EFS技术教程：原理、操作与密钥管理.pdfVIP

一、什么是EFS加密

◼EFS(EncryptingFileSystem，加密文件系统)是Windows

2000及以上Windows版本中，磁盘格式为NTFS的文件加密。

◼EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹

时，系统首先会生成一个由伪随机数组成的FEK(File

EncryptionKey，文件加密)，然后将利用FEK和数据扩展

X算法创建加密后的文件，并把它到硬盘上，同时删除

未加密的原始文件。随后系统利用你的公钥加密FEK，并把加密

后的FEK在同一个加密文件中。而在被加密的文件时，

系统首先利用当前用户的私钥FEK，然后利用FEK出文

件。在首次使用EFS时，如果用户还没有公钥/私钥对(统称为密

钥)，则会首先生成密钥，然后加密数据。如果你登录到了域环

境中，密钥的生成依赖于域控制器，否则依赖于本地机器。

二、演示EFS加密文件

◼用不同的用户去EFS加密的文件

◼Cmdshell文件

◼用3389去连接终端文件

三、EFS密钥及的备份

◼如果其他人想共享经过EFS加密的文件或文件夹，

又该呢？由于重装系统后，SID(安全标

示符)的改变会使原来由EFS加密的文件无法打

开，所以为了保证别人能共享EFS加密文件或者

重装系统后可以打开EFS加密文件，必须要进行

备份。点击“开始→运行”菜单项，

在出现的框中输入“certmgr.msc”，回

车后，在出现的“”框中依次双击展

开“-当前用户→个人→”选项，在右

侧栏目里会出现以你的用户名为名称的。

选中该，点击鼠标右键，选择“所有任务

→导出”命令，打开“导出向导”框。

三、EFS密钥及的备份（续）

◼在向导进行过程中，当出现“是否要将私钥跟一起导

出”提示时，要选择“是，导出私钥”选项，接着会出现

向导提示要求的框。为了安全起见，可以设置证

书的安全。当选择好保存的文件名及文件路径后，点

击“完成”按钮即可顺利将导出，此时会发现在保存

路径上出现一个以PFX为扩展名的文件。当其他用

户或重装系统后欲使用该加密文件时，只需记住及密

码，然后在该上点击右键，选择“安装”命令，

“导入向导”框。按默认状态点击“下

一步”按钮，输入正确的后，即可完成的导入，

这样就可顺利打开所加密的文件。

三、EFS密钥及的备份（续）

◼在向导进行过程中，当出现“是否要将私钥跟一起导

出”提示时，要选择“是，导出私钥”选项，接着会出现

向导提示要求的框。为了安全起见，可以设置证

书的安全。当选择好保存的文件名及文件路径后，点

击“完成”按钮即可顺利将导出，此时会发现在保存

路径上出现一个以PFX为扩