efs加密文件是什么

❶ 什么是EFS文件

EFS
EFS(Encrypting File System，加密文件系统)是Windows 2000/XP所特有的一个实用功能，对于NTFS卷上的文件和数据，都可以直接加密保存，在很大程度上提高了数据的安全性。

(1)什么是EFS加密

EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK(File Encryption Key，文件加密钥匙)，然后将利用FEK和数据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。随后系统利用你的公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件。在首次使用EFS时，如果用户还没有公钥/私钥对(统称为密钥)，则会首先生成密钥，然后加密数据。如果你登录到了域环境中，密钥的生成依赖于域控制器，否则依赖于本地机器。

EFS加密系统对用户是透明的。这也就是说，如果你加密了一些数据，那么你对这些数据的访问将是完全允许的，并不会受到任何限制。而其他非授权用户试图访问加密过的数据时，就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的，只要登录到Windows，就可以打开任何一个被授权的加密文件。

(2)EFS加密

选中NTFS分区中的一个文件，点击鼠标右键，选择“属性”命令，在出现的对话框中点击“常规”选项卡，然后点击“高级”按钮，在出现的对话框中选中“加密内容以便保护数据”选项，点击“确定”即可。

此时你可以发现，加密文件名的颜色变成了绿色，当其他用户登录系统后打开该文件时，就会出现“拒绝访问”的提示，这表示EFS加密成功。而如果想取消该文件的加密，只需将“加密内容以便保护数据”选项去除即可

(3)EFS解密

如果其他人想共享经过EFS加密的文件或文件夹，又该怎么办呢？由于重装系统后，SID(安全标示符)的改变会使原来由EFS加密的文件无法打开，所以为了保证别人能共享EFS加密文件或者重装系统后可以打开EFS加密文件，必须要进行备份证书。

点击“开始→运行”菜单项，在出现的对话框中输入“certmgr.msc”，回车后，在出现的“证书”对话框中依次双击展开“证书-当前用户→个人→证书”选项，在右侧栏目里会出现以你的用户名为名称的证书。选中该证书，点击鼠标右键，选择“所有任务→导出”命令，打开“证书导出向导”对话框。

在向导进行过程中，当出现“是否要将私钥跟证书一起导出”提示时，要选择“是，导出私钥”选项，接着会出现向导提示要求密码的对话框。为了安全起见，可以设置证书的安全密码。当选择好保存的文件名及文件路径后，点击“完成”按钮即可顺利将证书导出，此时会发现在保存路径上出现一个以PFX为扩展名的文件。

当其他用户或重装系统后欲使用该加密文件时，只需记住证书及密码，然后在该证书上点击右键，选择“安装证书”命令，即可进入“证书导入向导”对话框。按默认状态点击“下一步”按钮，输入正确的密码后，即可完成证书的导入，这样就可顺利打开所加密的文件。

❷ EFS加密是怎么回事儿

楼上已经把它贴出来了。。。。
BAIDU一下已经很全了。还有教程。
是系统自带的。安全性还行。但操作不是那么方便。

❸ EFS是什么意思

加密文件系统。 EFS加密是基于公钥策略的， 对用户是透明的。这也就是说，如果你加密了一些数据，那么你对这些数据的访问将是完全允许的，并不会受到任何限制。 选中NTFS分区中的一个文件，点击鼠标右键，选择“属性”命令，在出现的对话框中点击“常规”选项卡，然后点击“高级”按钮，在出现的对话框中选中“加密内容以便保护数据”选项，点击“确定”即可。 (1)什么是EFS加密EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK(File Encryption Key，文件加密钥匙)，然后将利用FEK和数据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。随后系统利用你的公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件。在首次使用EFS时，如果用户还没有公钥/私钥对(统称为密钥)，则会首先生成密钥，然后加密数据。如果你登录到了域环境中，密钥的生成依赖于域控制器，否则依赖于本地机器。 EFS加密系统对用户是透明的。这也就是说，如果你加密了一些数据，那么你对这些数据的访问将是完全允许的，并不会受到任何限制。而其他非授权用户试图访问加密过的数据时，就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的，只要登录到Windows，就可以打开任何一个被授权的加密文件。 (2)EFS加密选中NTFS分区中的一个文件，点击鼠标右键，选择“属性”命令，在出现的对话框中点击“常规”选项卡，然后点击“高级”按钮，在出现的对话框中选中“加密内容以便保护数据”选项，点击“确定”即可。也可使用cipher命令。用法： 显示或更改 NTFS 分区上的目录[文件]的加密 CIPHER [/E | /D] [/S:directory] [/A] [/F] [/Q] [/H] [pathname [...]] CIPHER /K CIPHER /R:filename CIPHER /U [/N] CIPHER /W:directory CIPHER /X[:efsfile] [filename] /A 在文件及目录上操作。如果父目录没有加密，当加密文件 被修改后，它可能被解密。建议您给此文件和父目录加密。 /D 将指定的目录解密。会标记目录，这样随后添加的文件 就不会被加密。 /E 将指定的目录加密。会标记目录，这样随后添加的文件 就会被加密。 /F 强制在所有指定的对象上进行加密操作，即使这些对象已经 被加密。默认地会跳过已经加密的对象。 /H 显示带隐藏或系统属性的文件。在默认方式下，会忽略 这些文件。 /I 即使发生错误也继续执行指定的操作。在默认方式下， CIPHER 在遇到错误时会停止。 /K 为运行 CIPHER 的用户创建新的加密密钥。如果选择了 此选项，会忽略所有其他选项。 /N 此选项只能与 /U 同时使用。这将阻止更新密钥。此选项 用于查找本地磁盘上所有加密文件。 /Q 只报告最重要的信息。 /R 生成一个 EFS 恢复代理密钥和证书，然后将它们写入一个 .PFX 文件(包含证书和私钥)和一个 .CER 文件(只包含 证书)。管理员可以将 .CER 的内容添加到 EFS 恢复策略， 从而为用户创建恢复代理并导入 .PFX 来恢复单独文件。 /S 在已知目录和所有子目录执行指定的操作。 /U 尝试包括本地磁盘上所有加密的文件。如果用户文件加密 密钥或恢复代理的密钥改变，这会将其更新为当前的密钥。 除了 /N 外，此选项不能与其他选项一起使用。 /W 从整个卷上所有没有使用的磁盘空间删除数据。如果选择了 此选项，会忽略其他选项。指定的目录可以位于本地卷上的 任意位置。如果它是另一个卷上一个目录的装入点， 此卷上的数据将被删除。 /X 将 EFS 证书和密钥备份成文件的文件名。如果提供了 EFS 文件，将会备份当前用户的、用于加密此文件的证书。 否则，将会备份用户当前的 EFS 证书和密钥。 directory 一个目录路径。 filename 没有扩展名的一个文件名。 pathname 指定一个模式、文件或目录。 efsfile 一个加密的文件路径。 不用参数时，CIPHER 显示当前目录和它包含文件的加密状态。您可以 使用几个目录名和通配符。多个参数之间必须有空格。 此时你可以发现，加密文件名的颜色变成了绿色，当其他用户登录系统后打开该文件时，就会出现“拒绝访问”的提示，这表示EFS加密成功。而如果想取消该文件的加密，只需将“加密内容以便保护数据”选项去除即可。 注意：Windows XP Home不支持EFS加密。 (3)EFS解密如果其他人想共享经过EFS加密的文件或文件夹，又该怎么办呢？由于重装系统后，SID(安全标示符)的改变会使原来由EFS加密的文件无法打开，所以为了保证别人能共享EFS加密文件或者重装系统后可以打开EFS加密文件，必须要进行备份证书。 点击“开始→运行”菜单项，在出现的对话框中输入“certmgr.msc”，回车后，在出现的“证书”对话框中依次双击展开“证书-当前用户→个人→证书”选项，在右侧栏目里会出现以你的用户名为名称的证书。选中该证书，点击鼠标右键，选择“所有任务→导出”命令，打开“证书导出向导”对话框。 在向导进行过程中，当出现“是否要将私钥跟证书一起导出”提示时，要选择“是，导出私钥”选项，接着会出现向导提示要求密码的对话框。为了安全起见，可以设置证书的安全密码。当选择好保存的文件名及文件路径后，点击“完成”按钮即可顺利将证书导出，此时会发现在保存路径上出现一个以PFX为扩展名的文件。 当其他用户或重装系统后欲使用该加密文件时，只需记住证书及密码，然后在该证书上点击右键，选择“安装证书”命令，即可进入“证书导入向导”对话框。按默认状态点击“下一步”按钮，输入正确的密码后，即可完成证书的导入，这样就可顺利打开所加密的文件。详细的私钥证书导入方法如下： 设置Windows 恢复代理(以下以magic用户为例): STEP1:首先以magic这个用户登录系统。 STEP2:在“运行”对话框中输入“cipher /r:c:\magic”(magic可以是其他任何名字)回车后要求输入一个密码，随便输入一个回车后便在c盘里出现magic.cer和magic.pfx两个文件。 STEP3:安装magic.pfx证书，输入刚才设置的保护证书的密码，一路按NEXT就完成了证书的安装。 STEP4:在“开始→运行”输入“gpedit.msc”，打开组策略编辑器，在“计算机配置→Windows设置→安全设置→公钥策略→正在加密文件系统”下，右击弹出右键菜单，选择“添加数据恢复代理”，打开“添加故障恢复代理向导”打开magic.cer，然后按几次下一步就完成了恢复代理的设置。最后，就可以用magic这个用户名解密加密的文件了。 (4)禁止EFS加密如果你想设置禁止加密某个文件夹，可以在这个文件夹中创建一个名为“Desktop.ini”的文件，然后用记事本打开，并添加如下内容： [Encryption] Disable=1 之后保存并关闭这个文件。这样，以后要加密这个文件夹的时候就会收到错误信息，除非这个文件被删除。 而如果你想在本机上彻底禁用EFS加密，则可以通过修改注册表实现。在运行中输入“Regedit”并回车，打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS，在“编辑”菜单上点击“新建－Dword值”，输入“EfsConfiguration”作为键名，并设置键值为“1”，这样本机的EFS加密就被禁用了。而以后如果又想使用时只需把键值改为“0”。 (5)EFS加密注意事项a.只有NTFS格式的分区才可以使用EFS加密技术 b.第一次使用EFS加密后应及时备份密钥 c.如果将未加密的文件复制到具有加密属性的文件夹中，这些文件将会被自动加密。若是将加密数据移出来则有两种情况：若移动到NTFS分区上，数据依旧保持加密属性；若移动到FAT分区上，这些数据将会被自动解密。 d.被EFS加密过的数据不能在Windows中直接共享 e.NTFSF分区中加密和压缩功能不能同时使用 f.Windows系统文件和文件夹无法加密

❹ 什么是EFS加密

EFS能够以加密的形式把数据存储在硬盘中。一旦用户加密了一个文件，文件就会以加密的形式存在，只要该文件还存储在硬盘中。

❺ 什么是EFS加密功能

从windows 2000开始，微软为我们提供了一个叫做EFS的加密功能，通过该功能，我们可以将保存在NTFS分区上的文件加密，让别人无法打开。虽然该功能已经面世很长时间了，不过很多人因为对这个功能不了解，导致了很多数据丢失的情况发生。

什么是EFS加密

其实从设计上来看，EFS加密是相当安全的一种公钥加密方式，只要别人无从获得你的私钥，那么以目前的技术水平来看是完全无法破解的。和其他加密软件相比，EFS最大的优势在于和系统紧密集成，同时对于用户来说，整个过程是透明的。例如，用户A加密了一个文件，那么就只有用户A可以打开这个文件。当用户A登录到Windows的时候，系统已经验证了用户A的合法性，这种情况下，用户A在Windows资源管理器中可以直接打开自己加密的文件，并进行编辑，在保存的时候，编辑后的内容会被自动加密并合并到文件中。在这个过程中，该用户并不需要重复输入自己的密码，或者手工进行解密和重新加密的操作,因此EFS在使用时非常便捷。

完全支持EFS加密和解密的操作系统包括Windows 2000的所有版本、Windows XP专业版(Professional)、Windows Vista商业版(Business)、企业版(Enterprise)和旗舰版(Ultimate)。Windows Vista家庭基础版(Home Basic)和家庭高级版(Home Premium)只能在有密钥的情况下打开被EFS加密的文件，但无法加密新的文件。

为了向你介绍EFS加密功能的使用，下文会以Windows Vista旗舰版中的操作为例进行说明，同时这些操作也适用于Windows Vista商业版和企业版。其他支持EFS的Windows操作系统在细节上可能会有所不同。

EFS加密和解密

文件的加密和解密是很简单的，我们只需要在Windows资源管理器中用鼠标右键单击想要加密或解密的文件或文件夹，选择“属性”，打开“属性”对话框的“常规”选项卡，接着单击“高级”按钮，打开“高级属性”对话框。

如果希望加密该文件或文件夹，请选中“加密内容以便保护数据”;如果希望解密文件或文件夹，请反选“加密内容以便保护数据”，然后单击“确定”即可;如果选择加密或解密的对象是一个包含子文件夹或文件的文件夹，那么单击“确定”后，我们将看到“确认属性更改”对话框。

在这里，我们可以决定将该属性更改应用给哪些对象。例如，如果希望同时加密或解密该文件夹中包含的子文件夹和文件，可以选择“将更改应用于此文件夹、子文件夹和文件”；如果只希望加密或解密该文件夹，则可以选择“仅将更改应用于此文件夹”。

默认情况下，被加密的文件或文件夹在Windows资源管理器中会显示为绿色，提醒我们注意。如果不希望使用这一特性，那么可以按照下列方法更改默认设置：
1. 打开“计算机”“我的电脑”，如果是Windows Vista，请按下Alt键，打开菜单栏。
2. 在菜单栏上依次单击“工具”“文件夹选项”，打开“文件夹选项”对话框，打开“查看”选项卡。
3. 在高级设置列表中，取消对“用彩色显示加密或压缩的NTFS文件”这个选项的选择。
4. 单击“确定”。

证书的备份和还原

很多人使用EFS加密的时候都吃了亏。上文已经介绍过，EFS是一种公钥加密体系，因此加密和解密操作都需要证书(也叫做密钥)的参与。例如很多人都是这样操作的：在系统中用EFS加密了文件，某天因为一些原因直接重装了操作系统，并创建了和老系统一样用户名和密码的帐户，但发现自己之前曾经加密过的文件都打不开了。

如果仅仅是设置过NTFS权限的文件，我们还可以让管理员获取所有权并重新指派权限，但对于EFS加密过的文件，那就一点办法都没有了，因为解密文件所需的证书已经随着系统重装灰飞烟灭，在目前的技术水平下，如果要在缺少证书的情况下解密文件，几乎是不可能的。

所以要安全使用EFS加密，一定要注意证书的备份和还原，很多人正是因为不了解这个情况而吃亏。好在从Windows Vista开始，当我们第一次用EFS加密功能加密了文件后，系统会提醒我们备份自己的证书，而且操作也相对比较简单。

下文会从证书的备份和还原两方面介绍如何在Windows XP和Windows Vista下进行操作。

需要注意的是，每个人的证书都只有在这个人第一次用EFS加密了文件的时候才会自动生成，新创建的用户，如果还没有加密过文件，是不会有证书的。因此我们应当先加密一些临时文件，并立刻将证书备份起来，以便日后需要的时候还原。

在Windows XP中，如果想要备份证书，可以这样操作：

1. 打开“开始”菜单，单击“运行”，打开“运行”对话框，输入“certmgr.msc”并回车，打开证书控制台。

2. 在“证书控制台”窗口左侧的树形图中依次展开到“证书当前用户”“个人”“证书”，随后在右侧窗格中会看到当前用户所有的个人证书。

3. 这里需要注意，如果你还进行过其他需要证书的操作，例如访问加密网站，或者使用网络银行系统，这里可能会出现多个证书。我们需要的是“预期目的”被标记为“加密文件系统”的证书，在备份的时候记得不要选错了。

4. 找到要备份的证书后，在该证书上单击鼠标右键，指向“所有任务”，选择“导出”，这将打开“证书导出”向导。

5. 在向导的第一个界面上单击“下一步”，随后向导会询问是否导出私钥。因为我们需要备份该证书，方便日后恢复系统时解密文件，因此这里一定要选择“是，导出私钥”，然后单击“下一步”。

6. 随后可以看到“导出文件格式”对话框。

因为是用于加密文件系统的证书，因此证书的格式不可选择，使用默认选项即可。但这里要介绍另外一个选项“如果导出成功，删除密钥”。选中该选项后，系统会在成功导出证书后自动将当前系统里的密钥删除，这样加密的文件就无法被任何人访问了。为什么要这样做?对于安全性要求较高的文件，我们可以把导出的证书利用U盘等移动设备保存并随身携带，只在需要的时候才导入到系统中，平时系统中不保留证书，这样可以进一步防止他人在未经授权的前提下访问机密数据。设置好相应的选项后单击“下一步”。

7. 随后我们需要为证书设置一个密码。注意，这个密码需要在导入证书的时候提供，并且为了安全，建议和自己的帐户密码设置不同。输入好密码后单击“下一步”。

8. 接着单击“浏览”按钮，为导出的证书选择一个保存路径和名称，并单击“下一步”。

9. 复查所有设置，如果觉得一切无误，就可以单击“完成”按钮，完成导出操作。

在Windows Vista中，如果想要备份证书，可以这样操作：

1. 在Windows Vista中，当一个用户第一次使用EFS加密文件或文件夹后，系统通知区域很快就会显示一个图标，并用气泡通知提醒用户注意备份自己的密钥(如果第一次加密文件时没有理会这个提示信息，那么以后每次登录系统后都可以看见，或者也可以直接运行certmgr.msc，按照上文介绍的Windows XP中的步骤操作)。

2. 单击该通知后，可以看到“加密文件系统”对话框，在这里我们有不同的操作可以选择。

3. 因为我们的目的是备份EFS加密证书，因此直接单击“现在备份(推荐)”，随后可以打开证书导出向导。

导出的证书要记得保存在安全的地方，同时保险起见最好在不同地方保存多个副本。

❻ efs可用于对ntfs分区上什么加密保存

和Windows BitLocker一样，Encrypting File System(EFS，加密文件系统)是Windows内置的一套基于公共密钥的加密机制，可以加密NTFS分区上的文件和文件夹，能够实时、透明地对磁盘上的数据进行加密。

许多曾尝试过New Technology File System（以下简称NTFS）的朋友抱怨：他们根本感觉不到NTFS所带来的性能提升，甚至觉得适得其反。那么NTFS与FAT究竟是否存在性能差异，有的话又是怎么形成的？要了解这个问题，就必须了解NTFS与FAT的组织结构。

FAT下是为小磁盘及简单的目录结构而设计的文件系统。因此其文件系统组织方法也通过简单的File Allocation Table（文件分配表简称FAT)完成。它被放在磁盘的引导扇区后面。为了安全，紧接着是它的一份拷贝。在文件分配表后面是根文件夹，其中包含了分区根目录下所有文件和文件夹的入口。

根文件夹之后为其它文件和文件夹。文件或文件夹的存放并没有什么规律。每个文件完全占用 1至多个簇。

如果某个簇不是该文件的最后一个簇，则应包含下一个簇的位置信息，否则会有结束簇的标志。文件的名称和起始簇则记录在前面的文件分配表中。

通过此表中某个文件起始簇的位置找到起始簇，而文件的其余簇则是依此形成一条链带——FAT 就是依靠这种链式存取及文件分配表来管理整个磁盘分区的。

❼ EFS指什么

EFS是Encrypting File System，加密文件系统的缩写，他可以被应用在windows 2000以上的操作系统且为NTFS5格式的分区上(windows xp home不支持).

EFS 只能对存储在磁盘上的数据进行加密,是一种安全的本地信息加密服务.EFS使用核心的的文件加密技术在NTFS卷上存储加密文件.
它可以防止那些未经允许的对敏感数据进行物理访问的入侵者(偷取笔记本电脑,硬盘等)

EFS是如何工作的

当一个用户使用EFS去加密文件时，必须存在一个公钥和一个私钥，如果用户没有，EFS服务自动产生一对。对于初级用户来说，即使他完全不懂加密，也能加密文件，可以对单个文件进行加密，也可以对一个文件夹进行加密，这样所有写入文件夹的文件将自动被加密。

一旦用户发布命令加密文件或试图添加一个文件到一个已加密的文件夹中，EFS将进行以下几步：

第一步：NTFS首先在这个文件所在卷的卷信息目录下(这个目录隐藏在根目录下面)创建一个叫做efs0.log的日志文件，当拷贝过程中发生错误时利用此文件进行恢复。

第二步：然后EFS调用CryptoAPI设备环境.设备环境使用Microsoft Base Cryptographic Provider 1.0 产生密匙,当打开这个设备环境后,EFS产生FEK(File Encryption Key,文件加密密匙).FEK的长度为128位（仅US和Canada），这个文件使用DESX加密算法进行加密。

第三步: 获取公有/私有密匙对;如果这个密匙还没有的话(当EFS第一次被调用时),EFS产生一对新的密匙.EFS使用1024位的RSA算法去加密FEK.

第四步：EFS为当前用户创建一个数据解密块Data Decryptong Field(DDF),在这里存放FEK然后用公有密匙加密FEK.

第五步：如果系统设置了加密的代理,EFS同时会创建一个数据恢复块Data Recovery Field(DRF),然后把使用恢复代理密匙加密过的FEK放在DRF.每定义一个恢复代理,EFS将会创建一个Data Recovery Agent(DRA).Winxp没有恢复代理这个功能,所以没有这一步.，这个区域的目的是为了在用户解密文件的中可能解密文件不可用。这些用户叫做恢复代理，恢复代理在EDRP(Encryption Data Recovery Policy,加密数据恢复策略)中定义，它是一个域的安全策略。如果一个域的EDRP没有设置，本地EDRP被使用。在任一种情况下，在一个加密发生时，EDRP必须存在（因此至少有一个恢复代理被定义）。DRF包含使用RSA加密的FEK和恢复代理的公钥。如果在EDRP列表中有多个恢复代理，FEK必须用每个恢复代理的公钥进行加密，因此，必须为个恢复代理创建一个DRF。

第六步：包含加密数据、DDF及所有DRF的加密文件被写入磁盘。

第七步: 在加密文件所在的文件夹下将会创建一个叫做Efs0.tmp的临时文件.要加密的内容被拷贝到这个临时文件,然后原来的文件被加密后的数据覆盖.在默认的情况下,EFS使用128位的DESX算法加密文件数据,但是Windows还允许使用更强大的的168位的3DES算法加密文件,这是FIPS算法必须打开,因为在默认的情况下它是关闭的.

第八步：在第一步中创建的文本文件和第七步中产生的临时文件被删除。

加密过程图片可参考 http://www.ntfs.com/images/encryption.gif

文件被加密后,只有可以从DDF或是DRF中解密出FEK的用户才可以访问文件.这种机制和一般的安全机制不同并意 味着要想访问文件,除了要有访问这个文件的权力外还必须拥有被用户的公有密匙加密过的FEK.只有使用私有密匙解密文件的用户才可以访问文件.这样的话会有一个问题:就是一个可以访问文件的用户可把文件加密之后,文件真正的拥有者却不能访问文件.解决这个问题的办法:用户加密文件的时候只创建一个文件解密块Data Decryption Field(DDF),但是只后他可以增加附加用户到密匙队列.这种情况下,EFS简单地把FEK用想给其他用户访问权的用户的私有密匙加密.然后用这些用户的公有密匙加密FEK,新增加的DDF和第一个DDF放在一起(这些新增加的用户对文件只有访问的权力).

解密的过程和加密的过程是相反的,参考http://www.ntfs.com/images/decryption.gif

首先,系统检测用户是否具有被EFS使用的私有密匙.如果有的话,系统将会在读取EFS属性,同时在DDF对列中寻找当前用户的DDF.如果DDF找到的话,用户私有密匙将会在那里解密出FEK.使用解密出来的FEK,EFS去解密加密的文件数据.需要注意的是文件从来不会完全被加密,但是有时候会去加密一些特殊的扇区如果上层模块要求的话.

EFS组成

EFS由EFS服务、EFS驱动、EFS文件系统运行库（FSRTL）和Win32 API。EFS服务作为一个标准系统服务运行，它是Windows 2000安全子系统的一部分。它与CryptoAPI接口产生钥匙、DDF和DRF，EFS驱动就象是NTFS的一部分，它呼叫EFS服务请求钥匙，DDF和DRF作为需要被创建，一个EFS驱动的组成是EFS FSRTL,它定义了EFS驱动程序能作为NTFS的代表而执行的功能。

EFS和NTFS如何共存

EFS可以被认为除NTFS外的第二层防护，为访问一个被加密的文件，用户必须有访问到文件的NTFS权限。在相关NTFS权限的用户能看到文件夹中的文件，但不能打开文件除非有相应的解密钥匙。同样，一个用户有相应的钥匙但没有相应的NTFS权限也不能访问到文件。所以一个用户要能打开加密的文件，同时需要NTFS权限和解密钥匙。

然而，NTFS权限可能被大量的方法穿越，包括口令破解程序、用户在离开前没有退出系统或系统内部的NTFSDOS。在NT4.0下，游戏结束了――硬盘上所有的数据都可以访问了。在Windows 2000下，当一个文件用EFS加密后，一个未授权的用户，即使访问到磁盘上的文件，但也不能访问文件上数据，因为没有授权用户的私钥。

EFS 属性

当NTFS加密文件的时候,它首先会为文件设置加密标志,然后在存储DDF和DDR的地方为文件创建一个$EFS属性.这个属性的属性ID=0x100,它可以被加长,占有0.5k到若干k的大小,这个大小是由DDF和DRF的数量决定的.

http://www.ntfs.com/images/efs_header.gif

下面是一个详细的EFS属性的例子.

http://www.raid1.cn/efs/pic/attribute/EFS_example.gif

紫色:EFS属性大小

天蓝色:电脑安全标识符和用户数字.它指定EFS存储证书的文件夹.为了得到文件
夹的名字,EFS会做一些转换.

5A56B378 1C365429 A851FF09 D040000 - 存储在$EFS中的数据.

78B3565A 2954361C 09FF15A8 000004D0 - 转换后的结果.

2025018970-693384732-167712168-1232 - 转换成十进制.

S-1-5-21-2025018970-693384732-167712168-1232 - 加上安全标识符前缀.

得到的文件夹就是:

%UserProfile%\ApplicationData\Microsoft\Crypto\RSA\S-1-5-21-2025018970-693384732167712168-1232\

粉红色:公有密匙特性

黄色:私有密匙全局唯一标识符(同时被当作容器名字).当EFS从CryptoAPI provider中获取设备环境的时候使用这个名字.如果$EFS属性只有一个DDF,容器的名字可以从$efs中计算出来.但是当更多的用户加入这个文件的时候(就会有更多的DDF和DRF),私有密匙全局唯一标识符并不是保存所有的用户,其它的必须从基于公有密匙存储特性的证书中恢复.

红色:加密提供器的名字(Microsoft Base Cryptographic Provider v.1.0)

绿色:用户的名称,DDF和DRF的所有者.

蓝色:加密后的FEK.通常FEK是128位的,但是被1024位的RSA密匙加密后,长度变成1024位.

❽ efs是什么意思

很多朋友不知道efs是什么意思，efs是加密文件系统，很多用户说按照官方教程刷机完以后手机没有信号,这就是efs信息丢失导致的，所以说这个文件非常重要，刷机前必须要备份，下面小编就来教大家怎么备份吧!

EFS文件是用来存取手机IMEI串号、无线网卡MAC地址以及网络设置的重要信息组件，目前发现升级不明基带的ROM以及频繁刷机或者错误的双清方法会导致EFS信息丢失，IMEI串号被清空或置零，基带未知，无法使用移动网络等故障。