转：逃出生天之门——挽回EFS加密数据的一线生机
转载请保留原作网站：
（关键字：）
北京一用户，原系统分为3个区，C盘安装WINDOWS XP
SP2,D及E盘为用户重要数据区，其中D盘有用户特别重要的几个文件，当初为安全性考虑，设置了NTFS的EFS加密，后系统运行缓慢，重装系统。
系统重装后，再次打开D盘的那几个加密文件（DOC）时，提示"文件只读或被加密"，无法打开。
这种问题很普遍，之前有很多用户因此操作导致数据丢失，造成巨大损失。但这种情况却并不是一定无药可救的。只要能从原C（原系统分区）中提取出重要的公钥及私钥（重点是私钥），数据就还是有希望的。
上述案例，重点在于，重装系统导致
1、用用户密码加密的主密钥
2、用主密钥加密的私钥
3、最初给文件加密时用的公钥
这三部分无法直接看到。而加密文件本身存储的两个数据流：密文及用公钥加密后的文件加密密钥（FEK），这两个数据流只要D盘的文件系统没问题，便不会丢失。所以只要想办法找到上述丢失的三个密钥，一层层解出私钥，再用私钥解密FEK，最终解密密文，数据但可以还原出来。
C盘已经被重新安装过，所以之前的文件不一定还存在，这是是否可以成功解密EFS文件的一个关键点。此例中，通过对C盘文件系统的分析，成功解出原先丢失的三个密钥。
接下来，需要在系统中构建原用户，使系统自动实现解密。
修改注册表中下一个用户ID，新建一与原用户名称、密码相同的用户ID;
修改注册表中机器ID为从原C 中提取出来的机器ID;
修改用户配置文件，即还原原来的主密钥、私钥及公钥。
再次打开原来的加密文件，自动解密成功！
某用户笔记本电脑在C区安装Windows XP
SP2系统，在D区和E区为NTFS文件系统，并存储大量的重要文档，为了安全考虑，把E盘中重要的一个文件夹进行了EFS加密，而没有对用户证书进行备份，后因系统感染病毒，运行缓慢，重新安装系统后，原来E区被加密的重要文件夹打不开，并提示"文件只读或被加密"，加密的文件夹名是“绿色”显示的。
　　出现这种问题的用户很普遍，从微软官方网站上得知，如果重装系统之前没有备份用户证书是不能恢复的。经过我们对EFS加密的分析，出现这种情况并不是无药可救，只要能从原系统分区（C区）中提取出重要的公钥及私钥，数据就还是有希望的。
　　只要在C区的密钥文件没有被真正覆盖，我们可以通过一些数据恢复软件找到，如果能找到主密钥、私钥及公钥，在系统中构建原用户，使系统自动实现解密。我们需要进行下列操作：
　　修改注册表中下一个用户ID，新建一与原用户名称、密码相同的用户ID;
　　修改注册表中机器ID为从原C 中提取出来的机器ID;
　　修改用户配置文件，即还原原来的主密钥、私钥及公钥。
　　再次打开原来的加密文件，自动解密成功！
以上内容为转帖自某数据恢复博客
论坛里偶有朋友发帖抱怨重装Windows或是删除帐户之后，旧帐号的EFS加密文件打不开了，通常情况下这些数据相当于被判了死刑，回帖者也只能安慰这些倒霉的人节哀顺便了。如果数据至关重要，难道我们只能坐等末日来临？不，事实上，逃生之门是存在的，就看你的人品了。希望虽小，只要你采取正确的措施，兴许能把握住最后的一线生机。一句话，且尽人谋，但凭天意。
在讨论恢复EFS加密数据的方法之前，有必要简要交待一下EFS的工作原理：
&&& Windows
/XP的EFS（Encrypting File System，加密文件系统）基于公钥策略。
在使用EFS加密一个NTFS文件时，系统首先会生成一个伪随机数FEK (File Encryption
Key，文件加密钥匙)，然后用FEK加密数据并对文件进行原位覆写。随后系统利用你的公钥加密FEK，并把加密后的FEK存储在加密文件的$EFS属性中。
而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件。在首次使用EFS时，如果用户还没有公钥/私钥对（统称为密钥），则会首先生成密钥，然后加密数据。如果你登录到了域环境中，密钥的生成依赖于域控制器，否则它就依赖于本地机器。
由此可以看出，用户私钥是解密EFS文件的关键，私钥保存于Windows分区的Documents and
Settings%UserName%Application
DataMicrosoftCryptoRSA%UserSID%（用户的SID为安全标识符，相当于用户的身份证号码，当创建一个帐号时，系统为其分配一个唯一的SID编号）。
为了保护私钥，Windows用主密钥对私钥进行加密，主密钥位于Windows分区的Documents and
Settings%UserName%Application
DataMicrosoftProtect%UserSID%，然后再用用户密码生成的密钥对主密钥进行加密。
这样就形成了“用户密码－&主密钥－&私钥－&FEK－&EFS加密文件”加密链。所以如果想完整地获得EFS加密数据，那么必须得到用户密码、主密钥和私钥。
如果你重装了系统或是删除了帐号和用户配置文件，即便你重建了一个同名同密码的帐号，由于SID不一样，主密钥、私钥不同，仍然不能打开以前的EFS加密文件。
那么宝贵的数据是不是就永远地消失了呢？未必。尝试一下方法一，如果你足够幸运的话，你的EFS加密数据能够100%挽回。
方法一（根据Clark所作的《Encrypted File System
Recovery》一文修改整理而成）：
运用此方法的前提是知道用户密码，且能找回主密钥和私钥。如果用户配置文件未被删除，主密钥和私钥还在，那么情况就简单多了。如果很不幸主密钥和私钥被删除了，此时需用磁盘编辑器从Windows分区中搜索主密钥和私钥，祈祷你的密钥信息没被覆盖吧，请从步骤1开始。
测试环境：HP OEM XP Professional
SP2，补丁更新至8月14日。建立一个帐号test，隶属管理员组，登录后加密一个Word文档“Windows
XP服务详解.doc”，然后登录管理员帐号，将test帐户连同配置文件一并删除，此时用管理员帐号登录，双击这个Word文档，提示无访问权，操作被拒绝。
1. 从加密文件的$EFS属性中获得私钥GUID（私钥的某种特征值）
运行WinHex打开加密文件的$EFS属性，如图所示：
&浅蓝色部分即为私钥GUID，以Unicode编码存放，记下这个数值的头部信息13860d4c。
如果$EFS属性中存在多个DDF（Data Decryptong
Field，数据解密块，设置共享访问帐户就会产生多个DDF）或DRF（Data Recovery
Field，数据恢复块，为恢复代理设置，XP没有这项功能），私钥GUID不会存储在$EFS属性中，此时通过共享帐号或恢复代理就能找回数据，情况变得简单。
红框部分为test用户的SID：9E407E14 1AE87B56 828BA628
F5030000，每4字节一组，共16字节，前12字节为系统SID，后4字节为用户编号（又称为RID，相关标识符）。由于十六进制编辑器是从低址向高址显示，所以各组数字正序为：147E409E
567BE81A 28A68B82
。转换为十进制：3，其中003330为系统SID，1013为test的RID。
加上前缀s-1-5-21-，构成完整的SID：s-1-5-21-3。
黑框部分为公钥指纹，即公钥文件名：586DF446DB5EF2B691E2。
绿框部分为128字节的加密FEK。
2. 在Windows分区搜索私钥&
获取私钥GUID后，用WinHex打开Windows分区，如果快照较老，就提取新的卷快照，然后将光标移至偏移0处，点击搜索菜单，键入私钥GUID头部13860d4c，以ASCII码方式搜索整个分区，如果私钥信息没被覆盖，一定会找到。私钥文件如下图，注意私钥文件的第一字节一般为02。
私钥文件中除了有GUID信息（红框），还有“CryptoAPI”（黑框）和“RSA”（蓝框）字样作为标志。
绿框部分为主密钥文件名：A5DAD6D0 4CC4 8A4D B991
B，前八字节倒序存放，正序为：D0D6DAA5-C44C-4D8A-B991-EB。
私钥文件信息一般占用3个扇区，GUID所在扇区为第一扇区（以02开始），复制这3个扇区的内容，以任意文件名保存。
3. 在Windows分区搜索主密钥
重新将光标定位于Windows分区偏移0处，点击搜索菜单，以Unicode方式搜索主密钥文件名头字段d0d6daa5。WinHex将会找到一些结果，但只有如下图浅蓝色所示的内容才是主密钥文件信息，一般主密钥第一字节为02，密钥文件长度为388字节。
黑框部分为主密钥文件名。红框部分288FCD420D5D20499ABBB15158568F27为Credhist文件（主密钥相关文件）内容。
将浅蓝色部分的内容（以02开始）复制，命名为d0d6daa5-c44c-4d8a-b991-eb保存。至此，我们已完成了最关键的步骤：找回私钥和主密钥。这个过程成功与否完全依赖运气，因为Windows分区的写操作十分频繁，私钥和主密钥的文件信息随时可能被覆盖，随着时间的推移，找回文件的可能性将会越来越小。
我曾经做过试验，上午删除用户配置文件，当时还能找到私钥和主密钥，到了晚上，密钥信息就被覆盖了。所以，方法一成功的关键就在于分秒必争！一旦发现丢失密钥，应立刻搜索Windows分区，同时尽量避免对Windows分区的写操作，例如杀毒软件会不断写盘，此时应关掉安装在Windows分区上的杀毒软件，还有关机过程会将许多数据保存到Windows分区，应当避免关机，如果关机了，就不要再开机，应拆下硬盘挂到另一台机器上搜索密钥。
4. 创建主密钥相关文件Credhist和Preferred
用WinHex新建一个24字节的空文件，修改第一字节为01，复制主密钥中Credhist文件的内容，写入偏移4，保存为Credhist：
再创建一个24字节的空文件，从私钥中复制主密钥的文件名，写入偏移0，命名为Preferred，保存。
5. 伪造SID
前文说过用户SID相当于身份证号码，用户SID由系统SID和用户RID构成，在同一台机器同一系统上，系统SID不变，所以我们只需构造出一个相同RID的同名同密码帐号即可。&
& 由$EFS中得到RID为3F5。运行psexec -s -d -i
regedit.exe，以System权限打开注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account右侧的F键值，修改始于偏移0048处的4个字节的数值为F5
03 00 00，这样系统在创建下一帐号时将设置其RID为3F5。
&修改完毕重启一遍电脑，建立一个同密码的test帐号（属于管理员组），运行psgetsid
test，可以看到新建的test帐号与原test帐号SID一致。
&如果系统不相同，还需修改系统SID，这需要运行工具NewSID.exe，选择Specify
SID，输入$EFS中的系统SID修改即可。注意，修改系统SID的过程比较危险，容易造成系统崩溃，请在硬盘上无重要数据的情况下使用！
伪造公钥公钥位于Windows分区的Documents and Settings\%UserName%\Application
Data\Microsoft\SystemCertificates\My\Certificates，由于EFS解密文件时需要根据$EFS中的公钥指纹验证公钥文件，所以必须伪造一个公钥。
登录test随便加密一个文件，让系统生成公钥，用WinHex打开公钥文件，修改其中的私钥GUID和公钥指纹与$EFS中的记录相吻合：
浅蓝色部分为私钥GUID，红框部分为公钥指纹。
将修改后的公钥命名为586DF446DB5EF2B691E2（文件名即指纹）保存。这样，我们就获得了所有必需的文件。
7. 将相关文件放入正确的位置
私钥放在Documents and Settings\test\Application
Data\Microsoft\Crypto\RSA\s-1-5-21-3。
公钥位于Documents and Settings\test\Application
data\Microsoft\SystemCertificates\My\Certificates。
主密钥位于Documents and Settings\test\Application
Data\Microsoft\Protect\s-1-5-21-3，Preferred和主密钥放在同一文件夹内，Credhist位于Preferred上一级目录。
8. 获取私钥文件名
私钥的文件名也很重要，名称不正确，也不能解密。要获得私钥文件名，需借助一个软件ProcessMonitor。登录test帐号，运行ProcessMonitor，取消注册表和进程监视，只保留文件系统活动报告，设置过滤器为只报告lsass.exe进程相关的文件系统活动（lsass.exe进程PID可由任务管理器获得）。
如果系统不相同，还需修改系统SID，这需要运行工具NewSID.exe，选择Specify
SID，输入$EFS中的系统SID修改即可。注意，修改系统SID的过程比较危险，容易造成系统崩溃，请在硬盘上无重要数据的情况下使用！
单击加密文件Windows
XP服务详解.doc，终止ProcessMonitor监视，查看“结果”为“无此文件”的操作，找到过滤器名：
5c41220fcdba936fdb97c0_*，去掉*，即为私钥文件名5c41220fcdba936fdb97c0_。
修改私钥文件名之后双击Windows
XP服务详解.doc，于是EFS加密文件的内容就呈现在眼前了。
在方法一不奏效的情况下可以尝试方法二，此法利用了EFS的一个漏洞。EFS在加密一个文件时，先生成待加密文件的复件EFS0.tmp，从这个临时文件中读取数据经FEK加密然后覆写原文件，加密完成后，Windows删除EFS0.tmp。漏洞就出在EFS0.tmp上，Windows并没有覆写这个文件的信息，只是在文件系统中将这个文件标记为删除，所以加密文件的内容就会通过EFS0.tmp以明码形式存留在硬盘上，如果EFS0.tmp的内容没被后来写入磁盘的新数据覆盖，我们就能通过数据恢复的方法从硬盘上读取出加密文件的内容。
下图显示的是EFS0.tmp的内容，可以看到加密文件的明码。
&下图是先加密了一个较大的文本文件，然后再加密一个较小的文本文件，较大的文本生成的EFS0.tmp被较小文本的EFS0.tmp覆盖了部分文字，还残留了一部分信息在硬盘上。
为确认利用EFS0.tmp漏洞究竟能恢复多少加密数据，我特地做了一个实验：
& & 测试环境为HP OEM XP Professional
SP2，补丁更新至8月14日。为了消除其他残留数据的干扰，我先用WinHex将一块4GB的自由空间的所有扇区覆写0，然后将这块空间格式化为NTFS分区，拷入该分区8个Word文档、8个PowerPoint文件、8个PDF文档，15张JPG和6张GIF图片，共45个文件，13.5MB数据。
将这些文件加密之后，然后我用EasyRecovery的Raw
Recovery功能扫描该分区，恢复出45个文件。EasyRecovery的Raw
Recovery功能是根据文件头部信息遍历所有扇区搜索可用文件，你可以自己定制文件头部信息让EasyRecovery搜索你想要的文件类型。
这里有个小插曲，我第一次实验时，没有清空所有扇区，结果EasyRecovery把我许久以前删除的文件找回来了，在此提醒大家一点，在转让你的旧硬盘之前，务必把硬盘所有扇区覆写一遍，以防泄露个人隐私。
&实验结果：
Word文档全部找回，其中有一个30KB的文件被EasyRecovery误识别为2GB，经WinHex截取之后文件能够正常读取，Word文档信息恢复率100%。图中左侧为EasyRecovery恢复出的文件，右侧为加密文件，以下图例均如此。
PDF文件全部找回，经检查，8个文件都能正常读取，信息恢复率100%。
PPT文档全部找回，但有两个文件打不开，经EasyRecovery和Office
Recovery修复，能读出约60%的信息，PPT文档信息恢复率85%。修复Office文档最好多试几个软件，不同软件对同一文档的修复效果不一定相同，我们可以选择最佳的恢复文档。
GIF文件全部恢复，都能打开，信息恢复率100%。
JPG图片全部找回，但有一张图片丢失了一半的图片信息，信息恢复率98%。
经统计，共恢复出95%的文件信息。我对这样的结果感到很惊讶，微软的EFS号称高度安全，怎么出了这么大的漏洞？而且，到目前为止，似乎也没有修补这个漏洞的Windows补丁。
当然，这是在理想情况下得到的最好结果，如果时间间隔很久，硬盘进行了频繁的写操作之后，恢复出的数据不会有这么多。另外，这个方法只能恢复加密那一刻的文件信息，如果对加密文件进行了修改，改动过的内容并不经EFS0.tmp写入硬盘，EasyRecovery是恢复不了的。
尽管这个方法有不小的缺陷，但作为没有其他更好办法之时的无奈之举，能部分挽回数据也是不错的。此方法的的时效性很强，运气的因素相当重要，在这样的关键时刻，人品的价值就体现出来了。
至此，我已经叙述完了两套恢复EFS加密数据的方法，不知道看过此帖的朋友是否有些头晕？确实，这些方法很麻烦，我也写得很头晕，要知道出错容易纠错难，风险规避在预防，恢复EFS加密数据的最好办法是导入你备份的私钥！
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。概述/EFS加密
EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK(File ，文件加匙)，然后将利用FEK和数据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。随后系统利用你的公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件。在首次使用EFS时，如果用户还没有公钥/私钥对（统称为密钥），则会首先生成密钥，然后加密数据。如果你登录到了域环境中，密钥的生成依赖于域控制器，否则它就依赖于本地机器。
好处/EFS加密
efs加密首先，EFS加密机制和操作系统紧密结合，因此我们不必为了加密数据安装额外的软件，这节约了我们的使用成本。其次，EFS加密系统对用户是透明的。这也就是说，如果你加密了一些数据，那么你对这些数据的访问将是完全允许的，并不会受到任何限制。而其他非授权用户试图访问加密过的数据时，就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的，只要登录到Windows，就可以打开任何一个被授权的加密文件。如何使用EFS加密要使用EFS加密，首先要保证你的操作系统符合要求。目前支持EFS加密的Windows操作系统主要有Windows 2000全部版本和Windows XP Professional、Windows Vista Business或更高以及Windows 7 Professional或更高版系列的操作系统，所有家庭版和入门版的Windows都不支持该功能。其次，EFS加密只对上的数据有效（注意，这里我们指的是NTFS 3.1分区，有时也称作NTFS5.0（指随同Windows2000发布，win2000的版本号是5.0），这是指由Windows 2000/XP/Vista/7格式化过的NTFS分区；而由Windows NT4格式化的NTFS分区格式，虽然同样是，但它不支持EFS加密），你无法加密保存在FAT和FAT32分区上的数据。对于想加密的文件或文件夹，只需要用鼠标右键点击，然后选择“属性”，在常规选项卡下点击“高级”按钮，之后在弹出的窗口中选中“加密内容以保护数据”，然后点击确定，等待片刻数据就加密好了。如果你加密的是一个文件夹，系统还会询问你，是把这个加密属性应用到文件夹上还是文件夹以及内部的所有子文件夹。按照你的实际情况来操作即可。解密数据也是很简单的，同样是按照上面的方法，把“加密内容以保护数据”前的钩消除，然后确定。如果你不喜欢图形界面的操作，还可以在命令行模式下用“cipher”命令完成对数据的加密和解密操作，至于“cipher”命令更详细的使用方法则可以通过在命令符后输入“cipher/?”并回车获得。这里还有个窍门，用传统的方法加密文件，必须打开层层菜单并依次确认，非常麻烦，不过只要修改一下注册表，就可以给鼠标的右键菜单中增添“加密”和“解密”的选项。添加方法：在运行中输入“regedit”并回车，打开注册表编辑器，定位到：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced，在“编辑”菜单上点击“新建－Dword值”，输入“EncryptionContextMenu”作为键名，并设置键值为“1”。现在退出注册表编辑器，打开资源管理器，任意选中一个NTFS分区上的文件或者文件夹，然后点击鼠标右键，就可以在右键菜单中找到相应的选项，直接点击就可以完成加密解密的操作。如果你想设置禁止加密某个文件夹，可以在这个文件夹中创建一个名为“Desktop.ini”的文件，然后用记事本打开，并添加如下内容：EncryptionDisable=1之后保存并关闭这个文件。这样，以后要加密这个文件夹的时候就会收到错误信息，除非这个文件被删除。而如果你想在本机上彻底禁用EFS加密，则可以通过修改注册表实现。在运行中输入“Regedit”并回车，打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS，在“编辑”菜单上点击“新建－Dword值”，输入“EfsConfiguration”作为键名，并设置键值为“1”，这样本机的EFS加密就被禁用了。而以后如果又想使用时只需把键值改为“0”。
注意事项/EFS加密
如果把未加密的文件复制到具有加密属性的文件夹中，这些文件将会被自动加密。若是将加密数据移出来(前提:你正在使用的账户有移动\复制\删除已加密文件的权限)，如果移动到NTFS分区上，数据依旧保持加密属性；如果移动到FAT分区上，这些数据将会被自动解密。被EFS加密过的数据不能在Windows中直接共享。如果通过经EFS加密过的数据，这些数据在网络上将会以明文的形式传输。NTFS分区上保存的数据还可以被压缩，不过一个文件不能同时被压缩和加密。最后一点，Windows的和系统文件夹无法被加密。
EFS实战/EFS加密
（由《电脑迷》提供，整理发布）提示：要使用EFS，必须满足两个条件：1.文件需要保存在NTFS文件系统的分区上。2.操作系统必须支持EFS加密。目前支持EFS的操作系统主要有：Windows 2000、Windows XP Professional（不包括Home版），还有Windows Server 2003，Vista，7。EFS加密解密a.最简单的办法就是在目标对象上点击鼠标右键，选择“属性”，打开属性对话框,然后在常规选项卡上点击“高级”按钮，打开高级属性对话框，选中“加密内容以便保护数据”这个选项，反之解密。&b.每次加密都需要打开其高级属性对话框，非常麻烦。我们可以打开，定HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced，在这里新建一个名为EncryptionContextMenu的DWORD值，并将其数值设置为“1”，这样用鼠标右键点击一个文件或文件夹的时候，右键菜单中就会有加密（如果目标对象尚未被加密）或者解密（如果目标对象已经被加密）选项，只要选择相应的选项就可以直接完成操作。加密后文件的共享默认情况下，加密后的文件只有加密者可以访问。如果因为特殊情况，你需要将你自己加密后的文件和别人共享，那么还需要额外的设置。要注意的是，这个特性仅在Windows XP之后的操作系统中提供，Windows 2000下无法共享EFS加密后的文件。同时共享只能用于单个文件，而无法用于整个文件夹。&在这个对话框中点击“添加”按钮，就可以选择你希望可以打开这个文件的用户。不过要注意，这里添加用户并不是添加用户的名称，而是添加用户的公钥，也就是说希望共享文件的用户必须有自己的公钥。密钥的备份和恢复为什么有很多人在使用EFS的时候出现问题呢？笔者认为最大的原因在于很多人并没有真正理解EFS的加密方式。说到加密，密钥是一个非常重要的概念。EFS是一种公钥加密，那么这里就要说说什么是公钥加密了。在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK (File Encryption Key，钥匙)，然后利用FEK和数据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。随后系统利用你的公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件。在首次使用EFS时，如果用户还没有公钥/私钥对（统称为密钥），则会首先生成密钥，然后加密数据。&从这段话中我们可以看出两个重点：文件的加密和解密都需要密钥的参与，而密钥分为公钥和私钥两种。很明显，无论是加密还是解密文件，都需要用到个人密钥。加密文件的时候使用公钥，解密文件的时候则使用相对应的私钥。那么无论是丢失了公钥还是私钥，都会给我们的使用带来麻烦，尤其是私钥，丢失之后就再也无法解密文件了。
为了保证数据安全，我们最好能在加密文件之后立即将自己的密钥备份出来，并保存到安全的地方，以防或其他原因导致数据无法解密。如何备份密钥呢？运行“certmgr.msc”打开证书管理器，在“当前用户/个人/证书”路径下，应该可以看见一个以你的用户名为名称的证书（如果你还没有加密任何数据，这里是不会有证书的）。用鼠标右键点击这个证书，在“所有任务”中点击“导出”。之后会弹出一个证书导出向导，在向导中有一步会询问你是否导出私钥，在这里要选择“导出私钥”，其它选项按照默认设置，连续点击继续，最后输入该用户的密码和想要保存的路径并确认，导出工作就完成了。导出的证书将是一个为后缀的文件。这个pfx文件最好能保存到其他位置，并且要保证该文件的安全。恢复密钥当用户的密钥丢失后，例如重装了操作系统，或者无意中删除了某个帐户，我们只要找到之前导出的pfx文件，用鼠标右键点击，并选择“安装PFX”，之后会出现一个导入向导，按照导入向导的提示完成操作（注意，如果你之前在导出证书时选择了用密码保护证书，那么在这里导入这个证书时就需要提供正确的密码，否则将不能继续），而之前加密的数据也就全部可以正确打开。&讲到这里，相信你对EFS的基本使用方法已经有了一个大概的认识，不过光有理论知识是不够的，笔者希望大家都多在实践中掌握EFS的使用。 由于EFS安全性非常高，如果使用不慎或方法不当则可能造成非常麻烦的后果，所以建议大家先用不重要的文件进行EFS加密的试验。
错误认识/EFS加密
很多人对EFS理解的不够彻底，因此在使用过程中总会有一些疑问。一般情况下，我们最常见的疑问有以下几种：1，为什么打开加密过的文件时没有需要我输入密码？这正是EFS加密的一个特性，同时也是EFS加密和操作系统紧密结合的最佳证明。因为跟一般的加密软件不同，EFS加密不是靠双击文件，然后弹出一个对话框，然后输入正确的密码来确认的用户的；EFS加密的用户确认工作在登录到Windows时就已经进行了。一旦你用适当的账户登录，那你就能打开相应的任何加密文件，并不需要提供什么额外的密码。2，我的加密文件已经打不开了，我能够把NTFS分区转换成FAT32分区来挽救我的文件吗？这当然是不可能的了。很多人尝试过各种方法，例如把NTFS分区转换成FAT32分区；用NTFS DOS之类的软件到DOS下去把文件复制到FAT32分区等，不过这些尝试都以失败告终。毕竟EFS是一种加密，而不是一般的什么权限之类的东西，这些方法对付EFS加密都是无济于事。而如果你的密钥丢失或者没有做好备份，那么一旦发生事故所有加密过的数据就都没救了。3，我加密数据后重装了操作系统，现在加密数据不能打开了。如果我使用跟前一个系统相同的用户名和密码总应该就可以了吧？这当然也是不行的，我们在前面已经了解到，跟EFS加密系统密切相关的密钥是根据每个用户的SID得来的。尽管你在新的系统中使用了相同的用户名和密码，但是这个用户的SID已经变了。这个可以理解为两个，虽然他们的名字相同，不过指纹绝不可能相同，那么这种想法对于只认指纹不认人名的EFS加密系统当然是无效的。
4，被EFS加密过的数据是不是就绝对安全了呢？当然不是，安全永远都是相对的。以被EFS加密过的文件为例，如果没有合适的密钥，虽然无法打开加密文件，不过仍然可以删除（有些小人确实会这样想：你竟然敢加密了不让我看！那好，我就删除了它，咱们都别看）。所以对于重要文件，最佳的做法是NTFS权限和EFS加密并用。这样，如果非法用户没有合适的权限，将不能访问受保护的文件和文件夹；而即使拥有权限（例如为了非法获得重要数据而重新安装操作系统，并以新的管理员身份给自己指派权限），没有密钥同样还是打不开加密数据。5，我只是用Ghost恢复了一下系统，用户账户和相应的SID都没有变，怎么以前的加密文件也打不开了？这也是正常的，因为EFS加密所用到的密钥并不是在创建用户的时候生成，而是在你第一次用EFS加密文件的时候。如果你用Ghost创建系统的镜像前还没有加密过任何文件，那你的系统中就没有密钥，而这样的系统制作的镜像当然也就不包括密钥。一旦你加密了文件，并用Ghost恢复系统到创建镜像的状态，解密文件所用的密钥就丢失了。因此这个问题一定需要主意！希望本文对你使用EFS加密有所帮助，希望你的数据能够更加安全！
&|&相关影像
互动百科的词条（含所附图片）系由网友上传，如果涉嫌侵权，请与客服联系，我们将按照法律之相关规定及时进行处理。未经许可，禁止商业网站等复制、抓取本站内容；合理使用者，请注明来源于www.baike.com。
登录后使用互动百科的服务，将会得到个性化的提示和帮助，还有机会和专业认证智愿者沟通。
此词条还可添加&
编辑次数：11次
参与编辑人数：5位
最近更新时间： 13:56:28
贡献光荣榜
猜你想了解
扫码下载APP