一、加密证书或加密密钥

EFS文件加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK (File Encryption Key，文件加密钥匙)，然后将利用FEK和数据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。随后系统利用你的公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件。在首次使用EFS时，如果用户还没有公钥/私钥对（统称为密钥），则会首先生成密钥，然后加密数据。如果你登录到了域环境中，密钥的生成依赖于域控制器，否则它就依赖于本地机器。
密钥的备份和恢复

为什么有很多人在使用EFS的时候出现问题呢？笔者认为最大的原因在于很多人并没有真正理解EFS的加密方式。说到文件加密，密钥是一个非常重要的概念。EFS是一种公钥加密，那么这里就要说说什么是公钥加密了。在使用EFS文件加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK (File Encryption Key，文件加密钥匙)，然后利用FEK和数据扩展标准X算法创建数据加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。随后系统利用你的公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件。在首次使用EFS时，如果用户还没有公钥/私钥对（统称为密钥），则会首先生成密钥，然后加密数据。

从这段话中我们可以看出两个重点：文件的加密和解密都需要密钥的参与，而密钥分为公钥和私钥两种。很明显，无论是加密还是解密文件，都需要用到个人密钥。加密文件的时候使用公钥，解密文件的时候则使用相对应的私钥。那么无论是丢失了公钥还是私钥，都会给我们的使用带来麻烦，尤其是私钥，丢失之后就再也无法解密文件了。

为了保证数据安全，我们最好能在加密文件之后立即将自己的密钥备份出来，并保存到安全的地方，以防系统崩溃或其他原因导致数据无法解密。如何备份密钥呢？运行”certmgr.msc”打开证书管理器，在”当前用户/个人/证书”路径下，应该可以看见一个以你的用户名为名称的证书（如果你还没有加密任何数据，这里是不会有证书的）。用鼠标右键点击这个证书，在”所有任务”中点击”导出”。之后会弹出一个证书导出向导，在向导中有一步会询问你是否导出私钥，在这里要选择”导出私钥”，其它选项按照默认设置，连续点击继续，最后输入该用户的密码和想要保存的路径并确认，导出工作就完成了。导出的证书将是一个pfx为后缀的文件。这个pfx文件最好能保存到其他位置，并且要保证该文件的安全。

二、恢复加密密钥

当用户的密钥丢失后，例如重装了操作系统，或者无意中删除了某个帐户，我们只要找到之前导出的pfx文件，用鼠标右键点击，并选择”安装PFX”，之后会出现一个导入向导，按照导入向导的提示完成操作（注意，如果你之前在导出证书时选择了用密码保护证书，那么在这里导入这个证书时就需要提供正确的密码，否则将不能继续），而之前加密的数据也就全部可以正确打开。

讲到这里，相信你对EFS的基本使用方法已经有了一个大概的认识，不过光有理论知识是不够的，笔者希望大家都多在实践中掌握EFS的使用。 由于EFS安全性非常高，如果使用不慎或方法不当则可能造成非常麻烦的后果，所以建议大家先用不重要的文件进行EFS加密的试验。

三、其他的透明加密软件系统

EFS是WINDOWS自带的文件加密软件，但是企业的需求千差万别，对于大型的企业 ，一些机密机构单位，数据安全尤为重要，选择更加专业的透明加密软件是必然的，比如著名绿盾透明文件加密系统；

绿盾文档加密软件常用行业和案例:

·制造/设计业：共享设计图纸、商业计划、客户资料、财务预算等重要资料给企业内部对应的人员但需要严格保密，以防竞争对手窃取加密数据。
 .金融业：许多敏感信息（融资投资信息、董事会决议、企业财务报表等）需要严格控制，防止商业秘密泄露的文档。
 .知识型企业：调查报告、咨询报告、招投标文件、专利等重要内容的版权保护。
 .政府：不对外公开，需要限定部门或个人阅读、编辑、复制、打印权限的公文、统计数据、市政规划等。
 .军队：涉及国防安全的军事情报、机要文件、技术前瞻性分析等保密性文档。