Win7 EFS 加密文件图解

EFS加密是基于公钥策略的。

在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK(File Encryption Key，文件文件加密钥匙)，然后将利用FEK和数据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。

随后系统利用你的公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件。在首次使用EFS时，如果用户还没有公钥/私钥对(统称为密钥)，则会首先生成密钥，然后加密数据。

如果你登录到了域环境中，密钥的生成依赖于域控制器，否则依赖于本地机器。EFS加密系统对用户是透明的。这也就是说，如果你加密了一些数据，那么你对这些数据的访问将是完全允许的，并不会受到任何限制。而其他非授权用户试图访问加密过的数据时，就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的，只要登录到Windows，就可以打开任何一个被授权的加密文件。

下面加密dddd55文件夹；



在高级属性中选择 加密内容以便保护数据；



确定；

加密后看到文件夹名字和文件夹中的内容的名字都变成绿色；



对于EFS加密的文件；

切换另外一个用户登录这台计算机，打开文件后弹出提示拒绝访问，

就算这个用户将此文件拷到别的地方去，也是无法打开该文件的。那该用户是否能进行取消加密呢，这样他就可以查看文件。因为该用户没有本机管理员权限，所以他不能进行该操作。如果想取消EFS加密，只需要按照加密步骤取消勾选“加密内容以便保护数据”即可。

如果其他人想共享经过EFS加密的文件或文件夹，怎么办呢？由于重装系统后，SID(安全标示符)的改变会使原来由EFS加密的文件无法打开，所以为了保证别人能共享EFS加密文件或者重装系统后可以打开EFS加密文件，必须要进行备份证书。

打开证书管理MSC；



按下图选择 导出 功能；



在证书导出向导中操作；











完成后看到导出为.pfx文件；