给NTFS文件加密的技巧(2)

　　注意这里所提到的加密功能只有Windows 2000/XP/2003下的NTFS文件系统才支持。

　　找到您想加密的文件或者文件夹，单击鼠标右键“属性”→“常规”→“高级”→“加密内容以便保护数据”→“确定”。如果是对文件夹加密，会出现“仅将更改应用于该文件夹”和“将更改应用于该文件夹、子文件夹和文件”：如果选择前者则文件夹内部的文件不会被加密，以后所有新建或者复制移动来的文件和文件夹会被加密;如果选择后者则所有文件和文件夹立即被加密，将来新建的或者是复制移动来的文件、文件夹也会被加密。

　　在Windows 2000里加密的文件在外观上没有任何区别，只有当选中文件、文件夹以后在左侧的说明信息里会显示“加密”两个字。而在Windows XP/2003系统中加密文件会显示为绿色。

　　当然，设置文或者文件夹加密需要相应的权限。

　　这里建议尽量加密文件夹而不是加密一个文件。可以把“我的文档”加密，这样所有存储在“我的文档”里的文件都会被自动加密。

　　加密完的文件只有加密人和另外一个特殊的用户(后面介绍)可以访问，而且在访问的时候不需要密码。当其他用户试图访问时，会出现拒绝访问的提示，而且只要拥有足够的权限才可以将任何加密的文件删除。

　　这样，我们的数据就真的安全了。但另一方面，我们有时会因为有些意外情况，连自己也无法把数据恢复过来了，所以大家有必要了解一下加密文件的恢复办法。

　　如果加密文件的用户账号被删除，此用户账号加密过的所有文件将不能被其他用户访问。微软在设计操作系统的时候就考虑到了这个问题，当一个用户账号在加密文件的时候，肯定有另外一个可以解密此文件的用户账号存在，此账号叫做加密恢复代理账号，就是前面提到的另外一个特殊的用户。默认情况下此账号就是系统内置的管理员用户账号Administrator，也就是说，内置的管理员账号可以访问所有其他用户加密的文件。注意这个账号专指Administrator，而不是Administrators组的所有成员。

　　如果操作系统彻底崩溃，或者安装了新的操作系统，旧的操作系统已经删除，而又没有相应的备份，则所有加密数据将无法恢复。

　　为了防止这种情况的发生，我们需要事先把加密用户账号或者加密恢复代理用户账号的密钥备份下来，然后将备份的密钥导入到相应的用户账号，就可以打开加密文件。

　　例如当我们要备份billwang用户账号的密钥时，可以参照这样的过程：

　　以billwang用户登录，然后单击“开始”→“运行”，输入MMC后确定，在控制台中点击“菜单”→“添加/删除管理单元”→“添加”→选中“证书”→“添加”→“关闭”→“确定”→打开“证书”→打开“个人”(如果此用户账号从来没有加密过文件，个人里面将会是空的)→打开“证书”，里面会有“加密文件系统”证书→鼠标右键“所有任务”→选择“导出”，然后会出现密钥导出向导，根据提示一路点击“下一步”即可。中间会提示输入保护密钥的密码，最后将密钥保存到一个扩展名为PFX的文件里。此密钥一定要存储到一个非常安全的地方，如软盘上或者压缩并设置密码放到安全的邮箱里。

　　当旧的操作系统被意外删除后，我们可以把billwang账号的密钥导入到tom账号里。

　　用tom账号登录，找到扩展名为PFX的密钥文件，点击鼠标右键，选择安装PFX。出现导入密钥向导，输入密钥保护密码，注意存储区域必须选择“个人”，否则即使导入成功也不能打开文件，然后系统提示导入成功。这时tom账号就能打开billwang用户账号加密的所有文件了。这样，tom账号就有了两个密钥，一个是billwang账号的，一个是自己的。