EFS加密文件系统应用心得

EFS是微软操作系统提供的一个很好的文件加密机制。若企业采用了EFS加密机制的话，则文件的加密、解密过程都是透明的。当用户完成一个文件后，若觉得这个文件需要保密，则只需要把他存放在一个采用EFS加密过的文件夹内即可。操作系统在文件保存后会自动对这个文件进行加密。用户下次再次查看这个文件的时候，只有利用原来的帐户登陆进去才能够查看这个加密的文件。为此，这就可以有效的避免有员工乘着文件所有人不注意的时候，把文件通过U盘等简便工具复制出去，从而给企业带来损失。

下面将所学的心得分享给大家：

心得一： 只有NTFS格式的分区才能够使用EFS技术加密文件夹

要应用EFS文件加密技术的话，则其有几个限制条件。

一是只有在NTFS格式的分区上，才能够采用EFS加密技术。现在微软的操作系统支持两种分区格式，分别为FAT32与NTFS格式。FAT格式是FAT32的前一个版本，主要用在小硬盘上面。现在已经很少见FAT格式的磁盘分区。若网络管理员准备使用EFS加密技术的话，则首先需要把磁盘分区转化为NTFS格式的。否则的话，就无法采用EFS加密技术加密企业的机密文件。一般来说，从FAT32格式转化为NTFS格式比较简单，只需要通过命令行的形式就可以转换，而且，原有分区中的数据不会丢失。而若把分区格式从NTFS格式转换为FAT32的话，则需要重新格式化原来的分区。也就是说，原由的数据会丢失。为此，这个转换的话，还是要慎重。

二是EFS 加密技术的话，是对整个文件夹来说的，而不是对单个文件来说的。也就是说，我们可以把一个文件夹设置”为“ 用EFS技术加密”，而不能够把一个文件设置为EFS加密。当我们把文件存放在这个文件夹后，这个文件就会自动被加密。这就是EFS技术的另一个限制，不能够对某个独立的文件采用EFS加密技术。

三是要主机文件夹的移动与复制问题。若现在我们把一个加密过的文件夹复制到FAT32格式的分区中，会出现什么情况呢？以为我们知道，EFS加密技术的话，只有在NTFS格式的分区下才能够起作用。所以，若一个文件夹经过EFS加密然后复制或者移动到FAT32格式下的话，原由的EFS加密技术就会失效。所以，这是我们在日常管理中，需要特别注意的地方。一般来说，采用EFS加密的文件夹，在NTFS分区内移动不会影响其加密的特性。但是，若把加密的文件夹从NTFS格式下移动到FAT32格式下的话，则操作系统会先对文件进行解密，然后再进行保存。当然，若要把一个EFS加密过的文件夹或者文件，复制到非NTFS格式的分区的话，则必须要文件夹或者文件的所有人才可以。否则的话，系统会拒绝这个操作。

心得二：要做好用户证书的备份

EFS加密技术是根据帐户名字的序列号然后再根据一定的加密规则产生加密密钥的。当操作系统重新安装后，即使用户名相同，其用户名的序列号也会不相同。即使同一个操作系统，先建立一个用户名，然后再删除，再建立完全一样的用户名在，则其序列号也会不同。

这意味着什么呢？

若有时候用户的操作系统崩溃之后，即使重新安装同样的操作系统，设置相同的用户名，但是由于帐户对应的序列好不同，则这个用户就不能够打开原来的加密文件夹。另外，有时候我们当操作系统变慢之后，会另外建立一个用户名，以换一个干净的操作环境。此时，即使新建的用户名跟原来的相同，其也不能够打开以前加密过的文件。或者有时候我们可能会换电脑，此时以前加密过的文件夹与文件都将无法打开。

此时该怎么办呢？这也很简单。当我们为某个用户启用EFS文件加密技术的话，则就要同时备份这个用户的身份认证。这主要是为了防止以后的出现意外事故。当以后出现重新安装系统或者用户更换电脑主机的情况，网络安全管理人员只需要把这个帐户的身份认证信息导入到新系统中去，就可以打开这个EFS加密过的文件夹了。

不过，这就有另外一个问题，就是这个证书的安全性问题。若这个备份的证书随意存放，如放在本机上的话，则其安全性就会大大的降低。如攻击者可以轻易的把加密的文件与证书一起偷走 ，从而就可以轻而易举的破解EFS加密过的文件。

所以，对用户帐户的证书进行备份是必须的。同时，也要加强对这些证书的安全管理。一般来说，最好能够把他们进行集中的管理。同时，证书的名字要取得稍微隐晦一点，不要根据用户的实际帐户名来命名。如此的话，当用户的证书多了的时候，也可以增加一些攻击者破解的成本。

另外，对于导处的证书，我们还可以进行密码保护。当用户的证书文件导出的时候，系统会提示用户输入密码。当用户输入密码之后，则下次导入这个证书的时候，必须要输入这个密码才能够导入证书。所以，这就从另外一个角度，提高了用户证书的安全性。从而增加了加密文件本身的安全程度。

心得三：如何改变加密的文件夹的颜色

若企业用的是XP或者2003等微软的操作系统，则系统默认情况下，会对采用EFS加密过的文件夹一种特殊的设置。如一般普通的文件夹都是黄颜色的。但是，若采用了EFS加密技术加密文件夹的话，则其颜色会变为淡绿色。有些人会觉得这个颜色比较刺眼，想要改变其他颜色的话，该如何处理呢？

一是把颜色设置为普通文件夹的颜色。这个设置相对来说比较简单。我们依次打开我的电脑、工具、文件夹选项，然后再打开查看选项开。在这个对话框中，找到“用彩色显示加密或压缩的NTFS文件” 复选框。若我们不想让其用特殊的颜色显示的话，则只需要在这里去掉这个复选框即可。相反，我们需要的话，则选种这个复选框。一般不用重新启动就可以直接看到效果。

另外一种就是我们不喜欢淡绿色，觉得这个颜色不够明显。而希望能够采用红色来表示。这个设置起来就比较麻烦。首先的话，要保证上面所提到的那个“用彩色显示加密或压缩的NTFS文件”已经被选种。然后更改注册表中的内容。在注册表中，找到那一个控制这个颜色的项目，然后直接输入颜色数据。一般来说，需要重新启动操作系统后才能够显示效果。

有时候我们如此设置，电脑重新启动之后，还看不到我们预计的效果，往往是因为“用彩色显示加密或压缩的NTFS文件”这个选项没有选种。所以，“用彩色显示加密或压缩的NTFS文件”这个选项是非常重要的。一般出现颜色上的问题，我们首先要去看看这个选项有没有被我们选种。另外就是我们在注册表中输入的颜色数据是否有错误。

心得四： 在哪些情况下，其他用户不能够查看被EFS加密的文件

用户可能会觉得如下的一些操作比较正常。但是，这些看起来正常的操作，若采用了EFS加密技术之后，就可能变得不正常了。

一是采用U盘等工具复制加密过的文件夹。如销售经理需要把一份客户资料复制给总经理看。为了保密起见，这份资料在销售经理的电脑中是采用了EFS加密的。而且，这个U盘的格式也是NTFS 格式。当销售经理复制这个文件到总经理的电脑上视图打开的时候，操作系统会提示“ 无法打开”。这是因为销售经理电脑帐户与总经理的电脑帐户所对应的序列号不同 ，所以，在总经理的电脑上不能够打开这个文件。所以，当用户通过第三方的工具复制加密文件的时候，就要注意这个文件。要么是先进行解密，要么就是除了复制文件本身之外，还需要复制身份证书。一般情况下，笔者是建议先对文件进行解密。文件用完之后，及时的把这个文件清除掉。

二是当你离开电脑的时候，若没有及时的把帐户注销掉的话，则你的加密文件是非常危险的。要知道，EFS文件解密的动作虽然是发生在用户打开文件的时候。但是，其解密的密钥则是在用户登陆系统后就产生了。所以，若用户离开电脑旁，则其他人员就可以随意打开EFS加密的文件了。而不是像大部分用户想的那样，还需要输入密码才能过打开EFS的加密文件。所以，用户要习惯设置屏幕保护密码或者离开时及时把帐户注销掉，否则的话，很可能功亏一篑，被他人有机可乘。

温馨提示：备份证书方法——>按Win+R打开运行对话框，输入“certmgr.msc”并回车，在打开的证书管理器中在“当前用户→个人→证书”路径下会看见一个以当前系统账户名为名称的证书，右击该项并选择“所有任务→导出”，然后按照向导将该证书导出，同时将私钥也导出。