第一部分

  NTFS是WinNT以上版本支持的一种提供安全性、可靠性的高级文件系统。在Win2000和WinXP中,NTFS还可以提供诸如文件和文件夹权限、加密压缩这样的高级功能。
  下面就说说关于文件或文件夹的加密,注意:这里所说的加密和设置文件或文件夹的用户访问权限是不同的。
  为什么要进行文件加密方法呢?(前提条件必须是你的分区文件格式为NTFS格式):
  1.从系统安全角度来看,NTFS文件加密可以有效地保护数据。
  2.从个人的隐私考虑,文件加密也是有必要的。
    注意:加密文件后请及时备份密钥,如果重新安装操作系统,没有密钥的情况下是不能读取被加密的文件的。
  一、加密文件或文件夹
  步骤1:打开我的电脑,找到要加密的文件或文件夹。
  步骤2:右键单击要加密的文件或文件夹,点击“属性”。 
  步骤3:在“常规”选项卡上,单击“高级”。选中“加密内容以便保护数据”复选框。

注意:
  1. 只可以加密NTFS分区卷上的文件和文件夹 ,FAT分区卷上的文件和文件夹无效。 
  2.无法加密标记为“系统”属性的文件,并且位于systemroot目录结构中的文件也无法加密。
  3.在加密文件夹时,系统将询问是否要同时加密它的子文件夹。如果选择是,那它的子文件夹也会被加密,以后所有添加进文件夹中的文件和子文件夹都将在添加时自动加密。 
  二、解密文件或文件夹
  步骤1:右键单击加密文件或文件夹,然后单击“属性”。 
  步骤2:在“常规”选项卡上,单击“高级”。 
  步骤3:清除“加密内容以便保护数据”复选框。
  对文件夹解密时,系统将询问是否要同时将文件夹内的所有文件和子文件夹解密。如果选择仅解密文件夹,则在要解密文件夹中的加密文件和子文件夹仍保持加密。但是,在已解密文件夹内创立的新文件和文件夹将不会被自动加密。
  说明: 
  1.高级按钮不能用
  原因:加密文件系统"EFS"只能处理"NTFS"文件系统卷上的文件和文件夹。如果试图加密的文件或文件夹在 FAT 或 FAT32 卷上,则高级按钮不会出现在该文件或文件夹的属性中。
  解决方案:将卷转换成带转换实用程序的 NTFS 卷。 
  打开命令提示符,键入  Convert driver:/fs ntfs
  (driver: 是目标驱动器的驱动器号)
  2. 经过加密的文件夹,具有相应权限的用户都可以添加或删除文件,但你添加的文件别人是拒绝访问的,即不能浏览文件内容。同样,别人添加的文件你也是被拒绝访问
  3.如果你的硬盘上有NTFS分区,且对该分区中的数据进行了加密,那么 应该制作备份密钥 ,以防万一。密钥的制作方法如下。 
  单击“开始→运行”命令,在打开的运行对话框中输入“certmgr.msc”后按下回车键,打开证书管理器。在“当前用户→个人→证书”分支下,我们可以看到一个以你的用户名为名称的证书(如果你还没有在NTFS分区上加密任何数据,这里是不会有证书的)。用鼠标右键单击这个证书,选择“所有任务”下的“导出”命令。系统会打开证书导出向导,然后按提示单击“下一步”,直至向导询问你是否导出私钥,选择“导出私钥”即可,其他的选项均保留默认设置,最后输入该用户的密码和想要保存的路径并确认,导出工作就完成了。导出的证书是一个以PFX为后缀的文件。

  以后移植或重装操作系统之后,找到PFX文件,用鼠标右键单击它并选择“安装PFX”,系统会弹出一个导入向导,按照导入向导的提示完成操作即可读取先前加密的NTFS分区上的文件。 
  需要提醒用户的是,如果没有备份密钥,一旦操作系统出现问题需要重新安装,那么仅用相同的用户名是无法访问NTFS分区上的加密数据的。只有导入备份密钥才可以正确打开以前加密的数据文件。
  4.在Windows XP系统中,对NTFS格式的文件加密后,文件夹的颜色变成了绿色,如果不想让加密文件呈现其他颜色,可以在我的电脑中选择“工具→文件夹选项→查看”,将“以彩色显示加密和压缩的NTFS文件”复选框取消就可以了。如果想更改文件颜色的话,可以在注册表中找到“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer”,然后新建一个二进制值的“AltEncryptionColor”,更改它的RGB方式,直接输入颜色数据,重新开机后就可以了。 

第二部分

  在Windows XP和Windows 2000系统中有一个我们一般不常用,但是功能强大的命令,那就是:syskey命令。 
   这个命令可以有效地增强你的系统安全性。也许你要说不是进入Windows XP或Windows 2000的时候已经要输入帐户和密码了吗,这样还不安全吗?著名的输入法漏洞你总该听说过吧,别人完全可以通过种种漏洞来获取管理员权限,还可以通过删除或破解SAM文件来进入你的系统,甚至还可以利用WinPE+ERD Commander启动光盘来破解和重设管理员密码。
   有了syskey,你就可以完全放心的使用2000和XP了,syskey是对SAM帐户数据库进行第二次加密。这样别人即使获取了SAM文件也无法破解。
    注意:一旦启用这个加密就不能禁用,也就是说这个命令一经运行是无法取消和恢复的,即使使用WINXP的系统还原也不行。所以请慎用。
   下面我们来看看syskey命令 的用法。 
   1.在开始菜单的“运行”中输入“syskey”,点击确定,然后在 保证 Windows XP 帐户数据库安全 页面中,点击 更新 。 

   2.这里如果选择密码启动,请输入一个密码,然后点击确定。这样做将使WINXP在启动时需要多输入一次密码,起到了2次加密的作用。操作系统启动时在输入用户名和密码之前会出现窗口提示“本台计算机需要密码才能启动,请输入启动密码”。 
   3.如果选择"在软盘上保存启动密码",则将生成一个密码软盘,没有这张软盘,谁也别想进入你的操作系统。当然,如果你之前设置了syskey系统启动密码,这里还会需要你再次输入那个密码的,以获得相应的授权。然后系统会提示在软驱中放入软盘,当密码软盘生成后会出现提示。当再次启动系统时系统会提示插入密码软盘,如果你不插入软盘就点击确定,系统是不会放行的。
注意:密码软盘中的密匙文件是可以复制到其他软盘上的,所以请保存好该软盘,并保证软盘不会坏。(不过现在好象本本上很少配软驱了)
   4.假如有一天你对操作系统的安全性要求不那么高了,而且厌烦了每次进入系统都需要插入软盘或输入密码,则可以选择“在本机上保存启动密码”,当然,进行这一步操作你必须要有存有密匙的软盘,这与密码软盘制作时要求输入授权密码是一个道理的。