书已过期。

证书是从企业CA证书使用模板，存储在Active Directory中。 证书模板的属性详细的证书类型，可发给用户和计算机。 该证书的模板，支持英，法，西的用户，管理员，和基本英法西。 企业。 机关利用访问控制列表（ ACL ）时，以确定是否需要证书请求应予以批准。 用户因此，必须有注册许可的证书模板，已签发的证书。 成员的Domain Admins组和Domain Users组有此权限。 用户可以使用证书管理单元请求证书。

使用下面的步骤，要求来自CA的凭证通过证书管理单元

1. 打开证书管理单元
2. 着手扩大个人文件夹。
3. 右键单击证书，并选择所有任务，然后申请新证书的快捷菜单
4. 请求新证书向导发射。
5. 选择的基本选项，英，法，西证书类型屏幕。 单击下一步
6. 提供信息的友好名称和描述。 单击下一步
7. 单击完成以退出向导。
8. 新的证书存储在证书文件夹中。

您可以使用证书管理单元，以检查您是否已经有一个证书

1. 进行浏览，打开证书管理单元设置为我的用户帐户
2. 扩大个人文件夹
3. 右键单击证书，查看证书是否存在

加密/解密文件使用EFS

有人建议，以使EFS加密的文件夹，而不是使它的个人档案。 这样，您就不需要加密时，每一个人档案保存文件。

使用下面的步骤来加密文件夹

1. 打开我的电脑
2. 右键单击该文件夹，你要加密，并选择属性从快捷菜单。
3. 当属性对话框中的文件夹打开，单击高级按钮，在常规选项卡上。
4. 高级属性对话框。
5. 在压缩或加密属性部分的高级属性对话框中，使加密内容以便保护数据复选框。
6. 单击确定以启用加密的文件夹和所有文件是否包含在该文件夹。
7. 额外的信息显示在一个对话框时，该文件夹包含子文件夹和文件的加密。 邮件提示您验证您的设置是否应适用于该文件夹只或文件夹的子文件夹和文件以及。
8. 如果您选择更改应用于此文件夹的唯一选择，在发生下列情况：
• 文件已经存储在该文件夹和任何子文件夹留在原来的状态
• 文件创建的文件夹中的加密
• 文件复制到该文件夹由您和其他用户的加密
• 新创建的文件中，复制或移动到子文件夹留在其原始状态。
9. 如果您选择更改应用于此文件夹，子文件夹和文件选项时，发生下列情况：
• 文件已经存储在该文件夹和任何子文件夹被加密，如果您有写权限。
• 新创建的文件中，复制或移动到子文件夹被加密，无论是您或其他用户

使用下面的步骤可以解密文件夹

1. 右键单击该文件夹，你要解密，并选择属性从快捷菜单。
2. 当属性对话框中的文件夹打开，单击高级按钮，在常规选项卡上
3. 当高级属性对话框，清除加密内容以便保护数据复选框。

如何加密脱机文件

1. 打开我的电脑
2. 使用这些工具菜单选择文件夹选项项目
3. 使用脱机文件标签：
• 启用脱机文件
• 加密脱机文件
4. 单击确定

如何看待的地位， EFS加密

1. 打开我的电脑
2. 使用这些工具菜单选择文件夹选项项目
3. 单击查看选项卡
4. 使显示加密或压缩的NTFS文件彩色复选框。
5. 单击确定
6. 加密文件夹和文件名显示为绿色。

如何使英法西选择快捷菜单上的

如果英法西选项启用快捷菜单上，用户只需右键单击该文件夹或文件进行加密或解密该文件或文件夹。

1. 单击开始，运行，输入Regedit.exe中在运行对话框中。 单击确定
2. 打开注册表编辑器
3. 找到以下子项：

HKEY_LOCAL_MACHINE \软件\微软\的Windows \ CurrentVersion \ Explorer中\高级

4. 使用编辑菜单中选择新建，然后DWORD值
5. 着手指定EncryptionContextMenu的值的名称，值数据为1 。
6. 注册表更改立即生效。

如何使用cipher.exe查看，创建或修改加密的文件夹和文件

Cipher.exe是一个命令行工具，可以用来加密和解密文件夹或文件。 使用密码的命令，没有开关将显示地位加密的文件夹和文件的文件夹内。

的语法密码命令及其参数如下：

cipher [{/e|/d}][/s:Folder][/a][/i][/f][/q][/h][/k][/u [/n]] 电子cipher [{/e|/d}][/s:Folder][/a][/i][/f][/q][/h][/k][/u [/n]]天cipher [{/e|/d}][/s:Folder][/a][/i][/f][/q][/h][/k][/u [/n]] s的cipher [{/e|/d}][/s:Folder][/a][/i][/f][/q][/h][/k][/u [/n]]条cipher [{/e|/d}][/s:Folder][/a][/i][/f][/q][/h][/k][/u [/n]] q一起cipher [{/e|/d}][/s:Folder][/a][/i][/f][/q][/h][/k][/u [/n]]小时cipher [{/e|/d}][/s:Folder][/a][/i][/f][/q][/h][/k][/u [/n]]正 cipher [{/e|/d}][/s:Folder][/a][/i][/f][/q][/h][/k][/u [/n]]

• /e电子，加密特定文件夹和文件进行加密增加以及
• /d天，解密的特殊文件夹。 加密属性是从文件夹中。
• /s:Folder s的/s:Folder ，用来指示该文件夹和子文件夹，应该利用
• /a ，用来加密文件在当前目录
• /i我，用来表明，目前的进程应该继续下去，即使存在错误。
• /f ，用来强制加密或解密的所有文件和文件夹的定义
• /q q一起，只列出重要信息
• /h小时，列出的文件已隐藏属性和系统属性
• /k ，生成一个新的FEK为特定的用户运行的命令
• /u ，更新FEK的用户和关键的恢复代理。 使用/ n开关
• /n正，停止键被更新。 使用/ U开关

如何授权多个用户访问加密文件

在授权多个用户访问加密文件，请考虑以下几点：

• 文件共享，网络文件夹或远程会议所需的授权用户共享文件的英，法，西跨网络。
• 你的用户将授权进入英，法，西文件必须有EFS证书
• 当你授权的用户可以解密文件时，用户会自动能够授权其他用户访问该文件

使用以下步骤来共享文件，英，法，西，其他用户

1. 打开我的电脑
2. 右键单击加密文件，并选择属性从快捷菜单。
3. 当高级属性对话框打开，单击详细信息按钮
4. 加密信息对话框打开。
5. 单击添加打开选择用户对话框。
6. 现在您可以添加一个用户从本地计算机，或从Active Directory 。
7. 单击该证书的用户添加一个用户从本地计算机。 单击确定
8. 点击查找用户按钮，找到用户在Active Directory中。
9. 然后单击浏览时，查找用户，联系人和组对话框打开找到的使用者（ ） 。
10. 单击该文件夹或域，应在搜查浏览集装箱对话框。
11. 选择的使用者（ ） ，然后单击确定

文件恢复代理

能够恢复数据成为重要的雇员时放错了地方的私人钥匙或离开该组织不解密的所有文件。 这是恢复代理时，变得很重要。 为了利用英，法，西，一个加密数据恢复代理政策必须存在。 英法西自动使用默认的恢复代理时，没有加密的数据恢复代理的政策存在。 成员的Domain Admins组可以指定帐户用于恢复代理帐户。 地方政策可用于独立计算机指定帐户数据恢复代理。 这些帐户通常是管理员帐户。 减阻剂的证书存储在证书存储在计算机当用户接入域的电脑，包括在一系列的EFS回收政策。 这使每个域电脑来存取公共密钥的减阻剂。 加密的文件包含的数据恢复领域，从而持有该文件加密FEK 。 阿减阻剂可以解密加密的文件，在一系列的EFS回收政策，通过利用私人钥匙。
您应该定义多个DRAs通过英，法，西回收政策如果您想多用户能够解密文件。 文件，通常也更加安全，如果只有一个人可以解密文件。 缺点是，虽然该文件是少可收回。

使用以下步骤添加恢复代理的本地计算机

1. 单击开始，运行，然后输入的MMC在运行对话框中。 单击确定
2. 选择添加/删除管理单元中从文件菜单中，并单击添加。
3. 在添加独立管理单元对话框中，选择组策略对象编辑器。 单击添加。
4. 确保本地计算机已被选中。 单击确定
5. 在左窗格中，着手展开本地计算机策略，计算机配置， Windows设置，安全设置和公开密钥设置。
6. 右键单击加密文件系统，然后选择属性从快捷菜单。
7. 英法西是计算机上运行的，如果允许用户加密文件使用加密文件系统（ EFS ）复选框已启用。 单击确定
8. 右键单击加密文件系统，并选择添加数据恢复代理的快捷菜单。
9. 添加恢复代理向导启动。
10. 提供用户名的用户已恢复证书。 单击下一步
11. 在选择恢复代理屏幕，浏览文件夹/目录中指定的用户。
12. 单击下一步。 单击完成。

使用以下步骤删除契约

1. 使用组策略，在左边窗格中，着手展开本地计算机策略，计算机配置， Windows设置，安全设置公钥策略，加密文件系统
2. 减阻剂选择您要删除，并删除证书。

如何进口和出口英，法，西和减阻剂的证书和私钥

用户可以确保获得出口加密文件的EFS证书和私钥到可移动媒体。

使用以下步骤来导出证书到可移动介质

1. 着手进入证书管理单元
2. 扩大个人文件夹，然后双击证书
3. 找到并右键单击该证书要出口，并选择所有任务，然后出口的快捷菜单。
4. 选择是，导出私钥。
5. 您现在可以选择删除私钥的计算机后，已出口，或者您也可以选择离开它的电脑上。 在选择一种选择适合您的需要，单击下一步
6. 提供的密码保护导出的私钥。 单击下一步
7. 提供的名称出口证书和私钥。
8. 单击下一步。 单击完成。

使用以下步骤导入证书

1. 着手进入证书管理单元
2. 扩大个人文件夹，然后右键单击证书，选择所有任务，然后导入的快捷菜单。
3. 输入证书文件，应该进口。
4. 提供适当的密码打开该文件
5. 指定的位置证书应当进口。

如何加强和文件安全的关键

您可以加强安全，将DESX算法，利用英，法，西，以更有力的3DES加密算法。 您可以使用该系统加密组策略设置，使3DES加密的加密IP安全和英，法，西。 但是，您可以更改相应的注册表设置在HKEY_LOCAL_MACHINE \软件\微软\ WindowsNT \ CurrentVersion \英法西主要通过注册表编辑器，使3DES加密加密的英，法，西只。

您也可以使用启动键，以保护主密钥和机密信息，这些信息存放在电脑上。 启动键也称为syskey 。 启动键会自动创建的计算机是一个域的成员。 您必须手动创建一个启动键为一个独立的计算机。

启动关键保护下面的机密资料：

• 主键：这些键用来保护私钥。
• 保护项：这是一把钥匙的用户帐户密码存储在Active Directory中，或在本地安全帐户管理器（ SAM ）的注册表项
• 保护关键的LSA机密为您
• 保护关键的系统管理员帐户密码

经过启动键被激活，程序启动时发生的情况如下：

• 该系统检索启动键
• 然后利用解密主保护关键
• 这关键是然后利用获得的用户帐户加密密钥。
• 用户帐户密钥用于解密密码信息在Active Directory中，或在本地安全帐户管理器（ SAM ）的注册表项。

使用下面的步骤，以使3DES加密的加密只有英，法，西

1. 打开注册表编辑器
2. 找到在HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \英法西的注册表子项。
3. 使用编辑菜单上的单击新建，然后DWORD值
4. 插入AlgorithmID的值的名称， 0x6603的数值数据
5. 这些价值观使3DES加密
6. 重新启动计算机

使用下面的步骤，以使3DES加密使用组策略

1. 使用组策略，在左边窗格中，着手展开计算机配置， Windows设置，安全设置，本地策略，安全选项。
2. 双击系统加密：使用FIPS相容方法于加密政策。
3. 选择启用
4. 单击确定

使用下面的步骤，以使启动键

1. 输入syskey在命令行
2. 着手单击加密启用。
3. 单击确定
4. 选择一个选项的关键。 系统生成的密码，是本地存储选项是默认选项。
5. 单击确定以重新启动计算机。

使用以下步骤来更改启动键选择

1. 输入syskey在命令行
2. 着手单击更新。
3. 着手更改密码，或者选择不同的关键选择
4. 单击确定。 重新启动计算机。

如何禁用英法西

您可以禁用英法西的一台计算机或域。 使用以下步骤禁用英法西使用注册表编辑器

1. 打开注册表编辑器
2. 找到在HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \英法西的注册表子项。
3. 使用编辑菜单上的单击新建，然后DWORD值
4. 插入EfsConfiguration的值的名称，值数据为1
5. 这些值禁用英法西
6. 重新启动计算机

英，法，西最佳实践

一些最佳做法，英，法，西概括如下：

• 总是选择加密文件夹，而不是个人档案 。 方便简单的加密文件夹文件加密管理。 请记住，在任何文件，或创建一个加密的文件夹会自动加密。
• 您可以使用Microsoft证书服务管理英，法，西和减阻剂证书/私钥
• 用户应该出口其EFS证书和私钥到可移动媒体，也存储媒体在一个安全的地方。
• 尝试有少量的指定恢复代理。 在人数的恢复剂，它的简单管理，并确保他们不正确解密文件。
• 你也应该导出私钥回收账户，并确保他们在安全的位置。
• 你应该努力加密敏感数据的每台计算机上是域的成员。
• 启用启动键，独立的电脑，以进一步加强安全的私人钥匙的用户。
• 确保My Documents文件夹进行加密的情况下，用户连接到同一台计算机上。
• 您应该加密脱机文件，以确保保护本地存储的文件。
• 使用服务器消息块（ SMB ）签署的英，法，西助攻，确保档案的安全传播/收到的网络。
• 您也可以使用IPSec来加密数据，使其能在网络上

书签加密文件系统（ EFS ）

最新的博客帖子

• 视窗7论坛

• 波士顿学院：能够使用命令行是一个标志的犯罪活动

• 谷歌黑客？

• 回收旧手机-赚一些钱，并保存环境呢！

• SourceForge上与Freshmeat

• 速度最快的网络浏览器：谷歌铬

• 新的网站管理员论坛

• Ubuntu的安全工具

• 恐怖分子进入高科技

• 如何干的手机的接触水