建立加密文件系统（EFS）数据恢复代理和证书备份

EFS（Encrypting File System）的全称是“加密文件系统”，它是一个由 Windows 2000 系列、Windows XP Professional 专业版（Home Edition 家庭版无此功能）以及 Windows.NET 提供的透明的文件加密服务，必须在 NTFS 5.0 以上的磁盘分区上才能使用。它是以公共密钥加密为基础。EFS 可以使文件具有机密性但不提供完整保护，EFS 提供可选的数据恢复能力，系统管理员可以恢复另一用户加密的数据，也可以实现多用户（被许可的用户）共享存取一个已经加密的数据。

一、关于证书及数据恢复代理

　　加密文件系统的公钥和私钥：用户首次执行为文件设置加密属性的操作后，就会自动启用 EFS，这时系统会产生一个针对该用户的公钥/私钥对。其中公钥保存在该用户的加密文件系统证书中，通过运行“证书管理器”可以进行查看；私钥通过用户的登录系统口令派生一个主密钥并保存在该用户的个人配置文件中。在对证书备份时可以同时导出私钥。

　　EFS 数据恢复代理：由于 EFS 的加密和解密与用户的账户信息和个人配置文件密切相连，如果用户忘记了自己的登录口令或是登录口令被系统管理员更改、个人配置文件损坏或丢失，都会造成文件永远处于加密状态不允许任何人进行访问，由于 EFS 的加密强度极高，因此恢复的可能性极小。为了预防庑┣榭龅姆⑸ 没г谄粲?EFS 前，要配置数据恢复代理为自己留一条后路。

　　文件加密、证书备份和建立数据恢复代理的正确操作顺序（很重要）
　　（1）在使用 EFS 加密文件之前，应先建立数据恢复代理。
　　（2）用 EFS 加密文件。
　　（3）导出用户的证书（公钥/私钥）。
　　（4）要恢复文件时，登录恢复代理用户，导入证书。
　　（5）解密文件。

二、建立数据恢复代理

　　1、在系统中选中一个用户作为数据恢复代理。要注意几点：
　　◇为保证建立的数据恢复代理具有最高的权限，一般选择系统中的管理员级用户（Administrators），用户可以选择已经存在的用户，也可以新建一个管理员级用户。
　　◇作为数据恢复代理的用户不能再使用 EFS 实施加密，否则如果数据恢复代理用户不能登录时，加密文件将不可恢复。

　　2、以“Creative Multimedia”用户为例，建立数据恢复代理的过程如下：
　　（1）以“Creative Multimedia”用户登录，打开“命令行提示符”，运行“cipher /r:CERT_BAK”命令，生成数据恢复代理的公钥／私钥对。命令完成后，将生成“CERT_BAK.cer”和“CERT_BAK.pfx”两个文件。
　　◇命令中的“CERT_BAK”是生成的证书的文件名，用户可以随意命名。
　　◇过程中会提示输入一个密码来保护 PFX，用户可随意设置。

　　（2）运行“gpedit.msc”打开“组策略编辑器”，在左侧依次展开“计算机配置”—“Windows 设置”—“安全设置”—“公钥策略”，右键点击“正在加密文件系统”，选择“添加数据恢复代理”。

　　（3）在弹出的“添加故障恢复代理向导”窗口中，点击“下一步”，点击“浏览文件夹”，指定刚才导出的“CERT_BAK.cer”文件，导入“Creative Multimedia”用户作为数据恢复代理。

　　至此，数据恢复代理的设置工作完成了。

三、利用 EFS 功能对文件进行加密

 

 

 

 

　　在这个例子中，用于加密的系统用户是“GuangFa Securities”。假设要对某 NTFS 分区（这是必须条件，FAT32 无法使用）里的“密码文件”文件夹里的所有文件进行加密，过程如下：
　　（1）右键点击“密码文件”文件夹，选择“属性”，打开文件夹属性对话框。

　

　　（2）点击“常规”选项卡中的“高级”按钮，弹出“高级属性”对话框，勾选“加密内容以便保护数据”，两次确定后生效。加密后的文件在资源管理器里用绿色文字表示。

　

　　（3）解密的情况刚好相反，只要取消“高级属性”里的“加密内容以便保护数据”就可以了。

　　说明：文件加密后，在加密用户本身使用时和没有加密的文件没有任何的区别，也不会提示要输入密码。但是，用另外的一个用户登录后，再打开加密文件时会提示拒绝访问。

四、证书（公钥／私钥）的备份

　　用户“GuangFa Securities”执行为文件设置加密属性的操作后，就会自动启用 EFS，这时系统会产生一个针对该用户的公钥/私钥对。其中公钥保存在该用户的加密文件系统证书中，通过运行“certmgr.msc”（证书管理器）可以进行查看；私钥通过用户的登录系统口令派生一个主密钥并保存在该用户的个人配置文件中。数据恢复代理在恢复加密数据的过程中必须使用到该证书，用户在加密后据后要对证书进行备份。

　　（1）运行“certmgr.msc”打开“证书管理器”，在左侧依次展开“个人”—“证书”。

　　（2）这时在右侧可以看到一个证书，它是以当前系统用户的用户名来命名的（Guangfa Securities 是我的用户名）。右击该证书，依次选择“所有任务”—“导出”来运行“证书导出向导”。

　　（3）依照证书导出向导的提示来导出证书，建议选择“导出私钥”，稍后会提示为导出的证书建立一个保护密码（在导入证书时要输入该密码才能导入），向导结束后证书将被导出。

　　

 

 

　　（4）证书导出后用户要做的就是保管好这个 pfx 文件，切勿放在系统盘，以免重装系统时格式化删除掉了。

 

 

五、利用数据恢复代理来恢复数据

　　假设“GuangFa Securities”用户的配置文件已经损坏或者删除，无法登录，这时可以能过数据恢复代理来打开被“GuangFa Securities”加密过的文件。具体的操作方法如下：登录作为数据恢复代理的“Creative Multimedia”用户，双击导入备份出来的“GuangFa Securities”用户的证书。

　　导入成功后，“Creative Multimedia”用户便可以打开加密的文件了。

六、注意事项

　　如果在设置数据恢复代理前，用户已经用 EFS 加密对文件进行过加密操作，那么设置数据恢复代理后，用户应该对配置数据恢复代理前进行加密的文件进行解密，然后再次进行加密。这样数据恢复代理才能对这些文件进行恢复。简单地说，数据恢复代理只能够恢复设置了数据恢复代理之后加密的文件。
　　另外，本篇只针对同一系统中不同用户之间加密文件恢复，对才重装系统后的加密文件恢复不讨论。