EFS加密的困惑及EFS证书导出方法

《电脑爱好者》上不只一次介绍过Windows XP的EFS加密功能：在NTFS分区上，右击任意文件夹，选择“属性”，点击“高级”，在高级属性窗口中选中“加密内容以便保护数据”项，确定后即为此文件夹进行EFS加密了。当你的电脑不慎丢失，或被黑客侵入电脑中，他们也很难破解EFS加密的数据。
不过，任何技术都是把双刃剑，用不好就会伤到自己。因为意外或疏忽，不少人经常遇到自己打不开自己加密文件的窘况。导致EFS加密文件夹打不开，常有以下几点：
1.格式化或重装系统之前，忘记解密（即取消对“加密内容以便保护数据”项的勾选）或导出相关证书。
2.用户账户被误删除或损坏。
EFS的加密强度非常高，难以破解，所以安全起见，最好自己先保存一份EFS证书，可以解决上面的两个问题：首次应用EFS加密之后，单击“开始→运行”，输入“certmgr.msc”，按回车键调出证书窗口；依次展开“证书-当前用户→个人→证书”，右击右侧的当前用户名项，选择“所有任务→导出”（见图2）启动证书导出向导，单击“下一步”，选择“是，导出私钥”，单击“下一步”，根据提示输入密码（密码不能忘了），最后导出并保存好证书即可。Vista下的操作，与上面的步骤相似，这里就不细述了。

小知识：什么是透明加密技术？
★EFS采用的是透明加密技术，也就是你自己在使用这些加密文件的时候，系统自动进行解密，就好像没有加密一样。但是一旦离开了当前用户的环境，比如以别的用户账户登录系统时，则无法打开这些文件。
透明加密虽然方便，但是当别人临时借用你的电脑，并且就用的就是你的用户账户，这时硬盘上的文件对于借用者来说，就没有任务秘密可言了。


------------------------------------------
　备份密钥:当有备份的密钥时我们重装系统也不会怕打不开以前加过密的文件了。点击“开始→运行”，在“运行”对话框中输入“certmgr.msc”打开证书管理器，点击“证书→当前用户”下的“个人→证书”(看不到?你都没有加密的文件怎么会有证书?)选择“证书”右击，选择“所有任务→导出”，在弹出的“证书导出向导”中选取“导出私钥”，随后选择保存证书的目录，按回车后，私钥便成功导出。

当要重新装系统的时候便把原来保存的私钥导入即可。

设置Windows 恢复代理(以下以magic用户为例):

STEP1:首先以magic这个用户登录系统。

STEP2:在“运行”对话框中输入“cipher /r:c:magic”(magic可以是其他任何名字)回车后要求输入一个密码，随便输入一个回车后便在c盘里出现magic.cer和magic.pfx两个文件。

STEP3:

安装magic.pfx证书，输入刚才设置的保护证书的密码，一路按NEXT就完成了证书的安装。

STEP4:在“开始→运行”输入“gpedit.msc”，打开组策略编辑器，在“计算机配置→Windows设置→安全设置→公钥策略→正在加密文件系统”下，右击弹出右键菜单，选择“添加数据恢复代理”，打开“添加故障恢复代理向导”打开magic.cer，然后按几次下一步就完成了恢复代理的设置。最后，就可以用magic这个用户名解密加密的文件了。