Windows Vista中的EFS加密功能

EFS的功能很强大，虽然使用过程很简单，但需要注意的事项却有很多，如果不注意，很可能会让自己永远都无法打开曾被加密过的重要文件。因此在正式投入使用之前请先注意下列问题：

永远先进行测试
无论打算借助EFS实现怎样的目的，一定要记得，在正式应用之前首先进行测试，只有在经过测试，确保万无一失之后才对自己的重要数据进行加密。这总好过加密了数据后才发现自己的操作出现纰漏，不仅无法保证数据的安全，还有可能导致自己都无法解密自己的数据，造成更大的损失。

和NTFS权限配合使用
EFS加密只能保证自己重要的文件数据不被偷窥，但并不保证文件本身的安全。例如你在计算机上加密了一个文件，别人自然是看不到文件的内容，但别人可以删除这个文件。就算没有权限，只要使用管理员帐户登录（可以破解管理员帐户的密码，或者干脆给计算机中再安装一个Windows），就可以获得所有权，并分配访问权限。虽然在这种情况下，对方依然看不到你的机密文件的内容，但完全可以将其删除。因此最好同时配合备份功能对重要数据进行备份。

注意帐户密码的修改
在Windows XP中，某些情况下，当用户修改密码后，可能会无法访问自己的EFS加密文件，但将密码更换回原来的老密码后就会恢复正常。这是一个已经确认的Bug，但截至本文完成时微软依然没有面向公众提供相应的补丁程序。因此在遇到这种问题的时候可以暂时将密码换回原来使用的，或者访问以下网址向微软索取补丁程序：
http://support.microsoft.com/kb/890951/。

加密证书的创建时间
很多人还曾遇到过这样的问题：安装好系统和应用软件，设置好所有选项后，使用镜像备份软件（例如Symantec Ghost）对系统进行了完整备份，然后开始使用系统，并用EFS加密了文件。一段时间后，系统出现了一些问题，于是使用之前的备份将系统还原为备份时的状态，但发现自己的EFS加密文件打不开了。
这个问题涉及到了EFS加密证书的创建时间。和很多人想象中的不同，EFS加密证书并不是在创建用户帐户的时候进行的，而是在一个帐户第一次加密文件的时候创建的。在对系统进行备份的时候，如果还没有用EFS加密过文件，那么这时候系统中并没有EFS加密证书，因此系统的备份文件中也不会有，进而使用这样的备份文件还原系统后，因为没有证书（虽然是同一个用户帐户，同样的SID，同样的用户名和密码），依然无法打开自己加密的文件。

添加快捷菜单项
每当我们要用EFS加密文件，或者解密文件的时候，都需要用鼠标右键单击文件，选择“属性”，然后在“文件属性”对话框中进行，相当麻烦。如果你需要经常加密或解密文件，那么可以直接将加密和解密的命令添加到Windows资源管理器右键菜单中。
运行“regedit”打开注册表编辑器，定位到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion /Explorer/Advanced，在这里新建一个名为“EncryptionContextMenu”的DWORD值，将其数值设置为“1”。修改后，当我们在Windows资源管理器中用鼠标右键单击一个未加密的文件或文件夹后，右键菜单中就会出现加密的选项；如果右键单击的是加密过的文件或文件夹，那么右键菜单中就会出现解密的选项。

禁用EFS加密
虽然EFS加密很好用，但并不是所有人都需要。而且如果你的计算机是几个人共用的，一旦不了解该功能的人无意中加密了文件，而我们忘记了备份证书，那么在证书丢失或者损坏后，会导致数据丢失。
因此如果不需要使用EFS加密，我们可以将其禁用。运行“regedit”打开注册表编辑器，定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionEFS，在这里新建一个名为“EfsConfiguration”的DWORD值，将其数值设置为“1”，这样本机的EFS加密就被禁用了。日后如果需要重新启用EFS加密，只需要将该值的数值改为“0”即可。

Windows Vista中的高级选项
在Windows Vista中，通过本地安全策略控制台，我们还可以对EFS加密的一些高级选项进行设置。
运行secpol.msc打开“本地安全”策略控制台，在控制台窗口左侧的控制台树中依次进入到“安全设置”|“公钥策略”|“加密文件系统”，用鼠标右键单击“加密文件系统”节点，选择“属性”，随后可以看到“加密文件系统属性”对话框。

Windows Vista中的高级EFS选项

对于单机或工作组环境下的计算机，我们需要设置的选项包括：
使用加密文件系统（EFS）的文件加密 将该选项设置为“允许”，因为只有这样才可以继续设置下面的其他选项。
加密用户的文档文件夹的内容 选中该选项后，本机所有用户的“文档”文件夹都会被加密。对于需要多人共用一台计算机并处理机密数据的环境，请选择该选项。
启用页面文件加密 页面文件也就是我们常说的虚拟内存。正常情况下，当我们使用程序处理机密数据的时候，程序或者数据信息本身可能会被分配到页面文件中，并且在页面文件中保存很长时间，而且默认情况下页面文件在关机的时候并不会被删除。因此如果有人能够接触到页面文件，通过专用的软件将可以从中提取出数据，其中就有可能包含我们的机密数据。因此最安全的做法是加密页面文件，这样别人就算可以接触到页面文件，因为是加密的，没有证书，所以不用担心泄密。同理，我们还可以考虑加密临时文件夹。□