[导读] 对于企业来说，如何保障数据安全，防止数据外泄给企业带来损失，有时候比如何利用信息化技术提高办公效率更加的重要。要保障数据安全，就需要对文件加密，但如果企业采用EFS文件加密就要慎重了。

对于企业来说，如何保障数据的安全，防止数据外泄给企业带来损失，有时候比如何利用信息化技术提高办公效率更加的重要。要保障数据的安全，就需要对文件加密，但如果企业采用EFS文件加密就要慎重了。

EFS (加密文件系统），其采用一种系统自带的文件加密技术。加密文件与文件夹之后，用户可以像使用其它文件或者文件夹一样使用它，也就是说，对于合法用户来说，是透明的。但是对于非加密用户来说，则就无法打开这些经过EFS文件加密过的文件或者文件夹。另外如果重装系统或者系统崩溃EFS加密的文件就无法打开了。

如果您的企业采用了EFS文件加密请注意一下事项：

注意事项一、 文件加密密钥需要存档

从理论上来说，EFS加密技术依靠用户的标识与密码。若只要获得用户的标识与密码之后，就可以破解这个文件。但是，从现实中来看，这往往是不可能的。因为这里指的用户标识不是在系统登陆时的用户名，而是这个用户名在操作系统中所对应的一串数字代码。这个数字代码的话，是受到操作系统严格保护的。即使是最利害的攻击者，很很难获取用户名对应的这个数字标识。而且，即使相同的用户名，这个数字标识也是不同的。

这就产生了一个问题。当操作系统出现故障需要重新安装时，由于新建用户，即使用户名相同，其用户标示也是不同的。也就是说，其“用户名”是不同的。此时，即使知道密码，则原先文件加密过的文件，也无法打开了。

所以，对于企业用户来说，为需要对这些加密密钥进行独立的备份。把每个用户的用户身份认证信息，包括加密密钥，都被分到一个独立的媒体设备上。即使以后因为什么原因导致操作系统崩溃，仍然可以打开原有的EFS加密文件。

注意事项二、 不能同时使用文件压缩与文件加密

文件压缩与文件加密是微软操作系统NTFS分区格式提供的两个重要的工具。但是不知道为什么，这两兄弟是水火不容，有压缩就没有加密。若用户企图对某个压缩的文件夹或者文件加密的话在，则这个文件与文件夹则会被自动解密。这是需要注意的地方。

笔者刚开始接触这个EFS技术的时候，就犯过这个错误。一次，笔者看到一个硬盘分区的容量快满了，就采用了文件压缩的功能，硬是把分区中的文件压缩了90%，争取了10%的空间出来。当硬盘分区使用率到了95%的时候，我又对其中的一个压缩了的文件夹进行EFS加密，但是，文件加密不成功。这让我非常的奇怪。因为分区已经采用了NTFS格式，而且，加密文件或则文件夹也不是系统文件与文件夹。那为什么会不成功呢？一开始笔者以为是否是文件所有者的问题，就单独对一些子文件夹进行加密，可是问题依旧。后来查看了错误代码与系统日志文件，才发现原来是对文件加密的时候，系统会先对压缩过的文件进行解密。而现在磁盘的分区已经不能够容纳解压缩后的文件。所以，这就导致了文件加密的失败。

从这个事件之后，让我明白了文件加密与文件压缩水火不相容。所以，在EFS技术部署的时候，需要注意不能够在一个文件夹上同时采用文件加密技术或者文件压缩技术。有时候，我们为了安全考虑，往往需要牺牲一点硬盘的容量。还好现在硬盘大幅度跳水，已经不成为企业信息化应用的主要瓶颈资源。

注意事项三、 加密文件不能够防止删除。

虽然对某些文件采取了EFS加密技术，可以有效的防止非法用户阅读、修改这些文件。但是，具有删除等权限的人员，仍然可以轻松的删除这些文件。

如在文件服务器上，我们虽然对文件夹采用了EFS文件加密，但是，有些企业在分配权限的时候，不怎么细致。如笔者知道一家企业，他们在文件服务器部署的时候，一个部门的用户都属于同一个组，就有他们这个部门文件的所有操作权限，包括删除权限等等。此时，虽然采用了EFS加密技术，同一个部门的用户也不能够阅读其他用户建立的文件。而只能够打开自己保存的文件。可是，A用户虽然不能够打开B用户创建的文件，但是，因为A与B两个用户是属于同一个部门，有文件删除的权限。所以，A用户虽然不能够查看用户B的文件，但是，却可以删除或者剪贴掉。

很明显，这与我们的愿望是背道而驰的。所以，若光采用EFS加密技术的话，是不能够确保文件被意外删除的。此时，往往需要采用其他的权限管理方法，来加强文件的安全性。

注意事项四、 网络传输过程中的文件加密问题

若采用了EFS加密技术，数据加密后的文件，在网络传输过程中，是否数据加密，则取决于具体的情形。

如用户的文件是存储在网络文件服务器上，而这个服务器上这个用户的文件夹采用了EFS技术进行加密。此时，就会产生一个问题，就是若客户端需要使用这个文件时，在这个从服务器到客户端传输的过程中，文件是否数据加密的问题。

若用户直接在客户端上打开文件服务器上这个文件，则从文件服务器上到客户机上的传输过程是明文传输的。也就是说，其解密的过程是发生在文件打开的那一刹南。当文件被打开，文件内容传输到客户端的时候，都是明文实现的。此时，若网络中存在一些嗅探工具的话，则这些信息就会轻易的被非法攻击者获取。此时，若要杜绝这种情况，就需要采用其他的一些加密措施，如IPSEC安全策略等等。

如果用户不是直接打开这个加密过的文件，而是把这个文件从服务器上拷贝到本机上的文件夹，而这个文件夹又恰巧是采用EFS数据加密过的。则此时文件在网络传输过程中是加密过的内容。此时，即使非法攻击者窃取了网络中传输的内容，到他们手里也是没有用的。因为全都是密文传输。不过，此时，若用户本机上的文件夹是没有采用EFS加密的，则此时在复制文件夹的过程中，必须要在文件服务器上先对文件进行解密，然后在传输到客户端主机上。此时，加密文件在网络中传输的过程仍然是明文的。

可见，若企业需要提高网络传输的安全性，防止机密文件在传输过程中泄漏，则就需要在客户端本机上也必须配置一些EFS加密的文件夹。在需要使用远程文件服务器上的EFS数据加密文件时，最好通过复制的方式，先把他复制到本机的EFS数据加密文件夹内。如此的话，才能够保证文件在网络传输过程中的安全性。

注意事项五、 EFS数据加密不依赖于特定的应用系统

一开始，笔者在向企业用户介绍EFS的时候，他们会担心，是否只有微软的应用软件支持这个EFS技术呢。其他的软件是否支持？如企业现在采用作图软件做的一个设计图纸，我要对其采用EFS文件加密，则下次是否还能够打开呢？