EFS加解密详解

2、 加密文件的共享
加密的文件默认情况下只能由加密者自己访问，这里需要注意的是，加密的文件的透明访问者是加密的用户，而不是加密文件夹的所有者，换句话说，我在你设置为加密的文件夹里建立了文件，则该文件只有我可以访问，你也不能访问。（加密的文件夹不会拒绝非加密用户的访问），同时需要注意的是，加密的文件虽然可以限制非授权用户的访问，但不能限制有访问权的用户删除或改名。所以加密一般要和NTFS权限协同使用。如果由于特殊的原因，你需要把加密的文件和朋友共享，怎么办呢？
首先，你的朋友也要有EFS证书（EFS证书是在第一次使用加密文件时系统建立的）。然后你的朋友需要将该证书备份给你（此时备份的证书可以是不带私钥的），你得到证书后，将其安装在系统中，并使用加密文件里的详细信息增加朋友EFS证书。见图：



加密文件系统的禁用
由于加密文件系统依赖于用户证书，而用户往往会在一些网络共享文件夹上建立或设置加密文件，一旦用户证书丢失，就将带来不可弥补的损失，因此有的企业往往会要求关闭EFS系统，这里介绍几个关闭EFS系统的办法：
1） 单个文件夹禁止加密
对单个文件夹禁止加密的办法很简单，将以下内容复制到记事本里，并保存desktop.ini文
件，放在要禁止加密的文件夹下。
[color=red]
[Encryption] 
Disable=1
[/color]
样例：



加密完成后，你会看到该目录下的子目录被加密了，但该目录本身没有。




2）在一个DC或OU里禁止加密
你需要在注册表中建立如下的键值：

HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\EFS\EfsConfiguration
Disable: 0x00000001

3、 EFS的安全性有多高？
EFS加密文件系统工作于证书机制（PKI）下，安全性很高，EFS系统由于使用了用户的SID和其密码加密主密钥，因此EFS的加密强度很大程度上取决于加密用户的密码强度。建议使用较强的密码强度，这样会提高EFS的安全性。另外，EFS的证书存储在用户配置文件中。在重新安装系统或提升DC之前，务必将证书导出，并尽量不要破坏原来的用户配置文件，实践证明，如果丢失了用户证书副本又破坏了用户配置文件，恢复EFS文件几乎是不可能的。
4、 EFS文件证书丢失的处理
一旦EFS的用户证书丢失，你可以将原先备份的用户证书导入到个人证书区即可解密，如果没有证书备份，可以导入系统的DRA证书，系统的DRA证书应在系统安装后备份并从运行系统中删除，以防万一。
注意：DRA证书没有关联性，可导入任何用户的个人证书区工作。
如果暂时无法找到合适的DRA证书也无法解密文件，那么EFS加密文件是禁止移动或复制的。你可以使用系统自带的备份工具将EFS文件备份出来保存以便今后解密。
注意：尽管EFS加密文件不能移动或复制，但可以删除或改名。
5、 注意点
a) 不要加密系统文件夹
b) 不要加密临时目录
c) 应该始终加密个人文件夹
d) 部署EFS前必须定义合适的DRA
e) 必须备份用户证书和DRA证书
f) 使用EFS后应尽量避免重新安装系统，重新安装前应先将文件解密。
g) 加密文件系统不对传输过程加密