微软新增加密方法EFS使用详解

网络整理 - 07-26

文/刘晖

从Windows 2000开始,微软新增了一种叫做EFS(Encrypting File System,加密文件系统)的加密方法。这是一种既方便又安全的加密方式,然而人们总是对它敬而远之,为什么呢?一方面,EFS加密方式不像其他加密软件那样容易理解。另一方面,由于EFS的高安全性,如果用户操作不当则很可能导致数据丢失。为了帮助大家理解EFS,避免使用中的错误操作,我们准备了这篇文章,希望你能真正地用好EFS。

提示:要使用EFS,必须满足两个条件:

1. 文件需要保存在NTFS文件系统的分区上。

2. 操作系统必须支持EFS加密。目前支持EFS的操作系统主要有:Windows 2000、Windows XP Professional(不包括Home版),还有Windows Server 2003。

EFS加密的优势

既然EFS如此麻烦,为什么不使用更简单的加密方法呢?例如用WinRAR将文件压缩的时候设置密码,这样解压时就需要提供密码,不是很直观吗?其实不然。首先EFS使用密钥加密,不易被破解。虽然Winrar可以给压缩的文件设置密码,但是网上有很多破解工具都可以破解,而EFS自从1999年发布至今,已经问世超过5年了,可至今没有听说有谁能够破解掉。其次,EFS和系统结合紧密,如果你用帐户A加密了数据,那么只有使用帐户A登录系统,才能打开文件。另外,EFS对用户是完全透明的,EFS加密后的文件对于加密者来说,和没有加密的文件是完全一样的,可以直接在资源管理器中打开查看、编辑、删除、复制和移动(复制和移动的时候文件的加密属性可能会发生变化,我们会在下期文章中讨论),所有操作都和平时一样。

加密方法

下面我们就来说说如何将文件(夹)用EFS加密,最简单的办法就是在目标对象上点击鼠标右键,选择“属性”,打开属性对话框,然后在常规选项卡上点击“高级”按钮,打开高级属性对话框,选中“加密内容以便保护数据”这个选项(如图1)。


这里有一点需要注意,我们可以对NTFS分区上的文件进行加密或者压缩,然而这两种属性不能同时应用到一个对象上。也就是说,一个文件被加密后就不能被压缩,被压缩后就不能被加密。想要知道文件有没有被加密或者压缩很简单,默认设置下,在Windows资源管理器中,正常文件会用黑色文字显示,而压缩后的文件会用蓝色文字显示,加密后的文件则会用绿色文字显示。

每次加密都需要打开其高级属性对话框,非常麻烦。我们可以打开注册表编辑器,定HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,在这里新建一个名为EncryptionContextMenu的DWORD值,并将其数值设置为“1”,这样用鼠标右键点击一个文件或文件夹的时候,右键菜单中就会有加密(如果目标对象尚未被加密)或者解密(如果目标对象已经被加密)选项,只要选择相应的选项就可以直接完成操作(如图2)。


加密后文件的共享

默认情况下,加密后的文件只有加密者可以访问。如果因为特殊情况,你需要将你自己加密后的文件和别人共享,那么还需要额外的设置。要注意的是,这个特性仅在Windows XP之后的操作系统中提供,Windows 2000下无法共享EFS加密后的文件。同时共享只能用于单个文件,而无法用于整个文件夹。