WINDOWS 2003的加密文件系统—EFS(5)

    2）在一个DC或OU里禁止加密，你需要在注册表中建立如下的键值：

HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\EFS\EfsConfiguration
Disable: 0x00000001

    3、 EFS的安全性有多高？

    EFS加密文件系统工作于证书机制（PKI）下，安全性很高，EFS系统由于使用了用户的SID和其密码加密主密钥，因此EFS的加密强度很大程度上取决于加密用户的密码强度。建议使用较强的密码强度，这样会提高EFS的安全性。另外，EFS的证书存储在用户配置文件中。在重新安装系统或提升DC之前，务必将证书导出，并尽量不要破坏原来的用户配置文件，实践证明，如果丢失了用户证书副本又破坏了用户配置文件，恢复EFS文件几乎是不可能的。

    4、 EFS文件证书丢失的处理

    一旦EFS的用户证书丢失，你可以将原先备份的用户证书导入到个人证书区即可解密，如果没有证书备份，可以导入系统的DRA证书，系统的DRA证书应在系统安装后备份并从运行系统中删除，以防万一。

    注意：DRA证书没有关联性，可导入任何用户的个人证书区工作。

    如果暂时无法找到合适的DRA证书也无法解密文件，那么EFS加密文件是禁止移动或复制的。你可以使用系统自带的备份工具将EFS文件备份出来保存以便今后解密。

    注意：尽管EFS加密文件不能移动或复制，但可以删除或改名。

    5、 注意点

    a) 不要加密系统文件夹

    b) 不要加密临时目录

    c) 应该始终加密个人文件夹

    d) 部署EFS前必须定义合适的DRA

    e) 必须备份用户证书和DRA证书

    f) 使用EFS后应尽量避免重新安装系统，重新安装前应先将文件解密。

    g) 加密文件系统不对传输过程加密