4.2 NTFS分区的加密系统——EFS

NTFS分区本身具备加密的功能，借助于NTFS文件系统的特殊数据组织和管理格式，凡是采用 NTFS 格式的操作系统就都具备了文件加密的功能，比较典型的是 Windows 2000、Windows XP。

Windows 2000/XP/Server 2003都配备了EFS（Encrypting File System，加密档案系统），它可以帮助你针对存储在NTFS磁盘卷上的文件和文件夹执行加密操作。如果硬盘上的文件已经使用了EFS进行加密，即使有人能访问到你硬盘上的文件，由于没有解密的密钥，文件也是不可用的。

4.2.1 什么是EFS

EFS（加密文件系统）是集成在微软Windows平台的、可以对NTFS分区上的数据进行加密及解密的协议。用户使用EFS可以有效地保证数据存储的安全性，可以让数据不被未知的第三方窥探。它不仅适合个人用户使用，对于数据安全性要求较高的企业用户，EFS的功能也能满足他们的应用。

4.2.2 使用EFS的条件

（1）EFS（加密文件系统）是依赖于 NTFS 文件系统来工作的，也就是说要想使用 EFS功能，我们的硬盘分区必须是NTFS类型。其实，EFS也是NTFS文件系统安全性的一个实例体现。

（2）大家都知道NTFS的两大特点：加密和压缩。值得强调的一点是NTFS加密和压缩功能不能同时使用，二者只能取其一。

4.2.3 EFS原理及说明

EFS 的原理实际上就是利用一个证书文件将用户中的数据进行加密，而这个证书是唯一的，每一个用户即使用户名一致，其证书文件也是不相同的。

（1）如果一个用户对文件或文件夹进行了加密，那么只有这个用户可以访问这个文件夹，即使是系统管理员也无法访问该文件或者文件夹。

（2）EFS 对于加密数据的用户来说是透明的，也就是说对数据进行加密的用户可以像平时一样使用已被加密的数据，如打开、修改等操作，而其他没有访问权限的用户是不能访问这个数据的。

（3）当我们对已加密的数据进行移动或传输时，如果数据被存储到 NTFS 分区，那么在移动或传输过程中数据是被解密的，移动到相应的位置后再次被加密。而如果加密数据被移动到了非NTFS分区，那么数据会被自动解密，前提当然是该数据由加密用户进行转移操作。

（4）EFS 同时使用了私钥和公钥的加密方案。在加密数据时，EFS 会根据其算法随机地生成一个 EFS 密钥。这个密钥会用来加密当前数据，并在用户需要时用于解密数据。当 EFS密钥一旦用于加密某个数据，那么这个密钥本身也将被加密保存在这个公钥里。要想解密这个公钥就必须拥有用户私钥，这样，我们就只有访问私钥来得到EFS的加密密钥。基于这个原理，用户必须拥有私钥的访问权才能获得对加密数据的访问权。

（5）为了保障EFS的正常工作，它被内置了一个恢复方案。在用户丢失了私钥时，密码恢复代理用户可以给已加密的数据解密，这样就极大地保障了加密数据的安全性。

4.2.4 EFS和NTFS如何共存

EFS可以被认为是除NTFS外的第二层防护，为访问一个被加密的文件，用户必须有访问文件的NTFS权限。拥有相关NTFS权限的用户能看到文件夹中的文件，但不能打开文件，除非有相应的解密钥匙。同样，一个用户有相应的密钥，但没有相应的NTFS权限也不能访问到文件。所以一个用户要能打开加密的文件，同时需要NTFS权限和解密钥匙。

4.2.5 EFS属性

EFS加密基于公钥策略，在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的文件加密钥匙（File Encryption Key），然后将利用文件加密钥匙和数据加密算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。接下来系统利用你的公钥加密文件加密钥匙，并把加密后的文件加密钥匙存储在同一个加密文件中。

而在访问被加密的文件时，系统首先利用当前用户的私钥解密文件加密钥匙，然后利用文件加密钥匙解密出文件。在首次使用文件加密钥匙时，如果用户还没有公钥/私钥对（统称为密钥），则会首先生成密钥，然后加密数据。

说起来非常复杂，但是在实际使用过程中就没有那么麻烦了。EFS加密的用户验证过程是在登录 Windows 时进行的，只要登录到 Windows，就可以打开任何一个被授权的加密文件。换句话说，EFS加密系统对用户是透明的。

这也就是说，如果你加密了一些数据，那么你对这些数据的访问将是完全允许的，并不会受到任何限制。而其他非授权用户试图访问你加密过的数据时，就会收到“访问拒绝”的错误提示。具体的操作和设置方法，本书将在第7章进行介绍。