和Windows BitLocker一樣，Encrypting File System（EFS，加密文件系統(tǒng)）是Windows內(nèi)置的一套基于公共密鑰的加密機制柔逼，可以加密NTFS分區(qū)上的文件和文件夾敌完，能夠?qū)崟r、透明地對磁盤上的數(shù)據(jù)進行加密船万。

加密操作

加密方法用戶是透明的，文件加密之后骨田，不必手動解密耿导，使用者能自動打開加密文件，而其他用戶則無法打開加密文件态贤。

加密的方法很簡單舱呻，在任何一個NTFS分區(qū)的目錄或文件下，右擊要加密的文件或文件夾悠汽；然后單擊“屬性”箱吕，在“常規(guī)”選項卡上芥驳，單擊“高級”按鈕；在彈出的窗口中茬高，勾選“加密內(nèi)容以便保護數(shù)據(jù)”復選框兆旬；點擊“確定”即可，在關閉文件時文件即被加密雅采。

使用Windows EFS進行文件加密

在默認情況下爵憎，被EFS加密的文件或文件夾在資源管理器中會顯示為綠色，這表示該文件或文件夾已經(jīng)被EFS加密了婚瓜。

如果不再希望對某個文件實施加密宝鼓，清除該文件的屬性中的復選框即可。

備份密鑰

ESF加密操作雖然簡單巴刻，但是如果用戶重裝了系統(tǒng)愚铡，以后即使利用原來的用戶名和密碼，也無法打開EFS加密文件(夾)胡陪，因此用戶應該及時備份密鑰沥寥，這樣以后即使重裝系統(tǒng)，也能打開加密文件柠座。

在進行加密操作后邑雅，Windows系統(tǒng)狀態(tài)欄會自動提示用戶進行備份加密密鑰，點擊后會出現(xiàn)“備份文件加密證書和密鑰”的對話框妈经，選擇“現(xiàn)在備份”淮野，會出現(xiàn)證書導出向?qū)А?/p>

使用Windows EFS進行文件加密

點下一步導出文件格式選項里，選擇默認的“個人信息交換”吹泡。

使用Windows EFS進行文件加密

再點下一步輸入密碼骤星，這個密碼是恢復證書要使用的密碼，然后點下一步爆哑，選擇保存地址洞难，然后即可將證書文件成功導出。

使用Windows EFS進行文件加密

如果用戶沒有點狀態(tài)欄的圖片即時進行備份密鑰揭朝，也沒有關系队贱，還可以通過手動備份的方式進行密鑰備份，方法是：點擊菜單“開始”-“運行”萝勤，鍵入 certmgr.msc打開證書管理器露筒，點擊“個人”-“證書”，只要以前做過加密操作敌卓，右邊窗口就會有用戶名同名的證書，假如有多份證書伶氢，選擇“預期目的”為“加密文件系統(tǒng)”的趟径；右擊“證書”瘪吏，在菜單中選擇“所有任務”-“導出”。

使用Windows EFS進行文件加密

之后會彈出一個“證書導出向?qū)А贝翱谖锨桑诖翱谥羞x取“導出私鑰”掌眠，并按照向?qū)У囊螅斎朊艽a保護導出的私鑰幕屹，選擇保存證書的目錄蓝丙，最后就完成了證書文件的導出工作。

使用Windows EFS進行文件加密

加密的優(yōu)點

EFS加密基于公鑰加密策略望拖，使用了一種快速的對稱加密算法用一個隨機生成的文件加密密鑰（file encryption key渺尘，F(xiàn)EK）對文件或文件夾進行加密，加密不同的文件或文件夾時使用的密鑰也不相同说敏。

EFS加密的用戶驗證過程是在登錄Windows時進行的鸥跟，只要登錄到Windows，就可以打開任何一個被授權的加密文件盔沫。所以這就是為什么EFS加密后的文件夾或文件医咨，用戶幾乎無法感覺到加密效果的原因。

從操作的便利性來說架诞，由于EFS的密碼和用戶登錄Windows密碼集成在一起拟淮，因此無需輸入密碼即可解密文件尼啡，操作甚為方便唠梨。

加密的缺點

不過，相比Bitlocker來說裁奇，EFS加密擁有幾個重大的缺點俏蛮。

首先撑蚌，如果在重裝系統(tǒng)前沒有備份加密證書，重裝系統(tǒng)后EFS加密的文件夾里面的文件將無法打開搏屑，即使用戶使用原先的密碼登錄争涌，也不能解密文件。

其次辣恋，對于多用戶操作同一臺電腦的情況亮垫，另一個用戶雖然無法看到加密的文件內(nèi)容，但是依舊可以看到加密的文件夾名稱和文件名稱伟骨，從而獲得一些信息饮潦，此外，如果加密時候使用默認權限携狭，其他用戶還可以對EFS加密的文件和文件夾進行刪除操作继蜡，因此，用戶在使用EFS加密的時候，需要在“屬性”-“安全”選項里設置一下文件或文件夾的訪問權限稀并，以防止他人查看或刪除仅颇。

對于多用戶使用同一臺電腦還有一個有意思的情況，如果多用戶都有管理員權限碘举，那么修改另一個用戶的密碼忘瓦，并用這個用戶的身份登錄系統(tǒng)后，并不能訪問被EFS加密后的文件引颈，因為用戶密碼被他人修改耕皮，但如果是用戶自己對密碼進行修改（需要輸入舊密碼的方式修改），那么用戶依然可以打開被EFS加密的文件蝙场。

對于未設置訪問權限的EFS加密文件是進行解密的前提條件是：知道用戶帳戶的登錄密碼凌停，該被刪帳戶的配置文件必須存在，因為加密后的私鑰和主密鑰(還包括證書和公鑰)李丰，都保存在配置文件里苦锨，如果以上兩個條件滿足，那么先從舊的配置文件里面獲得被刪帳戶的SID（在配置文件目錄\Application Data\Microsoft\Crypto\RSA 下有一個以該帳戶的SID為名的文件夾趴泌，然后新建一個用戶舟舒，用newsid工具把SID改的和原來一樣，然后用新用戶登錄嗜憔，隨便加密一個文件秃励，再注銷，把舊的配置文件覆蓋新用戶的配置文件吉捶，再用新用戶登錄進去就可以解密其它文件了夺鲜。

Bitlocker和EFS的對比

Bitlocker主要用于加密整個驅(qū)動器、外部硬盤呐舔、U盤等币励，EFS主要用于加密單個文件或文件夾。

Bitlocker不依賴用戶賬戶珊拼，對于所有用戶都是同樣的狀態(tài)（打開或關閉）食呻，EFS的加密依賴用戶賬戶，如果電腦有多個用戶澎现，每個用戶都可以獨立加密自己的文件仅胞。

Bitlocker必須是管理員用戶才能使用，EFS不需要管理員權限即可使用剑辫。