EFS加密方法和解密必知
经常看到对文件文件夹加密的文章,大多是安装各种软件来实现的,如果你的系统是WinXP/Win2003/2000,就没有必要如此兴师动众地加密了,既不需要你安装软件,也不需要繁琐的操作,因为Windows本身就集成了EFS(Encryption File System-EFS)加密功能,可以加密NTFS分区上的文件和文件夹!加密之后,就等于把你的文件和文件夹全部都锁进了保险柜,安全性当然不用担心啦,因为它采用了56位的数据加密标准,到目前为止还无人能破解的! 怎么对文件夹加密
  一、ESF加密文件或文件夹
  为了提高文件的安全性,微软在WinXP/Win2003/2000中(注意Windows
XP家庭版不支持EFS加密文件系统),针对NTFS引入了EFS加密技术。EFS加密操作非常简单,对加密文件的用户也是透明的,文件加密之后,不必在使用前手动解密,只有加密者才能打开加密文件,其他用户登陆系统后,将无法打开加密文件。
  1、ESF加密操作
  例如要对NTFS分区上的test目录进行ESF加密,可以这样操作:在WinXP中,单击“开始”/程序/附件,点击打开“Windows
资源管理器”,点击“我的电脑”,打开NTFS分区,右击要加密的文件或文件夹(例如test目录);然后单击“属性”,在“常规”选项卡上,单击“高级”按钮;在弹出的窗口中,勾选“加密内容以便保护数据”复选框(如图1);点击“确定”退出。
图 1
  如果加密的是文件夹,此时会弹出一个对话框(如图2),你可以根据需要,选择仅加密此文件夹、还是将此目录下的子文件夹和文件也一起加密;点击选择之后,点击“确定”按钮,最后再点击“应用”完成。
图 2
  于是在默认情况下,你就会发现刚才EFS加密的文件(夹),在资源管理器中显示的颜会变为彩(如图3),例如图3中的文件/文件夹名字的颜,不是常见的黑、而是绿的,这表示它们已经被EFS加密了。
图 3
  对文件的EFS加密方法,与上面介绍的类似。现在我们有了一个EFS加密过的目录(例如test),以后如果你要对某个文件或文件夹进行EFS加密,也可以把它们移到该目录中,这样就会被自动加密。
  小提示:FAT分区上的文件和文件夹是不能被ESF加密的,另外,标记为“系统”属性的文件,位于Window系统目录中的文件也无法ESF加密。
  2、及时备份密钥
  ESF加密操作虽然简单,但是如果你重装了系统,以后即使利用原来的用户名和密码,也无法打开EFS加密文件(夹),因此你应该及时备份密钥,这样以后即使重装系统,也能打开加密文件。
  备份密钥方法:在WinXP中,点击菜单“开始”/运行,键入certmgr.msc打开证书管理器,点击“证书→当前用户”下的“个人→证书”,只要以前做过加密操作,右边窗口就会有用户名同名的证书(如图4),假如有多份证书,选择“预期目的”为“加密文件系统”的;右击“证书”,在菜单中选择“所有任务→导出”,于是就会弹出一个“证书导出向导”窗口,在窗口中选取“导出私钥”,并按照向导的要求,输入密码保护导出的私钥,选择保存证书的目录,最后证书(CER后缀的文件)和私钥(PFX后缀的文件)便成功导出。
图 4
  以后对于这些备份密钥(证书和私钥),我们只要有一个文件,即可恢复加密数据。其他用户如果获得你的备份密钥,也能轻松解密你的加密文件,因此一定要保管好备份密钥。
二、取消EFS加密有技巧
  如果你不想对某个文件或文件夹EFS加密了,可以这样取消:打开Windows资源管理器;右键单击加密文件或文件夹,单击“属性”;在“常规”选项卡上点击“高级”;在弹出的窗口中,清除“加密内容以便保护数据”复选框(如图5),最后按“确定”即可。
图 5
  三、如何回EFS加密文件?
  当加密文件的系统账户出问题了,或者重装了系统之后,EFS加密文件就无法访问了,许多朋友都遇到过这样的问题,网上到处都是类似的求助帖子,为此,你可以这样来破解:
  1、以前备份有PFX私钥
  假如你以前备份有PFX私钥文件,现在想打开加密文件绝对不成问题!到备份的PFX私钥文件,鼠标右击该文件,在弹出的菜单中选择“安装PFX”,系统将弹出“证书导入向导”,键入当初导出证书时输入的密码,然后选择“根据证书类型,自动选择证书存储区”即可,完成后就可以访问EFS加密文件了。
  2、以前备份有CER证书
  假如你以前未备份PFX私钥文件、但是备份过CER证书,如果又重装了系统,就没有办法打开加密文件了,假如还没有重装系统,可以这样破解:
  点击菜单“开始”/运行,键入certmgr.msc打开证书管理器,点击“证书→当前用户”下的“个人”;然后右击鼠标,在弹出的菜单中选择“所有任务→导入”,在“证书导入向导”窗口中按提示操作,点“浏览”按钮,选择“个人”(如图6),把证书导入到“个人”存储区。
然后在左侧点击“个人”下的证书,右边窗口就会看见一个证书,右击该证书,选择菜单“所有任务→用相同密钥续订证书”(如图7),就可以访问EFS加密文件了。
图 6
图 7
  结束语
  有人说,EFS加密虽然牢不可破、简单好用,但是加密文件却经常打不开,这是由于你没有备份私钥文件造成的。如果你没有备份私钥,重装系统之后,EFS加密文件就会打不开。假如发生了这样的事情,对于Win2000系统,可以使用恢复代理来解密,即用Administrator
这个用户登录系统,然后就能打开加密文件了;如果系统是WinXP,目前还没有办法打开加密文件,因为EFS加密现在还无人能破解,既不到破解软件,也没有破解方法。因此最后还是要提醒你,加密之后一定要备份私钥!只要你备份了PFX私钥文件,EFS加密就不会出问题。
EFS应用实例
    让我们看看如何给文件夹加密。右击选择要加密的文件夹,选择快捷菜单中的属性,选择常规标签中的最下方属性” “高级,在压缩或加密属性一栏中,把加密内容以便保护数据打上(图2),点确定。回到文件属性点应用,弹出确认属性更改窗口,在将该应用用于该文件夹、子文件夹和文件打上“√”,点确定。这样这个文件夹里的原来有的以及新建的所有文件和子文件夹都被自动加密了。要解开加密的文件夹,把加密内容以便保护数据前面的“√”去掉,点确定就可以了。
  1.EFS选项添加至快捷菜单
  如果想将EFS选项添加至快捷菜单,请依次执行下列操作步骤:在运行对话框内输入regedit,在注册表编辑器内浏览至下列子键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced,然后新建一个DWORDEncryptionContextMenu,并将它的键值设为1。注意,为确保对注册表进行修改,应在自己的计算机上拥有管理员帐号。这样当用户右键单击某一存储于NTFS磁盘卷上的文件或文件夹时,加密或解密选项便会出现在随后弹出的快捷菜单上(图3),非常方便。
2.禁用EFS
  如果你不喜欢EFS,可以彻底禁用它。只要在运行中输入Regedit并回车,打开注册表编辑器,依次展开到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS,然后新建一个DwordEfsConfiguration,并将其键值设为1,这样本机的EFS加密就被彻底禁用了。
  3. 跳过不加密父文件夹下的某个子文件夹
  在加密的过程中我们常常遇到这样的事情,我们需要加密某一个文件夹,而此文件夹下还有很多的子文件夹,这时候我们如果不想加密位于此文件夹下的某一个子文件夹该怎么办呢?
很多的用户往往采取的方法是将不需要加密的子文件夹剪切出来,单独存放,然后再加密文件夹。可是这样一来却破坏了原来的目录结构,加密和保持原有的目录结构好象是鱼与熊掌不可兼得,怎么办?其实你大可不必这么辛苦,只需要在不需要加密的子文件夹下建立一个“Desktop.ini”文件即可。具体地说就是在不需要加密的子文件夹下建立一个名为“Desktop.ini”的文件,用记事本程序打开录入以下内容:
  [encryption]
  Disable=1
  录入完毕保存并关闭该文件,以后要加密父文件夹的时候,当加密到该子文件夹就会遇到错误的信息,如图所示(图4),点忽略按钮就可以跳过对该子文件夹的加密,但其父文件夹的加密不会受到丝毫的影响。
  4.在命令提示符下加密、解密文件
  有些用户喜欢在命令提示符下工作,EFS也早为这些用户准备好了。用CIPHER命令即可轻松完成对文件和文件夹的加密、解密工作。其命令格式如下:
  CIPHER [/E  /D] 文件夹或文件名 [参数]
  例如要给F盘根目录下的abcde文件夹加密就输入:“CIPHER /e f:\abcde”,如图所示(图5),回车后即可完成对文件夹的加密。要给F盘根目录下的abcde文件夹解密则输入:“CIPHER /D f:\abcde”,回车后即可完成对文件夹的解密。/E是加密参数,/D是解密参数,其它更多的参数和用法请在命令提示符后输入:“CIPHER /来查看。
    EFS加密的破解
  EFS加密体系中,数据是靠FEK加密的,而FEK又会跟用户的公钥一起加密保存;解密的时候顺序刚好相反,首先用私钥解密出FEK,然后用FEK解密数据。可见,用户的密钥在EFS加密中起了很大作用。
  密钥又是怎么来的呢?在Windows 2000/XP中,每一个用户都有一个SIDSecurity Identifier,安全标识符)以区分各自的身份,每个人的SID都是不相同的,并且有唯一性。可以这样理解:把SID想象为人的指纹,虽然同名同姓甚至同时出生的人很多,但世界上任意两个人的指纹却完全不同。因此,这具有唯一性的SID就保证了EFS加密的绝对安全和可
靠。因为理论上没有SID相同的用户,因而用户的密钥也就绝不会相同。在第一次加密数据时,系统就会根据SID生成加密者(该用户)的密钥,并且会把公钥及私钥分开保存,供用户加密和解密数据使用。