EFS加密

EFS(Encrypting File System，加密文件系统)是Windows 2000及以上Windows版本中，磁盘格式为NTFS的文件加密。

(1)什么是EFS加密
EFS加密是基于公钥策略的。

在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK(File Encryption Key，文件加密钥匙)，然后将利用FEK和数据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。

随后系统利用你的公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。

而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件。

在首次使用EFS 时，如果用户还没有公钥/私钥对(统称为密钥)，则会首先生成密钥，然后加密数据。

如果你登录到了域环境中，密钥的生成依赖于域控制器，否则依赖于本地机器。

EFS加密系统对用户是透明的。

这也就是说，如果你加密了一些数据，那么你对这些数据的访问将是完全允许的，并不会受到任何限制。

而其他非授权用户试图访问加密过的数据时，就会收到“访问拒绝”的错误提示。

EFS加密的用户验证过程是在登录Windows时进行的，只要登录到Windows，就可以打开任何一个被授权的加密文件。

(2)EFS加密选中NTFS分区中的一个文件，点击鼠标右键，选择“属性”命令，在出现的对话框中点击“常规”选项卡，然后点击“高级”按钮，在出现的对话框中选中“加密内容以便保护数据”选项，点击“确定”即可。

也可使用cipher命令。

用法：
显示或更改NTFS 分区上的目录[文件]的加密
CIPHER [/E | /D] [/S:directory] [/A] [/F] [/Q] [/H] [pathname [...]]
CIPHER /K
CIPHER /R:filename
CIPHER /U [/N]
CIPHER /W:directory
CIPHER /X[:efsfile] [filename]
/A 在文件及目录上操作。

如果父目录没有加密，当加密文件
被修改后，它可能被解密。

建议您给此文件和父目录加密。

/D 将指定的目录解密。

会标记目录，这样随后添加的文件
就不会被加密。

/E 将指定的目录加密。

会标记目录，这样随后添加的文件
就会被加密。

/F 强制在所有指定的对象上进行加密操作，即使这些对象已经
被加密。

默认地会跳过已经加密的对象。

/H 显示带隐藏或系统属性的文件。

在默认方式下，会忽略
这些文件。

/I 即使发生错误也继续执行指定的操作。

在默认方式下，
CIPHER 在遇到错误时会停止。

/K 为运行CIPHER 的用户创建新的加密密钥。

如果选择了
此选项，会忽略所有其他选项。

/N 此选项只能与/U 同时使用。

这将阻止更新密钥。

此选项
用于查找本地磁盘上所有加密文件。

/Q 只报告最重要的信息。

/R 生成一个EFS 恢复代理密钥和证书，然后将它们写入一个
.PFX 文件(包含证书和私钥)和一个.CER 文件(只包含
证书)。

管理员可以将.CER 的内容添加到EFS 恢复策略，
从而为用户创建恢复代理并导入.PFX 来恢复单独文件。

/S 在已知目录和所有子目录执行指定的操作。

/U 尝试包括本地磁盘上所有加密的文件。

如果用户文件加密
密钥或恢复代理的密钥改变，这会将其更新为当前的密钥。

除了/N 外，此选项不能与其他选项一起使用。

/W 从整个卷上所有没有使用的磁盘空间删除数据。

如果选择了
此选项，会忽略其他选项。

指定的目录可以位于本地卷上的
任意位置。

如果它是另一个卷上一个目录的装入点，
此卷上的数据将被删除。

/X 将EFS 证书和密钥备份成文件的文件名。

如果提供了EFS
文件，将会备份当前用户的、用于加密此文件的证书。

否则，将会备份用户当前的EFS 证书和密钥。

directory 一个目录路径。

filename 没有扩展名的一个文件名。

pathname 指定一个模式、文件或目录。

efsfile 一个加密的文件路径。

不用参数时，CIPHER 显示当前目录和它包含文件的加密状态。

您可以
使用几个目录名和通配符。

多个参数之间必须有空格。

此时你可以发现，加密文件名的颜色变成了绿色，当其他用户登录系统后打开该文件时，就会出现“拒绝访问”的提示，这表示EFS加密成功。

而如果想取消该文件的加密，只需将“加密内容以便保护数据”选项去除即可。

(3)EFS解密
如果其他人想共享经过EFS加密的文件或文件夹，又该怎么办呢？由于重装系统后，SID(安全标示符)的改变会使原来由EFS加密的文件无法打开，所以为了保证别人能共享EFS 加密文件或者重装系统后可以打开EFS加密文件，必须要进行备份证书。

点击“开始→运行”菜单项，在出现的对话框中输入“certmgr.msc”，回车后，在出现的“证书”对话框中依次双击展开“证书-当前用户→个人→证书”选项，在右侧栏目里会出现以你的用户名为名称的证书。

选中该证书，点击鼠标右键，选择“所有任务→导出”命令，打开“证书导出向导”对话框。

在向导进行过程中，当出现“是否要将私钥跟证书一起导出”提示时，要选择“是，导出私钥”选项，接着会出现向导提示要求密码的对话框。

为了安全起见，可以设置证书的安全密码。

当选择好保存的文件名及文件路径后，点击“完成”按钮即可顺利将证书导出，此时会发现在保存路径上出现一个以PFX为扩展名的文件。

当其他用户或重装系统后欲使用该加密文件时，只需记住证书及密码，然后在该证书上点击右键，选择“安装证书”命令，即可进入“证书导入向导”对话框。

按默认状态点击“下一步”按钮，输入正确的密码后，即可完成证书的导入，这样就可顺利打开所加密的文件。

(4)禁止EFS加密
如果你想设置禁止加密某个文件夹，可以在这个文件夹中创建一个名为“Desktop.ini”的文件，然后用记事本打开，并添加如下内容：
[Encryption]
Disable=1
之后保存并关闭这个文件。

这样，以后要加密这个文件夹的时候就会收到错误信息，除非这个文件被删除。

而如果你想在本机上彻底禁用EFS加密，则可以通过修改注册表实现。

在运行中输入“Regedit”并回车，打开注册表编辑器，定位到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS，在“编辑”菜单上点击“新建－Dword值”，输入“EfsConfiguration”作为键名，并设置键值为“1”，这样本机的EFS加密就被禁用了。

而以后如果又想使用时只需把键值改为“0”。

[编辑本段]Efs框架1、什么是Efs框架
EfsFrame 是一套整体的企业级开发解决方案，整个框架体系中包含了Web 表现层开发包，组件开发包，基础数据库设计一整套完整的基于B/S/S架构应用程序设计开发的完整解决方案。

EfsFrame从研发到实践，历时近10年，积累了大量实战软件工程专家、数学专家的心血不断完善而成，已应用的大大小小的项目几十个，从小项目的开发管理维护设计到大项目的负载均衡设计，Efs 逐渐形成了一整套完整的基于B/S架构的设计解决方案。

2、Efs框架设计目标
a 整体提升企业的项目管理水平；
b 整体提升企业的研发人员的研发水平；
c 整体提升企业的项目研发效率；
d 整体提升企业的项目研发的健壮性；
e 最大限度减少企业的项目维护成本；
3、Efs框架特点
1、完善的Web表现层开发包：为企业Web表现层开发人员提供的一套完整、
高效、美观的B/S结构设计表现层解决方案，简单易学。

a) 极大提高企业的项目Web表现层的开发效率；
b) 统一企业的项目UI设计，统一的框架结构，能迅速规范企业的Web
表现层代码设计规范，最大限度的减轻企业后期的项目管理、维护、
升级成本；
c) 减少企业Web表现层开发人员的培训投入；
2、完善的组件开发包：为企业组件开发人员提供的一套完整、稳定、高效
的B/S结构设计业务逻辑层解决方案。

a) 极大提高企业的项目业务逻辑层组件开发效率；
b) 统一的接口规范，能迅速规范企业的业务逻辑层组件代码设计规
范，最大限度的减轻企业后期项目管理、维护升级成本；
c) 减少企业业务逻辑层组件开发人员的培训投入；
3、分层结构设计：Efs框架严格按照MVC模式设计开发。

a) 能帮助企业迅速发挥团队开发优势，合理分工协作（能迅速将Web
表现层开发，业务逻辑组件开发，系统设计合理分离）。

b) 标准的三层结构模型，为系统的稳定、高效运行打下坚实基础。

4、完善的基础数据库设计
a) 完整的事务、事件管理、用户、单位、角色、权限管理设计，能快
速帮助企业在不同的项目中快速完成用户、单位、角色、权限的分
配，迅速投入到项目本身的业务系统开发中。

b) 完整的字典管理功能，能方便的对业务系统的全部字典文件进行维
护。

c) 分页查询存储过程设计，为业务系统开发过程中的分页查询提升效
率。

d) 编码分配设计，只需要通过配置即可快速实现可满足各种要求的唯
一编码。

e) 汉字拼音管理，收录了常用的3万多汉字的全拼与简拼，能迅速完
成对汉字的全拼与简拼的翻译处理。