EFS(Encrypting File System，加密文件系統)是Windows所特有的一個實用功能，對于NTFS卷上的文件和數據，都可以直接加密保存，在很大程度上提高了數據的安全性。

EFS加密是基于公鑰策略的。在使用EFS加密一個文件或文件夾時，系統首先會生成一個由偽隨機數組成的FEK(File Encryption Key，文件加密鑰匙)，然后將利用FEK和數據擴展標準X算法創建加密后的文件，并把它存儲到硬盤上，同時刪除未加密的原始文件。隨后系統利用你的公鑰加密FEK，并把加密后的FEK存儲在同一個加密文件中。而在訪問被加密的文件時，系統首先利用當前用戶的私鑰解密FEK，然后利用FEK解密出文件。在首次使用EFS時，如果用戶還沒有公鑰/私鑰對(統稱為密鑰)，則會首先生成密鑰，然后加密數據。

簡單的說，EFS中公鑰其實是用來加密數據的，就相當于自己家里的門鎖，任何人都可以使用它。 而私鑰就是用來解密文件的，也就是我們家里的門鑰匙。如果我們的私鑰損壞或丟失了，我們同樣不能打開自家的鎖。

EFS加密系統對用戶是透明的。這也就是說，如果你加密了一些數據，那么你對這些數據的訪問將是完全允許的，并不會受到任何限制。而其他非授權用戶試圖訪問加密過的數據時，就會收到“訪問拒絕”的錯誤提示。EFS加密的用戶驗證過程是在登錄Windows時進行的，只要登錄到Windows，就可以打開任何一個被授權的加密文件。

例如要對NTFS分區上的test目錄進行ESF加密，可以這樣操作：單擊“開始”/程序/附件，點擊打開“Windows 資源管理器”，點擊“我的電腦”，打開NTFS分區，右擊要加密的文件或文件夾（例如test目錄）；然后單擊“屬性”，在“常規”選項卡上，單擊“高級”按鈕；在彈出的窗口中，勾選“加密內容以便保護數據”復選框；點擊“確定”退出。

你可以根據需要，選擇僅加密此文件夾、還是將此目錄下的子文件夾和文件也一起加密；點擊選擇之后，點擊“確定”按鈕，最后再點擊“應用”完成。

于是在默認情況下，你就會發現剛才EFS加密的文件(夾)，在資源管理器中顯示的顏色會變為彩色，例如下圖中的文件/文件夾名字的顏色，不是常見的黑色、而是綠色的，這表示它們已經被EFS加密了。

對文件的EFS加密方法，與上面介紹的類似?，F在我們有了一個EFS加密過的目錄（例如test），以后如果你要對某個文件或文件夾進行EFS加密，也可以把它們移到該目錄中，這樣就會被自動加密。

注：FAT分區上的文件和文件夾是不能被ESF加密的，另外，標記為“系統”屬性的文件，位于Window系統目錄中的文件也無法ESF加密。

如果你不想對某個文件或文件夾efs加密了，可以這樣取消：打開windows資源管理器；右鍵單擊加密文件或文件夾，單擊“屬性”；在“常規”選項卡上點擊“高級”；在彈出的窗口中，清除“加密內容以便保護數據”復選框，最后按“確定”即可。

微軟的EFS技術可以對計算機上的數據進行加密，并控制哪些人有權解密或恢復數據。文件被加密后，即使攻擊者能夠物理訪問計算機的數據存儲器，也無法讀取用戶數據。所有用戶都必須擁有EFS證書，方可運用EFS對數據進行加密和解密。此外，EFS用戶必須擁有在NTFS卷中修改文件的權限。

EFS包括兩種類型的證書

1)  加密文件系統證書

    此類證書允許其持有者使用EFS加密和解密數據，它通常也被直接稱為EFS證書。普通的EFS用戶使用此類證書。這類證書的“增強型密鑰用法”字段(在Microsoft管理控制臺管理單元中可以看到)的值為“EFS(1．3．6．1．4．1-311．10．3．4)”。

2） 文件恢復證書

此類證書的持有者可以在整個域或其他范圍內對任何人加密的文件和文件夾進行恢復。只有域管理員或極受信任的委托人(即數據恢復代理)可以持有此類證書。這類證書的“增強型密鑰用法”字段（在Microsoft管理控制臺管理單元中可以看到)的值為“文件恢復（1．3．6．1．4．1_311．10．3．4．1)”。此類證書通常被稱為EFSDRA證書。

下面介紹的是加密文件系統證書的備份與恢復。

備份EFS密鑰
 
使用Windows 2000/XP的EFS加密后，如果重裝系統，那么原來被加密的文件就無法打開了!如果你沒有事先做好密鑰的備份，那么數據是永遠打不開的。由此可見，做好密鑰的被備份就很重要。

第一步：首先以本地帳號登錄，最好是具有管理員權限的用戶。然后單擊“開始→運行”，輸入“MMC”后回車，打開控制面板界面。

第二步：單擊控制面板的“控制面板→添加刪除管理單元”，在彈出的“添加/刪除管理單元”對話框中單擊“添加”按鈕，在“添加獨立管理單元”對話框中選擇“證書”后，單擊“添加”按鈕添加該單元。

如果是管理員，會要求選擇證書方式，選擇“我的用戶證書”，然后單擊“關閉”按鈕，單擊“確定”按鈕返回控制面板。

第三步：依次展開左邊的“控制面板根節點→證書→個人→證書→選擇右邊窗口中的賬戶”，右擊選擇“所有任務→導出”，彈出“證書導出向導”。

第四步：單擊“下一步”按鈕，選擇“是，導出私鑰”，單擊“下一步”按鈕，勾選“私人信息交換”下面的“如果可能，將所有證書包括到證書路徑中”和“啟用加強保護”項，單擊“下一步”按鈕，進入設置密碼界面。

第五步：輸入設置密碼，這個密碼非常重要，一旦遺忘，將永遠無法獲得，以后也就無法導入證書。輸入完成以后單擊“下一步”按鈕，選擇保存私鑰的位置和文件名。

第六步：單擊“完成”按鈕，彈出“導出成功”對話框，表示你的證書和密鑰已經導出成功了，打開保存密鑰的路徑，會看到一個“信封+鑰匙”的圖標，這就是你寶貴的密鑰!丟失了它，不僅僅意味著你再也打不開你的數據，也意味著別人可以輕易打開你的數據。

 恢復EFS密鑰
 
由于重裝系統后，對于被EFS加密的文件我們是不能夠打開的，所以重裝系統以前，一定記住導出密鑰，然后在新系統中將備份的密鑰導入，從而獲得權限。

★確保你導入的密鑰有查看的權利，否則就是導入了也沒有用的。這一點要求在導出時就要做到

★記住導出時設置的密碼，最好使用和導出是相同的用戶名。

第一步：雙擊導出的密鑰(就是那個“信封+鑰匙”圖標的文件)，會看到“證書導入向導”歡迎界面，單擊“下一步”按鈕，確認路徑和密鑰證書，然后單擊“下一步”繼續。

第二步：在“密碼”后面輸入導出時設置的密碼，把密碼輸入后勾選“啟用強密鑰保護”和“標志此密鑰可導出”(以確保下次能夠導出)，然后單擊“下一步”繼續。

第三步：根據提示，依次單擊“下一步”按鈕，OK了，單擊完成按鈕，看到“導入成功”就表示你已經成功導入密鑰了。

試試看，原來打不開的文件，現在是不是全部都能打開了呢?

★EFS加密的文件打不開了，把NTFS分區轉換成FAT32分區或者使用相同的用戶名和密碼登錄甚至重新Ghost回原系統都不能解決問題，因此備份和導入EFS密鑰就顯得非常重要。

★Windows XP家用版并不支持EFS功能。