Windows Server 2008提供的文件/文件夹加密功能是通过加密文件系统（Encrypting File System，EFS）实现的。加密文件系统提供了用于在NTFS卷上存储加密文件的核心文件加密技术。由于EFS与文件系统相集成，因此管理更方便，系统也难以被攻击，并且对用户是透明的。此技术对于保护计算机上易被其他用户访问的数据特别有用。对文件或文件夹加密后，即可像使用任何其他文件和文件夹那样使用加密的文件和文件夹。

EFS对用户是透明的。也就是说，如果用户加密了一些数据，那么用户对这些数据的访问将是完全允许的，并不会受到任何限制。而其他非授权用户试图访问加密过的数据，将会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的，只要登录到Windows，就可以打开任何一个被授权的加密文件。

只有NTFS分区内的文件或文件夹才能被加密。如果将加密的文件或文件夹复制或移动到非NTFS分区内，则该文件或文件夹将会被解密。当用户将未加密的文件或文件夹移动或复制到加密文件夹后，该文件或文件夹会自动加密；而将一个加密文件或文件夹移动或复制到非加密文件夹后，该文件或文件夹仍然会保持加密状态。这是因为加密过程是把加密密钥存储在文件或文件夹头部的DDF（数据解密域）和DRF（数据恢复域）中，与被加密的文件或文件夹形成一个整体，即加密属性跟随文件或文件夹。

例如，“刘本军”（登录名liubj）是公司的网络管理员，公司有一台服务器可供公司所有员工访问。尽管已经在多数文件夹上配置了NTFS权限来限制未授权用户查看文件，但仍希望能使“C：\个人数据”文件夹达到更高级别的安全性：保证只有此文件夹的所有者—用户“刘本军”可读，其他用户即使具有完全控制权限（如Administrator），也都无权访问。

1）在服务器上以用户“刘本军”身份登录，找到“C：\个人数据”文件夹，使用鼠标右键单击它，在弹出的快捷菜单中选择“属性”命令，打开如图6-42所示的“个人数据属性”对话框，在“常规”选项卡中单击“高级”按钮。

2）在如图6-43所示的“高级属性”对话框中，选中“加密内容以便保护数据”复选框（也可以单击“详细信息”按钮，打开此文件的加密详细信息对话框，将需要授权访问此文件的用户添加进来），单击“确定”按钮，回到“个人数据属性”对话框，单击“应用”按钮，将出现如图6-44所示的“确认属性更改”对话框。这里保持默认选项“将更改应用于此文件夹、子文件夹和文件”，然后单击“确定”按钮，回到“个人数据属性”对话框，最后单击“确定”按钮关闭所有窗口，注销用户“刘本军”。

3）在此服务器上以Administrator身份登录，打开“C：\个人数据”文件夹，系统会用彩色（默认是绿色）来显示加密过的NTFS文件或文件夹，如图6-45所示。此时若试图打开“C：\个人数据”文件夹中的文件“key.txt”，将弹出一个内容为“拒绝访问”的提示框，如图6-46所示。

4）注销用户Administrator，再以用户“刘本军”身份登录，此时可以直接访问自己加密过的文件，如图6-47所示。可以看出，加密文件对于加密者是透明的，并且仅允许加密者本人访问。

图6-42 设置文件夹属性

(www.daowen.com)

图6-43 加密文件夹

图6-44 确认属性更改

图6-45 加密过的文件夹

图6-46 拒绝用户Administrator访问

图6-47 仅允许加密者本人访问

注意：①利用加密文件系统加密的文件，只有存储在硬盘内才会被加密，通过网络发送时是不加密的；②加密文件或文件夹不能防止被有权限的用户删除或列出文件的目录，因此在加密的同时可以通过设置NTFS权限来共同保障文件系统的安全性；③也可以使用cipher.exe程序来加密和解密文件与文件夹，用法可以参阅相关文件。