教學 - 如何備分EFS證書

[psac]

Q:
用了NTFS加密，如何悲憤證書才能在重新安裝系統以後還能使用那些文件



A:1. 使用本機管理員帳戶登入到電腦。備註： 必須使用內裝的管理員帳戶，而不只是使用一個普通的具有管理員權限的帳戶。
2. 按下開始，按下執行，按鍵輸入 secpol.msc，然後按下確定。
3. 按下公鑰原則旁邊的加號 (+) 以展開此項。
4. 按下經過加密的資料恢復代理類別。
5. 在右邊的視窗中將顯示一個頒發給「管理員」的證書，並說明它是用來進行「文件恢復」的。 右鍵按下此項，然後按下「所有工作」>「匯出」。
6. 按下下一步。
7. 確保選項了「是，匯出私鑰」選項，然後按下下一步。
8. 在匯出文件格式對話視窗中，如果想移除與「管理員」帳戶關聯的私鑰，則請按下選「如果匯出成功，移除密鑰」複選框。
9. 按下下一步。
10. 按鍵輸入並驗證一個密碼以加強匯出密鑰的安全，然後按下下一步。
11. 系統會提示您將證書和私鑰儲存到一個文件中。 應將此文件制作備份到一個磁牒或可移動媒體設備中，然後將此制作備份存放在一個可在物理上確保制作備份安全的地方。 按鍵輸入適當的檔案名，然後按下下一步。
12. 當正在完成證書匯出嚮導對話視窗出現時，請驗證您選項的選項，然後按下完成。
13. 當「匯出成功」對話視窗出現時，按下確定。
14. 必須重新啟動電腦以完成私鑰的移除程序。

[psac]

EFS加密的破解

目前還沒有什麼手段能破解EFS加密，可就在前幾天，國外一家軟體公司就宣稱自己的軟體已經可以破解經過EFS加密的文件了。這是真的嗎，還是該公司在譁眾取寵？我們一起來驗證一下。

這個軟體叫做Advanced EFS Data Recovery（下文中統一簡稱為AEFSDR），可以在這裡下載到試用版，這個版本只能解密文件的前512字元，註冊軟體需要99美元。

為了驗證AEFSDR是否有效，我做了如下的試驗：

在一台電腦上安裝了Windows XP Professional＋SP1和Windows 2000 Professional＋SP3，其中Windows XP安裝在D碟，Windows 2000安裝在C碟。然後在Windows 2000中用一個Administrators組的賬戶「EFS」加密了一個文本文件「efs1.txt」。登出該賬戶，用另一個賬戶「Test」登入（該賬戶也屬於Administrators組），直接開啟efs1.txt時收到了訪問拒絕的錯誤。接著執行AEFSDR，首先在「EFS Related Files」選項項下點擊右側的「Scan For keys」選項項，並指定在C碟中掃瞄密鑰，經過掃瞄得到了一些顯示為綠色的可用密鑰。

然後開啟「Encrypted files」選項項，點擊右側的「Scan for encrypted files」按鈕，在D碟上搜尋所有加密文件，得到圖中的結果。選「efs1.txt」，然後點擊「Save files」，並指定儲存的位置即可。找到解密出來的文件開啟看看，你已經成功解密該檔案了。

為了驗證該軟體，我又繼續進行了如下試驗：

用「Test」帳戶登入系統，並移除賬戶「EFS」，接著執行AEFSDR，再次嘗試解密「efs1.txt」，成功；重啟動電腦到Windows XP下，執行AEFSDR解密「efs1.txt」，成功；拆下硬碟，並做為從硬碟安裝到其他執行Windows 2000/XP的電腦上，繼續嘗試用AEFSDR解密「efs1.txt」，成功；格式化C碟，然後把該硬碟做為從硬碟掛到其他執行Windows 2000/XP的電腦上，用AEFSDR解密「efs1.txt」，失敗。

由此可見，AEFSDR確實是有一定效果的，不過這要求硬碟上必需還保留有相應的密鑰，並且該軟體目前僅能破解經過Windows 2000加密的文件，對Windows XP的加密還無法破解，希望在今後的新版本中有所改進。

如果你不小心加密了資料，並且還保留有相關的密鑰，那就可以用這個軟體試試，只不過如果你的文件比較大就需要註冊該軟體了。提醒大家主意一下，該軟體雖然有破解過的版本，但是不建議你使用，因為破解版是失敗的，雖然可以解密文件，不過解密後的文件是被損壞的，根本不能使用。
你以管理員身份登入，關閉簡單文件共享（我的電腦-工具-資料夾選項-檢視）；然後找到你那個資料夾選以後點右鍵內容。
你試過
點安全--最右下角進階--所有者
選你的用戶名，勾上最下面取代子容器及對象的所有者
套用--確定--確定
如沒用的，以前的加密的那個用戶有一個隨機產生的PID，現在相當於丟了密鑰，只能以爆破..或下面些工具!


Advanced EFS Data Recovery V3.0 破解修正檔
http://www.997.cn/SoftView/SoftView_6283.html
Advanced EFS Data Recovery V3.0 破解修正檔

原版：http://www.997.cn/SoftView/SoftView_6283.html
軟體語言： 簡體中文
界面預覽：
軟體檔案檔案類型： 大陸軟體 / 磁牒工具 / 共享軟體
執行環境： WinXP, Win2000, NT, WinME, Win9X
軟體大小： 773 KB

開 發 商： http://www.elcomsoft.com/aefsdr.htm..
軟體簡介： Advanced EFS Data Recovery 是一個可以從Windows NTFS分區裡解密用 EFS 加密的文件的工具!
實驗使用 Advanced EFS Data Recovery3。0版本能夠檢索到另外設定的資料夾及文件，可以開啟加密的文件。
但不能檢索到 C:\Documents and Settings\下的賬戶 資料夾

在file tree中能夠看到C:\Documents and Settings\下的賬戶 資料夾 下的文件，
但找不到辦法匯出。



註冊碼
EFSD-H9J7-PEHV-7K8W-EZPDA-NZAB-ZFDGK

http://hlbr.onlinedown.net/files3/aefsdr.zip

還有..

ERD的Locksmith 或
最簡單的方法是深山紅葉

發現暴強軟體！WinXP免密碼進系統,Win2000免密碼進系統還突破EFS--可以用於3389！

如果你使用原版Win2000/XP安裝光碟進入故障恢復控制台，不需要輸入密碼，直接Enter鍵就可以進入了。這個漏洞帶來了一種全新的思法：能否利用這個漏洞實現「不用密碼就可登入WIn2000/XP"呢(2003沒有測試,下次再試一下咯)
DreamPackPL正是這種條件下的產物！它的功能空前強大而且安全隱蔽，可在登入系統之前就獲取System權限，甚至完全繞過系統的身份驗證 ！在不知道系統任意帳戶的密碼的情況下用任意已知帳戶登入系統，甚至還提供了一個查不出的"SYSTEM"帳戶使用
這個東西可以在登入界面下啟動程序，甚至還可以執行Explorer Shell！
而且這個軟體永久免費

但是這裡我要說明一下
如果你用過舊版，則請繼續看：

新版安裝方法：
執行你下載來的文件 (進入DreamPackPL下載頁面)或在附件下載啊

直接可以執行：
Install 安裝，完成後你需要重新啟動系統
CreateCD 使用製作的光碟進入故障恢復控制台(免密碼)
Extract 手動解壓縮檔案 sfcfiles.dll，取代你的System32同名文件


新版啟動方法：
按Ctrl+Alt+Del進入傳統登入界面：在用戶名那裡輸入：Dreamon，密碼為空，直接Enter鍵，系統會拒絕你登入，但現在DreamPackPL已經被啟動啟動了！

－－－－－說明－－－

突破EFS
這個功能目前經測試只可以在2000下突破，XP不行

[psac]

Windows XP備有Encrypted File System（EFS）可以將檔案加密。問題是，EFS實在太強勁，當原本加密檔案的帳號消失之後，EFS加密的資料檔案便無法打開。究竟有甚麼方法可解決？

EFS是Windows XP/2000/NT的NTFS檔案系統提供的加密功能，採用PKI公匙基制，跟檔案系統緊密結合，所以加密及解密程序可以在不影響用戶的情況下進行，方便快捷。

加密檔案需要原本帳號獨一無二的加密籲匙（encrypted keys）才能解碼。當重新安裝XP之後，將儲存在Registry以及Documents and Settings資料夾的帳號資料洗掉，加密檔案基本上無法復原，就算是擁有最高權限的Administrator帳號也無能為力。

憑證為何可解EFS加密

在採用Active Directory（AD）架構的的微軟視窗網絡中，用戶可透過（EFS Recovery Agent）」授權指定帳號，開啟該EFS加密檔案。不過，對於不納入 AD的單機（Standalone Computer）用戶來說，這功能有等於無。然而，亦有 變通方法。單機用戶可使用「憑証（Certificates）」授權其他帳號解開EFS 檔案。

前文提過EFS使用PKI公匙基制的加密系統，要配合各種加密籲匙（Encrypted Key），並且要有識別電腦系統的機器編碼才能正確地解開加密保護。而所謂 憑證其實是集合這些資料的檔案，利用匯出匯入方式，安置加密籲匙及 Registry設定於另一XP帳號。

EFS可以破解嗎？

當你的XP開不了機，又沒有憑證在手。硬碟內加密檔案還有復原的機會嗎？當然有解救方法。假如原本加密帳號的Registry及加密相關的系統檔案仍然存在，EFS加密檔案應該有得救。拯救EFS加密檔先決條件是要有以下幾項數據：

* 機器編號 (machine number）
* 公匙指印（the public key thumbprint）
* 私匙數據（the private key）
* 鎖檔資訊（locking file）

如果保留了原本XP的documents and settings資料夾，這些資料應該可以找到。硬碟快速格式化（Quick Format）之後，這些資訊有可能殘留在硬碟之中，故亦有復原EFS檔案的可能。不過，當硬碟低階格式化（Low Level Format）或經多次重寫資料，便沒法找回這些資訊。當找齊這些資訊，便需要重建XP加密檔案系統的資料結構，將有關檔案安放於適當的位置，跟住的工作便是修改Registry設定。

EFS涉及XP的系統安全基制，XP有關於系統加密的設定異常複雜，互為關聯，稍有不配合，便不能登入帳號，進入視窗界面。故以人手改動這些資料和設定會相當冒險。

修改Registry這種既繁瑣又易出錯的工作，其實可以由程式代勞。目前有三個軟件回復EFS加密檔案，包括：

1. Elcomsoft公司推出的Advanced EFS data recovery（http://www.elcomsoft.com/aefsdr.html），售價99美元
2. Passware公司推出的efskey（http://www.lostpassword.com/efs.htm）售價195美元
3. 微軟公司的recerts.exe工具程式，此程式要透過微軟收費技術支援才會提供。

以上軟件或服務都需要收費的，亦同樣需要用戶提供加密籲匙及相關的系統資訊。在以上三個軟件中，微軟的recerts.exe筆者未有機會試用，相信是利用憑證來回復EFS檔案。

Efskey適合一般電腦用戶，程式會隱去技術細節，在其操作界面視窗瀏覽加密檔案，直接解碼（由於Demo版的關係，不能存檔）。Advanced EFS data recovery操作界面視窗比較複雜，但彈性較大，試用版可作小量檔案回復。

試用EFS復原軟件

筆者將資料檔案放在一個獨立的硬碟之中，設定EFS 加密保護。再以第二個硬碟的XP取代原本EFS加密的XP開機，原本XP的硬碟仍要安裝到電腦，這樣子Advanced EFS data recovery及efskey才能復原加密檔案，這是因為這兩個程式需要原本硬碟提供的加密籲匙資訊才能解碼。

經筆者試驗，Advanced EFS data recovery並非所有檔案都能解開，反而efskey對於不同帳號EFS加密能應付自如。Advanced EFS data recovery要用戶先掃描硬碟，找尋加密籲匙，然後再要掃描加密檔案。在其操作視窗內能解碼的檔案圖示會顯示為綠色，可按工具列的解密圖示來另存檔案，當Advanced EFS data recovery找不到可解碼的加密籲匙，檔案圖示會顯示為紅色。

Efskey不需要用戶接觸技術細節，復原檔案完成是透明進行的，用戶只要在其工作視窗瀏覽檔案，程式便會自動找尋加密籲匙解碼。跟Advanced EFS data recovery相類似，不能解碼的檔案圖示會顯示紅色鎖匙，能解碼的檔案圖示會標示為綠色鎖匙。Efskey可讓用戶瀏覽檔案內容，若想另存檔案，便要用拖拉圖示（Drag and Drop）到桌面或檔案總管的辦法。

使用「憑証」解開EFS檔案

不屬於任何網絡區域（Domain）的單機用戶做了EFS檔案加密後，Windows XP/2000便會自動產生一張「憑証（Certificates）」。這憑証其實是一組數據，用來驗証帳號身份，亦可以用來解開EFS編碼。可將憑証匯出為檔案，再匯入其他帳號，那相當於授權解開EFS加密檔案的許可証。匯出憑証的方法很簡單，主要是利用主控台程式將憑証連帶私人加密籲匙（Pirvate Keys）匯出。

使用「憑証」解開EFS檔案

Step 1

在XP內執行mmc.exe（開始鈕→執行）。隨後會出現「主控台」視窗。

Step 2

在「主控台」視窗的拉下菜單進入「檔案→新增/移除嵌入式管理單元」。開啟「新增/移除嵌入式管理單元」視窗。

Step 3

其後在視窗上按「新增」鈕，在「新增獨立嵌入式管理單元」視窗中選「憑證」一項，請按「新增」鈕。在其後出現的視窗選「我的使用者帳戶」項目，再按「完成」鈕。按「確定」或「關閉」鈕退出視窗。此時主控台視窗會出現憑證的目錄顯示。

Step 4

在「憑證－目前的使用者→個人→憑證」的分支內，會找到所需的憑證，點選項目，再右按鼠鍵，在彈出視窗進入「所有工作」選「匯出」。

Step 5

跟著「憑證匯出精靈」視窗完成步驟就可以了。要留意的是須設定為「匯出私密金鑰」，匯出檔案格式是使用「DER編碼二位元」，並輸入你指定的檔案名稱。另外，匯出憑證時要設定密碼作為保護。

匯入EFS憑証

在XP登入另一個帳號，在「檔案總管」以鼠標雙按EFS憑証檔案。此時系統會叫出「憑證匯入精靈」來引導用戶完成工作。在匯入時，系統會要求用戶輸入匯出憑証時所設定的密碼。另外，憑証應指定存放區，否則不會在「主控台」視窗內找到。當匯入憑証後，重新登入帳號，便可以開啟EFS加密檔案。

[psac]

使用 EFS 為硬碟加密保護資料
更新日期:

本頁內容
簡介
開始之前
產生和備份修復金鑰
建立以網域為主的修復代理
建立本機修復代理
使用 EFS
啟用 Windows 檔案總管功能表上的「加密/解密」選項
啟用 EFS 檔案共用權限設定
匯出和匯入資料修復金鑰
修復資料
最佳實務
相關主題

簡介
在許多企業中使用者會共用他們的桌上型電腦。有些使用者帶著筆記型電腦外出到用戶端、機場、旅館和家裡使用，此時就無法受到企業實體裝置的保護。這表示企業經常無法掌控有價值的資料。未經授權的使用者可能會企圖讀取桌上型電腦所儲存的資料。筆記型電腦有可能被偷。在上述情境中，惡意的一方都可以取得公司的機密性資料。

有一種解決方案有助於降低資料被竊的可能，那就是使用「加密檔案系統 (EFS)」為機密檔案加密增加您資料的安全性。加密就是應用數學演算法，讓資料在缺乏所需的金鑰時無法讀取。EFS 是 Microsoft 的技術，它讓您為電腦資料加密，並且控制誰可以加密或修復這些資料。檔案加密後即使攻擊者能存取電腦資料的儲存實體，也無法讀取使用者的資料。若要使用 EFS，全部的使用者必須擁有「加密檔案系統」憑證，允許擁有者使用 EFS 為資料加密和解密的數位文件。EFS 使用者也必須擁有 NTFS 權限，才可以修改檔案。

在 EFS 中有兩種憑證起作用：

• 加密檔案系統憑證。這種憑證允許使用者使用 EFS 為資料加密和解密，它經常被簡稱為 EFS 憑證。一般的 EFS 使用者取得這種憑證。這種憑證的 [增強式金鑰使用方法] 欄位 (可在 Microsoft 管理主控台的憑證嵌入式管理單元中見到) 內容是「加密檔案系統」(1.3.6.1.4.1.311.10.3.4)。

• 檔案修復憑證。這種憑證允許持證者在網域或其他範圍中修復任何人加密的檔案。只有被稱為資料修復代理的網域管理員或非常信任的指定人員，才會取得這種憑證。這種憑證的 [增強金鑰使用方法] 欄位 (可在 Microsoft管理主控台的憑證嵌入式管理單元中見到) 內容是「檔案修復」(1.3.6.1.4.1.311.10.3.4.1)。這種經常被稱為 EFS DRA 憑證。


為了要讓其他授權的人員讀取您的資料，可以將您的私密金鑰給他，或者讓他們成為資料修復代理。資料修復代理可以在他範圍內的網域或企業內，解開所有經 EFS 加密的檔案。本文件提供在中小型企業中主要 EFS 相關工作的逐步指示，同時列出幾項重要的 EFS 最佳用法。

本文件中的程序將引導您完成下列工作：

• 建立和保護修復金鑰，確保當原始使用者無法修復時加密資料可以被安全修復。

• 在原始使用者無法修復時，建立可修復加密檔案的修復代理。

• 在您企業內建立 EFS。

• 設定 Windows 檔案總管以便使用 EFS。

• 設定檔案共享來搭配 EFS 使用。

• 匯出和匯入資料修復金鑰，以便安全修復加密的檔案和資料夾。

• 在原始使用者無法修復資料時修復資料。


遵循本文件中的下列程序，您可以做下列有關系統方面的變更：

• 建立備份資料修復金鑰。

• 建立修復代理。

• 啟用 EFS 為電腦硬碟資料加密。

• 設定 Windows 檔案總管以便包含 EFS 選項。


這些程序也讓您可以執行下列變更或預防措施：

• 提供共用存取選取的機密資料。

• 管理用來修復加密資料的資料修復金鑰。

• 在必要時著手修復加密資料。



開始之前
本文件將協助您設定電腦使用 EFS，並且以圖例說明如何使用 EFS 保護您企業的電腦硬碟資料。開始進行這些步驟之前，您應該和法律顧問確定計劃的加密原則和程序，是否符合相關的法律和規章。特別是如果您企業有辦公室在美國境外，您應該要熟悉有關加密軟體的輸出管制法律。您也應該要熟悉有關使用 EFS 的基本需求和條件：

• 您只能為 NTFS 檔案系統磁碟區上的檔案和資料夾加密。所以您不能使用 EFS 來保護使用 FAT 或 FAT32 檔案系統的硬碟資料。除非有特定的理由繼續使用 FAT 檔案系統，否則建議您將這些磁碟區轉換成使用 NTFS。Windows 95、Windows 98 和 Windows Millennium Edition 等作業系統不支援 NTFS 或 EFS。Windows XP Home Edition 支援 NTFS，但是不支援 EFS。

• 經過壓縮的檔案或資料夾也無法加密。如果您為壓縮的檔案或資料夾加密，這些檔案或資料夾將被解壓縮。

• 標示系統屬性的檔案不得加密，您也不可以為放在 systemroot 資料夾的檔案加密。

• 在第一次為檔案或資料夾加密時，您在快顯對話方塊選取的選項將決定以後的加密方式：

• 當為單一檔案加密時如果您選擇為上層資料夾加密，將來新增到這個資料夾的檔案和子資料夾，也都會在加入時被加密。

• 在資料夾加密時，如果您選擇為全部的檔案和子資料夾加密，那麼當時在資料夾以及日後新增的檔案和子資料夾，都會被加密。

• 在資料夾加密時，如果您選擇只加密這個資料夾，當時在資料夾中的檔案和子資料夾將不會被加密。不過，日後新增到資料夾的檔案和子資料夾會在加入時被加密。



除非另有指定，否則在本文件所述的程序中，伺服器電腦都是執行 Windows Server 2003 作業系統，而用戶端電腦則執行 Windows XP PROFESSIONAL。

在 Active Directory 環境中，則假設使用者漫游使用者的設定檔。請注意本文件中螢幕擷取畫面所反映的測試環境和資訊，它可能和您電腦所顯示的資訊有差異。

本文件中全部的逐步指示，都是使用您在安裝作業系統時所預設的「開始」功能表來開發。如果您曾經修改過「開始」功能表，則實際步驟可能稍為不同。


產生和備份修復金鑰
沒有備份修復金鑰，可能會造成加密資料無法挽回的損失。備份修復金鑰有助於確保，在使用者所擁有的 EFS 加密憑證無法為資料解密時修復加密資料。

需求
• 認證：這項操作必須使用修復代理帳戶來進行，而此帳戶在它的私人存放區中，具有檔案修復憑證和私密金鑰。網域系統管理員是預設的修復代理；在家用或非網域環境中並沒有預設的修復代理，但是您可以建立一個本機修復代理供電腦上所有的帳戶使用。在家用環境設定中最常見的是，每一個 EFS 憑證擁有者各自備份他們的私密金鑰。

• 工具：Microsoft Management Console (MMC) 的憑證嵌入式管理單元。


警告：對預設的修復原則做任何變更之前，請確定先備份預設的修復金鑰。網域的預設修復金鑰，儲存在網域的第一個網域控制站上。

• 若要將預設的修復金鑰備份到磁片


1.
按一下 [開始]，按一下 [執行]，鍵入 mmc，然後按一下 [確定]。會開啟 Microsoft Management Console。



2.
在 [檔案] 功能表中，按一下 [新增/移除嵌入式管理單元]，然後按一下 [新增]。

3.
在 [新增獨立嵌入式管理單元] 下，按一下 [憑證]，然後按一下 [新增]。

4.
按一下 [我的使用者帳戶]，然後按一下 [完成]。

5.
按一下 [關閉]，然後按一下 [確定]。

6.
按兩下 [憑證 - 目前的使用者]，按兩下 [個人]，然後按兩下 [憑證]。

7.
按一下在 [預定目的] 欄位中，顯示 [檔案修復] 字句的憑證。

8.
在憑證上按一下滑鼠右鍵，指向 [所有工作]，然後按一下 [匯出]。

9.
請遵循「憑證匯出精靈」中的指示，將憑證和相關的私密金鑰使用 .pfx 檔案格式匯出。




建立以網域為主的修復代理
若要允許帳戶使用 EFS 讀取或修復資料，您必須讓這個帳戶成為修復代理。因此網域環境中，建議使用網域帳戶。您可以為任何在 Active Directory® 目錄服務樹系中的網站、網域或組織單位建立修復代理。網域的內建 Administrator 帳戶是預設的修復代理，此時您無須另建修復代理。

需求
• 認證：網域的系統管理員。

• 工具：MMC 上的 [Active Directory 使用者及電腦] 嵌入式管理單元。

• 若要建立以網域為主的修復代理

1.
依序按一下 [開始]、[控制台]，按兩下 [系統管理工具]，然後按兩下 [Active Directory 使用者及電腦]。



2.
對您想要變更修復原則的網域按一下滑鼠右鍵，然後按一下 [內容]。

3.
按一下 [群組原則] 索引標籤。



4.
對您想要變更的修復原則按一下滑鼠右鍵，然後按一下 [編輯]。

5.
在主控台樹狀目錄中 (在左側)，按一下 [加密檔案系統]。它位於電腦設定\Windows 設定\安全性設定\公開金鑰原則\加密檔案系統。



6.
在詳細資料窗格中 (在右側)，按一下 [建立資料修復代理]。

注意：「建立資料修復代理精靈」會提示您，從檔案或 Active Directory 將使用者新增成為修復代理。當您從檔案新增修復代理，這個使用者會被識別為 USER_UNKNOWN。這是因為這個使用者名稱未儲存在檔案內。

為了從 Active Directory 新增修復代理，必須在 Active Directory 中公佈 EFS 修復代理憑證 (檔案修復憑證)。不過，因為預設的 EFS 檔案修復憑證範本不會發佈這些憑證，所以您需要建立範本來做這項事情。若要做這項事情，請在「憑證範本」嵌入式管理單元中，將預設的 EFS 檔案修復範本複製進來，產生新的範本然後對新範本按一下滑鼠右鍵，選擇 [內容]，並且針對複製範本在 [內容] 對話方塊的 [一般] 索引標籤上，選取 [將憑證發佈到 Active Directory] 核取方塊。

7.
請遵循「建立修復代理精靈」 中的指示，完成建立以網域為主的修復代理。




建立本機修復代理
在非網域的環境中，像是獨立電腦上或工作群組中，您可以建立本機修復代理。如果電腦被多重使用者共用，建立本機修復代理可能會有所幫助。在單一使用者的電腦上，使用者很容易將修復金鑰備份到抽取式媒體上。

需求
• 認證：本機電腦的系統管理員。

• 工具：群組原則物件編輯器。

• 建立本機修復代理

1.
按一下 [開始]，按一下 [執行]，鍵入 mmc 然後按一下 [確定]。

2.
在 [檔案] 功能表上，按一下 [新增/移除嵌入式管理單元]，然後按一下 [新增]。

3.
在 [新增獨立嵌入式管理單元] 下，按一下 [群組原則物件編輯器]，然後按一下 [新增]。

4.
在 [群組原則物件] 下，確定顯示出 [本機電腦]，然後按一下 [完成]。

5.
按一下 [關閉]，然後按一下 [確定]。

6.
在 [本機電腦原則] 中，瀏覽到本機\電腦原則\設定\Windows 設定\安全性設定\公開金鑰原則資料夾。



7.
在詳細資料窗格中，對 [加密檔案系統] 按一下滑鼠右鍵，然後按一下 [新增資料修復代理] 或者 [建立資料修復代理]。

注意：「精靈」將提示您鍵入修復代理的使用者名稱。您可以將具有已公佈檔案修復代理憑證的使用者名稱提供給精靈，或者瀏覽含有您想要新增的修復代理資訊的檔案修復憑證 (.cer 檔案)。檔案修復憑證可以取自 [憑證授權]。若要在「憑證」嵌入式管理單元、詳細資料窗格、[增強金鑰使用方法] 欄位中辨識出檔案修復憑證，請尋找值 [檔案修復 (1.3.6.1.4.1.311.10.3.4.1)]。檔案修復憑證使用 .cer 檔案格式，儲存在本機電腦系統或 Active Directory中。

當您從檔案新增修復代理時，使用者被識別為 USER_UNKNOWN，因為使用者名稱未儲存在檔案內。

8.
請遵循精靈中的指示完成程序。




使用 EFS
一旦完成建立修復代理，並且產生和備份了修復金鑰，您就可以開始使用 EFS 來協助保護檔案和資料夾，防止未經授權的存取。本章節提供有關啟用 EFS 的指示。

需求
• 認證：您必須是擁有 EFS 憑證和 NTFS 權限的使用者，才能修改檔案或資料夾。

• 工具：Windows 檔案總管。

• 若要使用 EFS 為檔案或資料加密

1.
開啟 Windows 檔案總管。



2.
對您要加密的檔案或資料夾按一下滑鼠右鍵，然後按一下 [內容]。

3.
在 [一般] 索引標籤上，按一下 [進階]。



4.
選取 [加密內容，保護資料] 核取方塊，然後按一下 [確定]。



5.
在 [內容] 對話方塊中，按一下 [確定]，然後做下列中的一項：

• 若要加密檔案和它的上層資料夾，請在 [加密警告] 對話方塊中，按一下 [加密檔案和上層資料夾]。

• 若只要加密檔案，就在 [加密警告] 對話方塊中，按一下 [只加密檔案]。

• 若只要加密資料夾，就在 [確認變更屬性] 對話方塊中，按一下 [只將所做的變更套用到這個資料夾]。

• 若要加密資料夾和它的子資料夾與檔案，請在 [確認變更屬性] 對話方塊中，按一下 [套用變更到這個資料夾、子資料夾和檔案]。


6.
按一下 [確定]，接受並套用您的加密選擇。




啟用 Windows 檔案總管功能表上的「加密/解密」選項
有些企業可能發現到要執行 EFS 很容易，只要在使用者對檔案按一下滑鼠右鍵時，將 Windows 檔案總管設定成在快顯功能表上顯示「加密」和「解密」。若要啟用這項功能，您需要編輯 Windows 登錄，來新建立一個在預設上不會結束的登錄值。

警告：編輯登錄若不正確，可能會嚴重損毀您的系統。變更登錄之前，您應該備份電腦上所有有價值的資料。

需求
• 認證：具有編輯登錄經驗的系統管理員，並且了解編輯登錄的危險性。

• 工具：登錄編輯程式。

• 若要啟用 Windows 檔案總管功能表上的加密/解密選項

1.
開啟「登錄編輯程式」並瀏覽到下列登錄路徑:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\



2.
在詳細資料窗格中 (在右側) 按一下滑鼠右鍵，按一下 [新增]，然後按一下 [DWORD 值]。

3.
鍵入 EncryptionContextMenu 作為 [DWORD 值] 的名稱，然後按下 Enter。



4.
對您剛建立的 [DWORD 值] 按一下滑鼠右鍵，再按一下 [修改]。

5.
在 [編輯 DWORD 值] 對話方塊的 [數值資料] 方塊中，鍵入值 ，然後按一下 [確定]。

6.
按一下 [檔案]，然後按一下 [結束]，關閉「登錄編輯程式」。



注意： 在 Windows Server 2003 中您也可以藉由建立具有下列資訊的登錄批次檔 (*.reg)，並且針對每一個使用者執行登錄批次檔，將 [加密詳細資料] 按鈕新增到「檔案總管」功能表中：

[HKEY_CLASSES_ROOT\*\Shell\Encrypt To User...\Command]

@="rundll32 efsadu.dll,AddUserToObject %1"


啟用 EFS 檔案共用權限設定
企業常常想要利用加密來協助保護機密性資料，同時又要允許多重使用者存取這些資料。使用 EFS 時，可以讓一位使用者為檔案加密，然後賦予另一位使用者存取加密資料的能力。若要允許幾位使用者存取已加密的檔案，加密的使用者可以將檔案指定為共用，然後將其他使用者的 EFS 加密憑證加到加密檔案而啟用共用存取。企業依照這種方式做，既有助於改善安全性又不至於損及資料的可用性。

您應該注意到有關共用加密資料的某些需求和限制：

• 您不能將使用者群組新增到加密的檔案，也不能將使用者新增到加密的資料夾。

• 所有被新增到加密檔案的使用者，必須在檔案所在的電腦上擁有 EFS 加密憑證。典型的憑證授權，像是 Verisign 所發的憑證。同時，如果使用者已經登入到電腦並且為檔案加密，該名使用者就會擁有這個電腦的 EFS 加密憑證。若要匯入憑證，請參閱 Microsoft TechNet 網站的《To import a certificate (英文)＞》，網址是 [img]http://go.microsoft.com/fwlink/?LinkId=22846。

• 所有可以為檔案加密的使用者，也必須有權去讀取檔案。必須正確設定 NTFS 權限才能允許這種存取。如果使用者因為 NTFS 權限不足而被拒絕存取時，使用者無法讀取加密檔案也無法為資料解密。若要設定檔案上的權限，請參閱 Microsoft TechNet 網站上的《To set, view, change, or remove permissions on files and folders (英文)》，網址是 [img]http://go.microsoft.com/fwlink/?LinkId=22847。


需求
• 認證：需要 EFS 認證和檔案的擁有權。

• 工具：Windows 檔案總管。


所有被新增到檔案的使用者必須在電腦上擁有憑證。

• 若要允許使用者加密或解密檔案

1.
開啟 Windows 檔案總管。

2.
對您想要變更的已加密檔案按一下滑鼠右鍵，然後按一下 [內容]。



3.
在 [一般] 索引標籤上，按一下 [進階]。

4.
在 [進階屬性] 中，按一下 [詳細資料]。

5.
若要將使用者新增到這個檔案，按一下 [新增]，然後進行下列一項：

• 若要新增在這台電腦上擁有 EFS 加密憑證的使用者，請按一下 [憑證]，然後再按一下 [確定]。

• 若要在將這台電腦上的憑證新增到檔案之前加以檢視，請按一下 [憑證]，然後再按一下 [檢視憑證]。

• 若要從 Active Directory 新增使用者，請按一下 [尋找使用者]，然後找出清單上的使用者，再按一下 [確定]。

• 若要從這個檔案移除使用者，請按一下使用者名稱，然後按一下 [移除]。




注意： 當使用者被新增到檔案而且匯入他的 EFS 加密憑證時，憑證會向信任的根憑證授權單位 (CA) 驗證。然後憑證會被儲存在該使用者的「其他人員」憑證存放區。


匯出和匯入資料修復金鑰
資料修復金鑰 (DRA 金鑰) 必須可供資料修復代理使用，以便在不可能正常修復時讓修復代理能夠修復加密的檔案。因此，重要的是保護修護金鑰。保護修復金鑰免於遺失的好辦法是，將資料修復憑證和資料修復代理的私密金鑰匯出到抽取式媒體上成為 .pfx 格式檔案。然後您可以藉由匯入它們來修復遺失的資料。

下列程序約略說明匯出和匯入 DRA 金鑰的程序。

需求
• 認證：您必須使用網域中第一個網域控制站上的系統管理員帳戶登入。

• 工具：MMC 的「憑證」嵌入式管理單元。


匯出資料修復金鑰
• 若要匯出憑證和預設網域資料修復代理的私密金鑰

1.
使用網域中第一個網域控制站上的系統管理員帳戶登入網域。

2.
按一下 [開始]，再按一下 [執行]。

3.
鍵入 mmc.exe 然後按 Enter。


4.
按一下 [檔案]，然後按一下 [新增/移除嵌入式管理單元]。

5.
按一下 [新增]。於是出現目前電腦上所有已註冊的嵌入式管理單元的清單。

6.
按兩下 [憑證嵌入式管理單元]，按一下 [我的使用者帳戶]，然後按一下 [完成]。



7.
在 [新增獨立嵌入式管理單元] 對話方塊中，按一下 [關閉]，然後在 [新增/移除嵌入式管理單元] 對話方塊中，按一下 [確定]。現在 MMC 顯示 Administrator 帳戶的個人憑證。

8.
瀏覽到憑證\目前的使用者\個人\憑證資料夾。
詳細資料窗格中 (在右側) 顯示系統管理員所有憑證的清單。預設中，通常顯示兩個憑證。找出預設的網域 DRA 憑證。

9.
對預設的網域 DRA 憑證按一下滑鼠右鍵，按一下 [所有工作] 然後按一下 [匯出]，啟動「憑證匯出精靈」



。




重要： 在匯出程序中最重要的是要選擇對的金鑰，因為一旦完成匯出程序，原始的私密金鑰和對應的憑證都會從電腦上刪除。如果無法將金鑰修復到電腦上，將不可能使用 DRA 憑證修復檔案。

10.
按一下 [是，匯出私密金鑰]，然後按一下 [下一步]。這會讓私密金鑰在完成匯出時被刪除。



11.
在 [匯出檔案格式] 頁面中，按一下 [個人資訊交換 – PKCS #12 (.PFX)]，選取 [啟用加強保護] 和 [如果匯出成功的話就刪除私密金鑰] 核取方塊，然後按一下 [下一步]。
最佳做法是，在成功匯出時自系統刪除私密金鑰，而加強私密金鑰保護則作為私密金鑰額外的安全性層級。
在匯出私密金鑰的時候，使用 .pfx 檔案格式。.pfx 檔案格式是根據 PKCS #12 標準，用來儲存或傳送使用者資訊的可攜式格式，包含私密金鑰、憑證和其他機密。.pfx 檔案格式 (PKCS #12) 也允許用密碼來保護儲存在檔案內的私密金鑰。



12.
在 [密碼] 頁面上的 [密碼] 和 [確認密碼] 文字方塊中，鍵入強性密碼，然後按一下 [下一步]。



最後步驟是儲存實際的 .pfx 檔案。憑證和私密金鑰可匯出到任何的可寫入裝置中，包括網路磁碟機或磁片。


13.
在 [要匯出的檔案] 頁面中，鍵入或瀏覽檔案名稱和路徑，然後按一下 [下一步]。



不論是否匯出成功都會產生通知。



如果遺失檔案和相關的私密金鑰，將不可能為曾經使用該特定 DRA 憑證作為資料修復代理的現有檔案解密。一旦匯出 .pfx 檔案和私密金鑰，請將可靠抽取式媒體上的檔案，根據貴企業的安全性準則和做法保存在安全地點。舉例來說，企業可能將 .pfx 檔案保存在一或多張光碟並存放具有嚴密實體存取掌控的保險箱庫內。



匯入資料修復金鑰
萬一您需要使用匯出的資料修復金鑰來修復加密資料，您首先要匯入金鑰。匯入金鑰比匯出更簡單。若要將儲存成 PKCS #12 格式檔案的金鑰 (.pfx 檔案) 匯入，只要按兩下檔案開啟「憑證匯入精靈」，或者啟動精靈再完成下列步驟匯入金鑰：

需求
• 認證：電腦上的 Doman Amin 帳戶。

• 工具：MMC 的「憑證」嵌入式管理單元。

• 若要匯入資料修復金鑰

1.
使用有效的帳戶登入電腦。

2.
按一下 [開始] 然後按一下 [執行]。



3.
鍵入 mmc.exe 然後按一下 Enter。

4.
在 MMC 的 [檔案] 功能表上，按一下 [新增/移除嵌入式管理單元]。

5.
按一下 [新增]。於是出現目前電腦上所有已註冊的嵌入式管理單元的清單。

6.
按兩下 [憑證嵌入式管理單元]，按一下 [我的使用者帳戶]，然後按一下 [完成]。

7.
在 [新增獨立嵌入式管理單元] 對話方塊中，按一下 [關閉]，然後在 [新增/移除嵌入式管理單元] 對話方塊中按一下 [確定]。現在 MMC 含有 Administrator 帳戶的個人憑證存放區。



8.
瀏覽到憑證\目前的使用者\個人\憑證資料夾，對資料夾按一下滑鼠右鍵，按一下 [所有工作]，然後按一下 [匯入] 以啟動「憑證匯入精靈」。



9.
按一下 [下一步]，鍵入要匯入的檔案的名稱和路徑，然後按一下 [下一步]。



10.
在 [密碼] 頁面上，於 [密碼] 方塊中，如果 PKCS #12 檔案則鍵入匯入檔案的密碼。
儲存私密金鑰時最好使用強性密碼保護。

11.
稍後如果您想要再從目前的電腦上匯出金鑰，最好選取 [將這個金鑰設成可匯出] 核取方塊。按一下 [下一步]。



12.
精靈可能會提示要求，提供要匯入憑證和私密金鑰的存放區名稱。若要確保私密金鑰匯入到個人的存放區，請勿按一下 [自動根據憑證類型來選取憑證存放區]，而是按一下 [將所有憑證放入下列的存放區]，然後按一下 [下一步]。



13.
反白 [個人] 存放區，然後按一下 [確定]。


14.
按一下 [下一步]，再按一下 [完成]，完成匯入程序。不論是否匯出成功都會產生通知。





重要：以網域為主的帳戶應該都要有關聯的資料修復代理可使用，因為本機帳戶可能易遭受實體的離線攻擊。


修復資料
萬一加密資料無法被原來的使用者修復，比如說因為使用者離開公司，此時您需要用一種方式來修復資料並讓它可被全企業存取。本節在告訴您如何修復已加密的檔案或資料夾。若要如此做，您先要使用「備份」或其他備份工具，將使用者已加密的檔案或資料夾，修復到檔案修復憑證和資料修復代理的修復金鑰所存放的電腦上。

您必須是經指定的修復代理，才可以執行這項程序。換句話說，您必須在待修復的檔案或資料夾上，擁有識別為 DRA 的私密金鑰和憑證。

需求
• 認證：資料修復代理。

• 工具：Windows 檔案總管。

• 若要修復已加密的檔案或資料夾

1.
開啟 Windows 檔案總管。



2.
對您想要修復的已加密檔案或資料夾按一下滑鼠右鍵，然後按一下 [內容]。

3.
在 [一般] 索引標籤上，按一下 [進階]。



4.
清除 [加密內容，保護資料] 核取方塊。



5.
製作加密檔案或資料夾的備份，然後將備份版本傳回給使用者。

注意： 您可以將加密檔案或資料夾的備份，作為電子郵件附件，或者放在磁片或網路檔案共用上。

另一種修復資料的方式是，在實體上將修復代理的私密金鑰和憑證實體傳送到擁有加密檔案的電腦、匯入私密金鑰和憑證、為檔案和資料夾解密，然後刪除匯入的私密金鑰和憑證。本程序將比上述程序增加將公開私密金鑰公開的可能性，但是不需要對檔案進行任何備份、還原作業或傳送。




最佳實務
下列的最佳實務有助於公司有效使用和管理加密的檔案和資料夾。

• 修復代理需要將它們的修復憑證，備份到安全地點。
如果您是修復代理，請使用 Microsoft Management Console (MMC) [憑證] 的 [匯出] 命令，將檔案修復憑證和私密金鑰匯出到磁片。將磁片保存在安全位置。然後，如果電腦上的檔案修復憑證或私密金鑰被毀損或刪除，您可以從 MMC 的 [憑證] 使用 [匯入] 命令，利用磁片上的備份取代受損或被刪除的憑證和私密金鑰。

• 使用預設的網域設定。
預設上，網域的系統管理員是 Windows 2000 或 Windows Server 2003 網域上預設的 DRA。當網域的系統管理員第一次使用該帳戶登入時，會產生自我簽章的憑證，私密金鑰會被儲存在該電腦的設定檔，而預設的網域「群組原則」內則以憑證的公開金鑰作為網域的預設 DRA。

• 請立即更新遺失或過期的 DRA 私密金鑰。
雖然 DRA 憑證過期是件小事，但是 DRA 的私密金鑰的遺失或損毀則有可能是企業的大災難。

過期的 DRA 憑證 (私密金鑰) 仍然可被用來為之前加密的檔案解密，不過，新的或更新過的加密檔案就無法使用過期的憑證 (公開金鑰)。當企業遺失 DRA 的私密金鑰或者 DRA 的憑證已經過期時，最佳實務是立即產生一或多個新的 DRA 憑證並且更新「群組原則」來反映新的 DRA。當使用者加密新的檔案或者更新現有的加密檔案時，這些檔案會使用新的 DRA 公開金鑰做自動更新。也許有必要鼓勵使用者更新現有的全部檔案，來反映新的 DRA。

在 Windows XP 中，命令列公用程式 cipher.exe 已經使用 /U 參數更新過，它被用來更新本機磁碟機上全部檔案的加密金鑰或修復代理金鑰。下列的範例更新執行 Cipher.exe 的本機磁碟機上的兩個加密檔案：

Cipher.exe /U
C:\Temp\test.txt: Encryption updated.
C:\My Documents\wordpad.doc: Encryption updated.


注意：當網域中沒有憑證授權而使用預設的自我簽章憑證時，憑證的使用時間是 99 年。


下列的最佳實務可以協助企業保護資料免遭偷竊或遺失：

• 電腦的實體保護最重要。技術上無法取代採行每項預防措施確保電腦被偷或者實際遭到入侵。

• 永遠使用行動電腦作為 Active Directory 網域的一部份。

• 在行動電腦以外的位置儲存使用者的私密金鑰，在需要時才匯入使用。

• 對於常用的儲存資料夾，像是「我的文件」和暫存資料夾，則將資料夾加密，讓所有新增和暫存檔案在建立時都會被加密。

• 當資料極為機密時，永遠將新檔案建立在加密資料夾，或者將純文字檔案複製進去。這樣可以確保全部的檔案在電腦上都不會以純文字形式存在，而且暫存資料檔案無法使用精密的磁碟分析攻擊來修復。

• 已加密的資料夾可以藉由使用「群組原則」、登入指令碼和安全性範本的組合，確保類似「我的文件」這種標準資料夾會被設定成為加密資料夾。

• Windows XP 作業系統支援離線檔案的加密。在本機快取的離線檔案和資料夾，在使用用戶端的快取原則時應該被加密。

• 在行動電腦上利用模式 2 或模式 3 (開機磁片或開機密碼) 使用系統機碼公用程式 SYSKEY，防止系統被惡意使用者開機。系統機碼公用程式和它選項的說明文件，是放在您的 Windows 版本上當作線上說明使用。

• 針對被信任為委派並且用來儲存加密檔案的伺服器，啟用「群組原則」中簽章的「伺服器訊息區塊 (SMB)」。這項設定放在下列位置的「群組原則」內：GPO-名稱\電腦設定\Windows 設定\安全性設定\本機原則\安全性選項\Microsoft 網路伺服器：永遠在通訊上加上數位簽章。

• 請確保在檔案加密後，定期將未加密的資料從硬碟上移除。
http://go.microsoft.com/fwlink/?LinkID=22412
http://go.microsoft.com/fwlink/?LinkID=22413

[psac]

Windows XP EFS（Encryption File System
一、前言

EFS 是自從 Windows 2000 就開始支援的資料保密功能，後續的 Windows XP Professional 及 Windows Server 2003 仍延續此一功能並作一些加強。雖然 NTFS 本身的權限設定足以有效限制使用者對於檔案的存取，但是在某些情況下，例如帳號密碼遭破解甚至整個磁碟被竊，有心人只要把原本磁碟安裝到另一個系統，很容易就可以把資料讀取出來。對於可攜式電腦使用者或是一台電腦同時有多人使用的環境，EFS 才可真正達到保護個人機密資料的目的。

由於 EFS 與 NTFS 檔案系統緊密地結合在一起，對於加解密的操作完全是透通的，也就是說使用者完全不會感覺使用上有什麼不同。當你對某個檔案夾啟用加密功能之後，只要把檔案搬移或複製到這個檔案夾，檔案就自動被加密；當您開啟加密檔案夾的檔案，檔案將自動被解密並打開，如同平常的操作一般。對一般的使用而言要加密檔案的方式很簡單，只需針對檔案或檔案夾的「進階」屬性作更改，或者可以使用 Cipher.exe 的指令對檔案加密，加密過的檔案或檔案夾檔名呈現淺綠色標示。




二、EFS 運作方式

EFS 加密是使用一對公開-私密金鑰（Public-Private Key）以及每個檔案的加密金鑰來加密解檔案。當使用者要對檔案加密時，系統便隨機產生一把 FEK（File Encryption Key）金鑰對檔案加密，接著以使用者的公開金鑰對這把 FEK 金鑰加密，再與檔案放在一起。當該用戶要讀取此加密檔案時，先以使用者的私密金鑰對加密過的 FEK 解密，接著以這把解開的 FEK 金鑰對加密過的檔案解密，如此一來擁有 FEK 金鑰的使用者就可以解開檔案。整體而言檔案是以同一把金鑰加解密，這就是所謂的對稱式（symmetric）加密法；對於加密檔案的金鑰 FEK 則用使用者的金鑰加密，解密則使用另外一把私鑰，這就是所謂非對稱式（asymmetric）加密法。對稱式加密有速度上的優勢，非對稱式加密則有較佳的安全性。

三、EFS 憑證（Cettificate）

要使用 EFS 之前一定先要有 EFS 憑證（Cettificate），要發行 EFS 憑證您可以自行架設憑證管理中心（Certificate Authorities），這個較適合於企業網域環境；對一般個人使用而言者，可以使用自我簽署憑證（self-signed certificates）。當使用者要設定檔案或檔案夾的加密屬性時，EFS 會試著找出使用者個人的憑證，如果使用者目前無授權憑證，EFS 便從可用的憑證管理中心要求憑證；如果沒有憑證管理中心，EFS就會自動產生使用者的自我簽署憑證。公開金鑰就存放在使用者的憑證當中，私密金鑰則位於使用者的描述檔（User Profile）。

要怎樣確認您已經有自我簽署憑證？請直接點選螢幕左下角「開始」→ 「執行」，輸入certmgr.msc後，按『確定』鍵，之後會開啟【憑證管理】視窗，在尚未啟用加密屬性時，並無任何個人憑證。





一旦針對某檔案進行加密之後，個人憑證即自動出現預定目的為「加密檔案系統」的憑證。





四、保護憑證與私密金鑰

雖然 EFS 可以用來保護資料的安全，然而水能載舟亦能覆舟，萬一您的系統出了問題，可能需要透過另一個系統存取您的重要資料，這時候若沒有憑證或私密金鑰，您的檔案也是無法挽救回來。為了避免這個問題，平時就應該把憑證與私密金鑰匯出並且妥善保存，以備不時之需，當需要的時候再匯入。

我們仍以certmgr.msc開啟【憑證管理】視窗來說明匯出的程序：
1. 首先選擇要匯出的憑證後按滑鼠右鍵，在「所有工作」選擇「匯出」，即開啟「憑證匯出精靈」。




2. 請選擇「是，匯出私密金鑰」後，按『下一步』。





3. 接著你可以選擇「如果匯出成功的話就刪除私密金鑰」，如果核選這個選項您還是可以加密檔案，因為公開金鑰還在，但是就無法解開已加密的檔案，除非您再匯入私密金鑰。





4. 下一步請輸入密碼用以保護私密金鑰，完成之後您會得到一個 PFX 附檔名的檔案，此檔案內包含憑證與私密金鑰。如果匯出時選擇不匯出私密金鑰，那您將會得到只含有憑證的CER附檔名的檔案。


當系統出了問題或私密金鑰已經不存在，這時就需要匯入憑證與私密金鑰，才能解開加密的檔案。匯入與匯出程序很類似，請參照以下動作處理：

1. 執行certmgr.msc，開啟【憑證管理】視窗，選擇個人憑證後，按滑鼠右鍵選擇「所有工作」當中的「匯入」，即開啟憑證匯入精靈。





2. 請指出要匯入的憑證檔案位置，接著請輸入匯出私密金鑰時所輸入的密碼，此外還有兩個選項：「啟用加強私密金鑰保護…」，這選項是用來強化金鑰的保護；另一選項「將這個金鑰設成可匯出…」，建議不要核選以避免金鑰可能被任意匯出，造成安全疑慮。





3. 當匯入憑證與金鑰之後，開啟加密檔案就不會再出現存取被拒的訊息。

五、資料修復代理（Data Recovery Agent）

有時候因為員工離職或不注意，把原有加密帳號刪除掉，資料修復代理的作用就是要讓除了檔案加密當事人之外，多了其他可以解開資料的人。不同於 Windows 2000 的設計，Windows XP 並無預設的資料修復代理，必須自行加入。

在單機使用時您可以透過本機群組原則來指定資料修復代理人，一般而言會以 administrator 帳號作為資料修復代理人。對加密的檔案而言，除原始加密者以公開金鑰加密 FEK 的資料外，又加上資料修復代理人以其公開金鑰對 FEK 加密，因此資料修復代理人有能力以其私密金鑰解開檔案。





要成為資料修復代理必須先有修復憑證，對單機電腦而言 EFS 需以自我簽署產生憑證，這裡需要用到 Cipher /r的指令。首先開啟命令列視窗，執行 cipher /r:filename 命令，接著輸入保護密碼之後，會建立您指定檔名的 .cer 與 .pfx 檔案。




直接在 .pfx 檔案，點選滑鼠右鍵選擇「安裝 PFX」，開啟「憑證匯入精靈」，請依指示輸入保護密碼即可正常匯入；至於 .cer 的憑證安裝必須開啟群組原則，請直接執行gpedit.msc即可開啟，點選「電腦設定」→「安全性設定」→「公開金鑰原則」→「加密檔案系統」後，按右鍵選擇「新增資料修復代理」，接著依導引指出原先建立的 .cer 檔案，安裝完成您可以在畫面的右窗格檢視到剛剛匯入的修復代理憑證。





加入資料修復代理之後，之後加密的檔案都可以由資料修復代理解密，但是對於加入修復代理之前已加密的檔案則無法解開。

六、加密檔案存取分享

檔案加密過之後只有加密者及修復代理人可以存取，若有其他用戶想要分享加密檔案時，請開啟加密檔案的進階屬性，點選『詳細資料』。





再按『新增』選擇您要分享檔案存取的使用者。這裡只能針對加密檔案作分享，但是不能以整個檔案夾分享，而且檔案分享仍需符合相關的權限設定才能存取，這個功能是　Windows XP 所新增的。



七、EFS 使用注意事項

1. 只有安裝成為 NTFS 檔案系統的 Windows XP Professional 才能支援 EFS，Home 版本並未支援。

2. 系統檔案夾底下的檔案並不支援檔案加密，也就 Windows 安裝的檔案夾，一般預設是「Windows」這個目錄。

3. 檔案加密與壓縮功能不能同時並存，也就是使用壓縮功能就無法作檔案加密，要作檔案加密就沒有壓縮功能。

4. 使用者透過網路存取加密資料時，必須注意資料只有在磁碟上才有加密的保護；換句話說資料在網路上流通仍有安全的顧慮，因此不論有線或無線網路，資料傳輸的安全性仍需列入考慮。

除非您對 EFS 操作已有相當的認知與驗證測試，否則不建議您貿然將重要資料導入 EFS 保護，因為由以往案例來看，大多數的人都知道如何加密，但未必將憑證與金鑰匯出並且妥善保存，本章希望能提供使用者對於 EFS 概略性的認識。


有個 Advanced EFS Data Recovery 的軟件，暫時只能破解 Win2000 加密的 EFS

這個不是因為EFS的原因，而是winxp的私鑰存儲方式不同，跟SAM和用戶密碼相關，重裝系統/其它用戶強制修改密碼都會丟失私鑰。win2k比較簡單，可以從用戶目錄下獲取私鑰。