加密文件系统 (EFS) 提供一种核心文件加密技术,该技术用于在NTFS 文件系统卷上存储已加密的文件。一旦加密了文件或文件夹,你就可以象使用其他文件和文件夹一样使用它们。
对加密该文件的用户,加密是透明的。这表明不必在使用前手动解密已加密的文件。你可以正常打开和更改文件。
使用 EFS 类似于使用文件和文件夹上的权限。两种方法可用于限制数据的访问。然而,获得未经许可的加密文件和文件夹物理访问权的入侵者将无法阅读文件和文件夹中的内容。如果入侵者试图打开或复制已加密文件或文件夹,入侵者将收到拒绝访问消息。文件和文件夹上的权限不能防止未授权的物理攻击。
正如设置其他任何属性(如只读、压缩或隐藏)一样,通过为文件夹和文件设置加密属性,可以对文件夹或文件进行加密和解密。如果加密一个文件夹,则在加密文件夹中创建的所有文件和子文件夹都自动加密。推荐在文件夹级别上加密。
也可以用命令行功能 cipher 加密或解密文件或文件夹。详细信息,请参阅 Cipher。有关管理功能的详细信息,请参阅管理。
在使用加密文件和文件夹时,需记住下列信息:
只有 NTFS 卷上的文件或文件夹才能被加密。由于 WebDAV 使用 NTFS,当通过WebDAV 加密文件时需用 NTFS。
被压缩的文件或文件夹不可以加密。如果用户标记加密一个压缩文件或文件夹,则该文件或文件夹将会被解压。
如果将加密的文件复制或移动到非 NTFS 格式的卷上,该文件将会被解密。
如果将非加密文件移动到加密文件夹中,则这些文件将在新文件夹中自动加密。然而,反向操作不能自动解密文件。文件必须明确解密。
无法加密标记为"系统"属性的文件,并且位于 systemroot 目录结构中的文件也无法加密。
加密文件夹或文件不能防止删除或列出文件或文件夹表。具有合适权限的人员可以删除或列出已加密文件或文件夹表。因此,建议结合 NTFS 权限使用 EFS。
在允许进行远程加密的远程计算机上可以加密或解密文件及文件夹。然而,如果通过网络打开已加密文件,通过此过程在网络上传输的数据并未加密。必须使用诸如单套接字层/传输层安全 (SSL/TLS) 或 Internet 协议安全 (IPSec) 等其它协议通过有线加密数据。但 WebDAV 可在本地加密文件并采用加密格式发送。