EFS加密

2024年4月7日发(作者：)

EFS(Encrypting File System，加密文件系统)是Windows 2000及以上Windows

版本中，磁盘格式为NTFS的文件加密。 (1)什么是EFS加密

EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时，系统首先会生成

一个由伪随机数组成的FEK(File Encryption Key，文件加密钥匙)，然后将利用FEK和数

据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。

随后系统利用你的公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。而在访问

被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件。在

首次使用EFS时，如果用户还没有公钥/私钥对(统称为密钥)，则会首先生成密钥，然后加

密数据。如果你登录到了域环境中，密钥的生成依赖于域控制器，否则依赖于本地机器。

EFS加密系统对用户是透明的。这也就是说，如果你加密了一些数据，那么你对这些

数据的访问将是完全允许的，并不会受到任何限制。而其他非授权用户试图访问加密过的

数据时，就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows

时进行的，只要登录到Windows，就可以打开任何一个被授权的加密文件。 (2)EFS加密

选中NTFS分区中的一个文件，点击鼠标右键，选择“属性”命令，在出现的对话框

中点击“常规”选项卡，然后点击“高级”按钮，在出现的对话框中选中“加密内容以便

保护数据”选项，点击“确定”即可。也可使用cipher命令。用法：

显示或更改 NTFS 分区上的目录[文件]的加密

CIPHER [/E | /D] [/S:directory] [/A] [/F] [/Q] [/H] [pathname [...]]

CIPHER /K

CIPHER /R:filename

CIPHER /U [/N]

CIPHER /W:directory

CIPHER /X[:efsfile] [filename]

/A 在文件及目录上操作。如果父目录没有加密，当加密文件

被修改后，它可能被解密。建议您给此文件和父目录加密。

/D 将指定的目录解密。会标记目录，这样随后添加的文件

就不会被加密。

/E 将指定的目录加密。会标记目录，这样随后添加的文件

就会被加密。

/F 强制在所有指定的对象上进行加密操作，即使这些对象已经

被加密。默认地会跳过已经加密的对象。

/H 显示带隐藏或系统属性的文件。在默认方式下，会忽略