使用EFS加密windows文件

我曾在碰到很多朋友提出如下几个问题:[/COLOR]
一是,我加密的文件打不开,能否将NTFS格式分区转换成FAT32分区能打开吗?
二是,我加密数据后重装了操作系统,现在加密数据不能打开,如果我使用跟前一个系统同样的用户名和密码能否打开?
三是,用GHOST恢复了一下系统,用户账户和相应的SID都没有变,能否打开加密的数据文件?

以上种种是我们在XP/2000/2003中加密文件后,因为这样或那样的问题,经常出现打不开加密的文件,而导致企业或个人受到损失。现在我将具体的事项,向大家说说,说的不好,大家不要见怪,希望能给大家有所帮助。

何谓EFS?[/COLOR]
全称:Encrypting File System即加密文件系统,它是基于公钥策略的,它具有降低使用成本,透明性,安全性三大好处。

如何使用EFS加密呢?[/COLOR]
在这里,我向大家介绍几种方法和使用EFS要注意的事项及具体要求。
1、操作系统要求:必须是2000/XP/2003和微软即将发行的新版系统,像95/98/me/NT都是不行的。
2、NTFS版本要求:必须是5。0或以上版本,即用2000/XP/2003和微软即将发行的新版系统格式化的NTFS分区可以,而NT系统格式化的NTFS格式分区是不行的,因为虽然它是NTFS格式分区,可是NTFS版本是4。0的。

现向大家介绍在2000/XP/2003中如何使用EFS加密:[/COLOR]
右击要加密的文件->属性->高级->加密内容以保护数据->确定。此时此数据文件即已加密了。

为了防止损失和加密文件打不开,那么我们该怎么办?假如加密文件后,系统崩溃了,重装后,加密文件是打不开的;更换用户名或密码后,加密文件是打不开的;用GHOST恢复一下系统,加密文件也是打不开的。
这就要我们注意两个关键:[/COLOR]
一是,及时备份密钥。[/COLOR]
在2000中如下操作:
开始->运行->MMC-》添加删除管理单元->添加->证书->我的帐户->确定。
在证书添加入组策略后,选择证书,个人,在右栏中右击证书,选所有任务,导出,导了私钥,下一步,默认,下一步,输入密码,下一步,将证书备份到某目录或优盘保存即可。

这样一旦重装系统或更改了用户名或密码等事宜打不开加密文件时,只有右击导出的证书,安装证书,导入即可。这样加密的文件又可以打开了。

二是设置有效的EFS加密恢复代理。[/COLOR]
在2000中操作如下:
在2000中,无论什么用户加密的文件,只要系统没有重装或作其它相应的更改,那么都可以用Administrator 用户登陆加以打开。但是除了adminsitrator以外,不同用户加密的文件,是不能互相打开的如:在2000中,A用户加密了A文件,B用户加密了B文件,那么A用户将打不开B文件,相反,B用户也将打不开A文件,如果要想打开A或B文件,除非得用administrator登陆才可以。还有,就是如果A文件给予了用户B权限,那就另当别论了。方法是:在2000中,以A用户登陆后,右击A文件,属性,高级,点击详细信息,添加,选择B用户证书,确定,确定即可。这时,一旦用B用户登陆后,B用户也将可以打开A用户加密的A文件,反之同理。[/COLOR]

现在说说如何设置恢复代理:
要想利用其它用户作为恢复代理。假如要想用A用户作为恢复代理,则必须先用administrator登陆,导出Administrator用户的证书,再注销以A用户登陆,将adminsitrator 用户证书到入到A用户登陆下的组策略中,一旦导入成功,A用户即成为EFS加密恢复代理。这时,A用户将能打开任何用户加密的文件。