EFS是Encrypting File System,，加密文件系統(tǒng)的縮寫,，他可以被應(yīng)用在windows 2000以上的操作系統(tǒng)且為NTFS5格式的分區(qū)上(windows xp home不支持). 

EFS 只能對存儲在磁盤上的數(shù)據(jù)進行加密,是一種安全的本地信息加密服務(wù).EFS使用核心的的文件加密技術(shù)在NTFS卷上存儲加密文件. 
它可以防止那些未經(jīng)允許的對敏感數(shù)據(jù)進行物理訪問的入侵者(偷取筆記本電腦,硬盤等) 

EFS是如何工作的 

當(dāng)一個用戶使用EFS去加密文件時,，必須存在一個公鑰和一個私鑰,，如果用戶沒有,，EFS服務(wù)自動產(chǎn)生一對,。對于初級用戶來說,，即使他完全不懂加密，也能加密文件,，可以對單個文件進行加密,，也可以對一個文件夾進行加密，這樣所有寫入文件夾的文件將自動被加密,。 

一旦用戶發(fā)布命令加密文件或試圖添加一個文件到一個已加密的文件夾中,，EFS將進行以下幾步： 

第一步：NTFS首先在這個文件所在卷的卷信息目錄下(這個目錄隱藏在根目錄下面)創(chuàng)建一個叫做efs0.log的日志文件，當(dāng)拷貝過程中發(fā)生錯誤時利用此文件進行恢復(fù),。 

第二步：然后EFS調(diào)用CryptoAPI設(shè)備環(huán)境.設(shè)備環(huán)境使用Microsoft Base Cryptographic Provider 1.0 產(chǎn)生密匙,當(dāng)打開這個設(shè)備環(huán)境后,EFS產(chǎn)生FEK(File Encryption Key,文件加密密匙).FEK的長度為128位（僅US和Canada）,，這個文件使用DESX加密算法進行加密。 

第三步: 獲取公有/私有密匙對;如果這個密匙還沒有的話(當(dāng)EFS第一次被調(diào)用時),EFS產(chǎn)生一對新的密匙.EFS使用1024位的RSA算法去加密FEK. 

第四步：EFS為當(dāng)前用戶創(chuàng)建一個數(shù)據(jù)解密塊Data Decryptong Field(DDF),在這里存放FEK然后用公有密匙加密FEK. 


第五步：如果系統(tǒng)設(shè)置了加密的代理,EFS同時會創(chuàng)建一個數(shù)據(jù)恢復(fù)塊Data Recovery Field(DRF),然后把使用恢復(fù)代理密匙加密過的FEK放在DRF.每定義一個恢復(fù)代理,EFS將會創(chuàng)建一個Data Recovery Agent(DRA).Winxp沒有恢復(fù)代理這個功能,所以沒有這一步.,，這個區(qū)域的目的是為了在用戶解密文件的中可能解密文件不可用,。這些用戶叫做恢復(fù)代理，恢復(fù)代理在EDRP(Encryption Data Recovery Policy,加密數(shù)據(jù)恢復(fù)策略)中定義,，它是一個域的安全策略,。如果一個域的EDRP沒有設(shè)置,，本地EDRP被使用。在任一種情況下,，在一個加密發(fā)生時,，EDRP必須存在（因此至少有一個恢復(fù)代理被定義）。DRF包含使用RSA加密的FEK和恢復(fù)代理的公鑰,。如果在EDRP列表中有多個恢復(fù)代理,，F(xiàn)EK必須用每個恢復(fù)代理的公鑰進行加密,，因此,，必須為個恢復(fù)代理創(chuàng)建一個DRF。 

第六步：包含加密數(shù)據(jù),、DDF及所有DRF的加密文件被寫入磁盤,。 

第七步: 在加密文件所在的文件夾下將會創(chuàng)建一個叫做Efs0.tmp的臨時文件.要加密的內(nèi)容被拷貝到這個臨時文件,然后原來的文件被加密后的數(shù)據(jù)覆蓋.在默認(rèn)的情況下,EFS使用128位的DESX算法加密文件數(shù)據(jù),但是Windows還允許使用更強大的的168位的3DES算法加密文件,這是FIPS算法必須打開,因為在默認(rèn)的情況下它是關(guān)閉的. 

第八步：在第一步中創(chuàng)建的文本文件和第七步中產(chǎn)生的臨時文件被刪除。 

加密過程圖片可參考 http://www./images/encryption.gif 

文件被加密后,只有可以從DDF或是DRF中解密出FEK的用戶才可以訪問文件.這種機制和一般的安全機制不同并意 味著要想訪問文件,除了要有訪問這個文件的權(quán)力外還必須擁有被用戶的公有密匙加密過的FEK.只有使用私有密匙解密文件的用戶才可以訪問文件.這樣的話會有一個問題:就是一個可以訪問文件的用戶可把文件加密之后,文件真正的擁有者卻不能訪問文件.解決這個問題的辦法:用戶加密文件的時候只創(chuàng)建一個文件解密塊Data Decryption Field(DDF),但是只后他可以增加附加用戶到密匙隊列.這種情況下,EFS簡單地把FEK用想給其他用戶訪問權(quán)的用戶的私有密匙加密.然后用這些用戶的公有密匙加密FEK,新增加的DDF和第一個DDF放在一起(這些新增加的用戶對文件只有訪問的權(quán)力). 

解密的過程和加密的過程是相反的,參考http://www./images/decryption.gif 

首先,系統(tǒng)檢測用戶是否具有被EFS使用的私有密匙.如果有的話,系統(tǒng)將會在讀取EFS屬性,同時在DDF對列中尋找當(dāng)前用戶的DDF.如果DDF找到的話,用戶私有密匙將會在那里解密出FEK.使用解密出來的FEK,EFS去解密加密的文件數(shù)據(jù).需要注意的是文件從來不會完全被加密,但是有時候會去加密一些特殊的扇區(qū)如果上層模塊要求的話. 


EFS組成 

EFS由EFS服務(wù),、EFS驅(qū)動,、EFS文件系統(tǒng)運行庫（FSRTL）和Win32 API。EFS服務(wù)作為一個標(biāo)準(zhǔn)系統(tǒng)服務(wù)運行,，它是Windows 2000安全子系統(tǒng)的一部分,。它與CryptoAPI接口產(chǎn)生鑰匙、DDF和DRF,，EFS驅(qū)動就象是NTFS的一部分,，它呼叫EFS服務(wù)請求鑰匙，DDF和DRF作為需要被創(chuàng)建,，一個EFS驅(qū)動的組成是EFS FSRTL,它定義了EFS驅(qū)動程序能作為NTFS的代表而執(zhí)行的功能,。 

EFS和NTFS如何共存 

EFS可以被認(rèn)為除NTFS外的第二層防護，為訪問一個被加密的文件,，用戶必須有訪問到文件的NTFS權(quán)限,。在相關(guān)NTFS權(quán)限的用戶能看到文件夾中的文件，但不能打開文件除非有相應(yīng)的解密鑰匙,。同樣,，一個用戶有相應(yīng)的鑰匙但沒有相應(yīng)的NTFS權(quán)限也不能訪問到文件。所以一個用戶要能打開加密的文件,，同時需要NTFS權(quán)限和解密鑰匙,。 

然而，NTFS權(quán)限可能被大量的方法穿越,，包括口令破解程序,、用戶在離開前沒有退出系統(tǒng)或系統(tǒng)內(nèi)部的NTFSDOS。在NT4.0下,，游戲結(jié)束了――硬盤上所有的數(shù)據(jù)都可以訪問了,。在Windows 2000下,，當(dāng)一個文件用EFS加密后，一個未授權(quán)的用戶,，即使訪問到磁盤上的文件,，但也不能訪問文件上數(shù)據(jù)，因為沒有授權(quán)用戶的私鑰,。 

EFS 屬性 

當(dāng)NTFS加密文件的時候,它首先會為文件設(shè)置加密標(biāo)志,然后在存儲DDF和DDR的地方為文件創(chuàng)建一個$EFS屬性.這個屬性的屬性ID=0x100,它可以被加長,占有0.5k到若干k的大小,這個大小是由DDF和DRF的數(shù)量決定的. 

http://www./images/efs_header.gif 

下面是一個詳細的EFS屬性的例子. 

http://www./efs/pic/attribute/EFS_example.gif 

紫色:EFS屬性大小 

天藍色:電腦安全標(biāo)識符和用戶數(shù)字.它指定EFS存儲證書的文件夾.為了得到文件 
夾的名字,EFS會做一些轉(zhuǎn)換. 

5A56B378 1C365429 A851FF09 D040000 - 存儲在$EFS中的數(shù)據(jù). 

78B3565A 2954361C 09FF15A8 000004D0 - 轉(zhuǎn)換后的結(jié)果. 

2025018970-693384732-167712168-1232 - 轉(zhuǎn)換成十進制. 

S-1-5-21-2025018970-693384732-167712168-1232 - 加上安全標(biāo)識符前綴. 

得到的文件夾就是: 

%UserProfile%\ApplicationData\Microsoft\Crypto\RSA\S-1-5-21-2025018970-693384732167712168-1232\ 

粉紅色:公有密匙特性 

黃色:私有密匙全局唯一標(biāo)識符(同時被當(dāng)作容器名字).當(dāng)EFS從CryptoAPI provider中獲取設(shè)備環(huán)境的時候使用這個名字.如果$EFS屬性只有一個DDF,容器的名字可以從$efs中計算出來.但是當(dāng)更多的用戶加入這個文件的時候(就會有更多的DDF和DRF),私有密匙全局唯一標(biāo)識符并不是保存所有的用戶,其它的必須從基于公有密匙存儲特性的證書中恢復(fù). 

紅色:加密提供器的名字(Microsoft Base Cryptographic Provider v.1.0) 

綠色:用戶的名稱,DDF和DRF的所有者. 

藍色:加密后的FEK.通常FEK是128位的,但是被1024位的RSA密匙加密后,長度變成1024位.

 

 

隨著穩(wěn)定性和可靠性的逐步提高,，Windows 2000/XP已經(jīng)被越來越多的人使用，很多人還用Windows 2000/XP自帶的EFS加密功能把自己的一些重要數(shù)據(jù)加密保存,。雖然EFS易用性不錯,，不過發(fā)生問題后就難解決了，例如不做任何準(zhǔn)備就重裝了操作系統(tǒng),，那很可能導(dǎo)致以前的加密數(shù)據(jù)無法解密,。最近一段時間我們已經(jīng)可以在越來越多的論壇和新聞組中看到網(wǎng)友的求救，都是類似這樣的問題而導(dǎo)致重要數(shù)據(jù)無法打開,，損失慘重,。為了避免更多人受到損失，這里我把使用EFS加密的注事項寫出來,，希望對大家有所幫助,。

　　這里還有個竅門,，用傳統(tǒng)的方法加密文件，必須打開層層菜單并依次確認(rèn),，非常麻煩,，不過只要修改一下注冊表，就可以給鼠標(biāo)的右鍵菜單中增添“加密”和“解密”的選項,。

在運行中輸入“regedit”并回車,，打開注冊表編輯器，定位到：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion /Explorer/Advanced ,，在“編輯”菜單上點擊“新建－Dword值”,，輸入“EncryptionContextMenu”作為鍵名，并設(shè)置鍵值為“1”。現(xiàn)在退出注冊表編輯器,，打開資源管理器,，任意選中一個NTFS分區(qū)上的文件或者文件夾，然后點擊鼠標(biāo)右鍵,，就可以在右鍵菜單中找到相應(yīng)的選項,，直接點擊就可以完成加密解密的操作。

　　重裝操作系統(tǒng)之后找到之前導(dǎo)出的pfx文件,，鼠標(biāo)右鍵點擊,，并選擇“安裝PFX”，之后會出現(xiàn)一個導(dǎo)入向?qū)?，按照?dǎo)入向?qū)У奶崾就瓿刹僮鳎ㄗ⒁猓绻阒霸趯?dǎo)出證書時選擇了用密碼保護證書,，那么在這里導(dǎo)入這個證書時就需要提供正確的密碼,，否則將不能繼續(xù)），而之前加密的數(shù)據(jù)也就全部可以正確打開,。
 

　對于情況2,，我們對Windows XP和Windows 2000兩種情況分別加以說明。

　　由于Windows XP沒有默認(rèn)的恢復(fù)代理,，因此我們加密數(shù)據(jù)之前最好能先指定一個默認(rèn)的恢復(fù)代理（建議設(shè)置Administrator為恢復(fù)代理,，雖然這個賬戶沒有顯示在歡迎屏幕上,，不過確實是存在的）。這樣設(shè)置：

　　首先要獲得可以導(dǎo)入作為恢復(fù)代理的用戶密鑰,，如果你想讓Administrator成為恢復(fù)代理,，首先就要用Administrator賬戶登錄系統(tǒng)。在歡迎屏幕上連續(xù)按Ctrl＋Alt＋Del兩次,，打開登錄對話框,，在用戶名處輸入Administrator，密碼框中輸入你安裝系統(tǒng)時設(shè)置的Administrator密碼,，然后登錄,。首先在硬盤上一個方便的地方建立一個臨時的文件，文件類型不限,。這里我們以C盤根目錄下的一個1.txt文本文件文件為例,，建立好后在運行中輸入“CMD”然后回車，打開命令提示行窗口,，在命令提示符后輸入“cipher /r:c:\1.txt”,，回車后系統(tǒng)還會詢問你是否用密碼把證書保護起來，你可以按照你的情況來決定,，如果不需要密碼保護就直接按回車,。完成后我們能在C盤的根目錄下找到1.txt.cer和1.txt.pfx兩個文件（為了顯示的清楚我在文件夾選項中設(shè)置了顯示所有文件類型的擴展名，這樣我們可以更清楚地了解到底生成了哪些文件）,。

　　之后開始設(shè)置恢復(fù)代理,。對于1.txt.pfx這個文件，同樣需要用鼠標(biāo)右鍵點擊,，然后按照向?qū)У奶崾景惭b,。而1.txt.cer則有些不同，在運行中輸入“gpedit.msc”并回車,，打開組策略編輯器,。在“計算機配置－Windows設(shè)置－安全設(shè)置－公鑰策略－正在加密文件系統(tǒng)”菜單下，在右側(cè)窗口的空白處點擊鼠標(biāo)右鍵,，并選擇“添加數(shù)據(jù)恢復(fù)代理”,，然后會出現(xiàn)“添加故障恢復(fù)代理向?qū)?#8221;按照這個向?qū)Т蜷_1.txt.cer，如果一切無誤就可以看見圖五的界面,，這說明我們已經(jīng)把本機的Administrator設(shè)置為故障恢復(fù)代理,。

　　如果你愿意，也可以設(shè)置其它用戶為恢復(fù)代理,。需要注意的是,，你導(dǎo)入證書所用的1.txt.pfx和1.txt.cer是用哪個賬戶登錄后生成的，那么導(dǎo)入證書后設(shè)置的恢復(fù)代理就是這位用戶,。

　　在設(shè)置了有效的恢復(fù)代理后,，用恢復(fù)代理登錄系統(tǒng)就可以直接解密文件,。但如果你在設(shè)置恢復(fù)代理之前就加密過數(shù)據(jù)，那么這些數(shù)據(jù)恢復(fù)代理仍然是無法打開的,。

　　而對于Windows 2000就更加簡單,，Windows 2000有恢復(fù)代理，因此只要用恢復(fù)代理（默認(rèn)的就是Administrator）的賬號登錄系統(tǒng),，就可以解密文件,。

　　如何在本機上共享經(jīng)EFS加密過的數(shù)據(jù)

　　加密過的文件只有加密者本人和恢復(fù)代理可以打開，如果你要和本機的其它用戶共享加密文件又該怎么辦,？這在Windows 2000中是不行的,，不過在Windows XP中可以做到。

　　選中一個希望共享的加密文件（注意,，只能是文件,，而不能是文件夾），在文件上用鼠標(biāo)右鍵點擊,，并選擇“屬性”,，之后在屬性對話框的“常規(guī)”選項卡上點擊“高級”按鈕，然后再點擊“詳細信息”,，之后你可以看見類似圖六的窗口,，在這里你可以決定誰可以打開這個加密文件以及察看文件的恢復(fù)代理是具體是誰。

對EFS加密的幾個錯誤認(rèn)識

　　很多人對EFS理解的不夠徹底,，因此在使用過程中總會有一些疑問,。一般情況下，我們最常見的疑問有以下幾種：

　　1,， 為什么打開加密過的文件時沒有需要我輸入密碼,？

　　這正是EFS加密的一個特性，同時也是EFS加密和操作系統(tǒng)緊密結(jié)合的最佳證明,。因為跟一般的加密軟件不同,，EFS加密不是靠雙擊文件，然后彈出一個對話框,，然后輸入正確的密碼來確認(rèn)的用戶的,；EFS加密的用戶確認(rèn)工作在登錄到Windows時就已經(jīng)進行了。一旦你用適當(dāng)?shù)馁~戶登錄,，那你就能打開相應(yīng)的任何加密文件,，并不需要提供什么額外的密碼。

　　2,， 我的加密文件已經(jīng)打不開了，我能夠把NTFS分區(qū)轉(zhuǎn)換成FAT32分區(qū)來挽救我的文件嗎,？

　　這當(dāng)然是不可能的了,。很多人嘗試過各種方法,，例如把NTFS分區(qū)轉(zhuǎn)換成FAT32分區(qū)；用NTFS DOS之類的軟件到DOS下去把文件復(fù)制到FAT32分區(qū)等,，不過這些嘗試都以失敗告終,。畢竟EFS是一種加密，而不是一般的什么權(quán)限之類的東西,，這些方法對付EFS加密都是無濟于事,。而如果你的密鑰丟失或者沒有做好備份，那么一旦發(fā)生事故所有加密過的數(shù)據(jù)就都沒救了,。

　　3,， 我加密數(shù)據(jù)后重裝了操作系統(tǒng)，現(xiàn)在加密數(shù)據(jù)不能打開了,。如果我使用跟前一個系統(tǒng)相同的用戶名和密碼總應(yīng)該就可以了吧,？

　　這當(dāng)然也是不行的，我們在前面已經(jīng)了解到,，跟EFS加密系統(tǒng)密切相關(guān)的密鑰是根據(jù)每個用戶的SID得來的,。盡管你在新的系統(tǒng)中使用了相同的用戶名和密碼，但是這個用戶的SID已經(jīng)變了,。這個可以理解為兩個同名同姓的人,，雖然他們的名字相同，不過指紋絕不可能相同,，那么這種想法對于只認(rèn)指紋不認(rèn)人名的EFS加密系統(tǒng)當(dāng)然是無效的,。

　　4， 被EFS加密過的數(shù)據(jù)是不是就絕對安全了呢,？

　　當(dāng)然不是,，安全永遠都是相對的。以被EFS加密過的文件為例,，如果沒有合適的密鑰,，雖然無法打開加密文件，不過仍然可以刪除（有些小人確實會這樣想：你竟然敢加密了不讓我看,！那好,，我就刪除了它，咱們都別看）,。所以對于重要文件,，最佳的做法是NTFS權(quán)限和EFS加密并用。這樣,，如果非法用戶沒有合適的權(quán)限,，將不能訪問受保護的文件和文件夾；而即使擁有權(quán)限（例如為了非法獲得重要數(shù)據(jù)而重新安裝操作系統(tǒng),，并以新的管理員身份給自己指派權(quán)限）,，沒有密鑰同樣還是打不開加密數(shù)據(jù),。

　　5， 我只是用Ghost恢復(fù)了一下系統(tǒng),，用戶賬戶和相應(yīng)的SID都沒有變,，怎么以前的加密文件也打不開了？

　這也是正常的,，因為EFS加密所用到的密鑰并不是在創(chuàng)建用戶的時候生成,，而是在你第一次用EFS加密文件的時候。如果你用Ghost創(chuàng)建系統(tǒng)的鏡像前還沒有加密過任何文件,，那你的系統(tǒng)中就沒有密鑰,，而這樣的系統(tǒng)制作的鏡像當(dāng)然也就不包括密鑰。一旦你加密了文件,，并用Ghost恢復(fù)系統(tǒng)到創(chuàng)建鏡像的狀態(tài),，解密文件所用的密鑰就丟失了。因此這個問題一定需要主意,！

　 希望本文對你使用EFS加密有所幫助,，希望你的數(shù)據(jù)能夠更加安全！