1. 加密后的文件打不开了怎么办
一、
1、NTFS分区才能使用EFS加密;
2、我的电脑--工具--文件夹选项--查看--取消简单文件共享;
3、右键点击要加密的文件或文件夹--属性--高级--加密内容以保护数据。
(单击“确定”按钮,回到文件属性再单击“应用”按钮,会弹出“确认属性更改”窗口,在“将该应用用于该文件夹、子文件夹和文件”打上“√”,最后单击“确定”按钮即开始加密文件。这样这个文件夹里的原来有的以及新建的所有文件和子文件夹都被自动加密了。)
4、如果想取消加密,只需要右击文件夹,取消“加密内容以便保护数据”的勾选,确定即可。
二、用上述方法加密文件须确认多次,非常麻烦,其实只要修改一下注册表,就可以给鼠标的右键菜单中增添“加密”和“解密”选项,以后在需要时用右击即可完成相关操作。单击“开始→运行”,输入regedit后回车,打开注册表编辑器,定位到[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Exporer/Advanced],在“编辑”菜单上单击“新建→DWORD值”,然后输入EncryptionContextMenu作为键名,并设置键值为“1”。退出注册表编辑器,打开资源管理器,任意选中一个NTFS分区上的文件或者文件夹,右击就可以在右键菜单中找到相应的“加密”和“解密”选项,直接单击就可以完成加密/解密的操作
注意:使用EFS加密后,在重装系统前要导出密钥,否则在新系统中便不能访问加密过的文件。
使用Windows 2000/XP的EFS加密后,如果重装系统,那么原来被加密的文件就无法打开了!如果你没有事先做好密钥的备份,那么数据是永远打不开的。由此可见,做好密钥的被备份就很重要。
第一步:首先以本地帐号登录,最好是具有管理员权限的用户。然后单击“开始→运行”,输入“MMC”后回车,打开控制面板界面。
第二步:单击控制面板的“控制面板→添加删除管理单元”,在弹出的“添加/删除管理单元”对话框中单击“添加”按钮,在“添加独立管理单元”对话框中选择“证书”后,单击“添加”按钮添加该单元。
如果是管理员,会要求选择证书方式,选择“我的用户证书”,然后单击“关闭”按钮,单击“确定”按钮返回控制面板。
第三步:依次展开左边的“控制面板根节点→证书→个人→证书→选择右边窗口中的账户”,右击选择“所有任务→导出”,弹出“证书导出向导”
第四步:单击“下一步”按钮,选择“是,导出私钥”,单击“下一步”按钮,勾选“私人信息交换”下面的“如果可能,将所有证书包括到证书路径中”和“启用加强保护”项,单击“下一步”按钮,进入设置密码界面。
第五步:输入设置密码,这个密码非常重要,一旦遗忘,将永远无法获得,以后也就无法导入证书。输入完成以后单击“下一步”按钮,选择保存私钥的位置和文件名。
第六步:单击“完成”按钮,弹出“导出成功”对话框,表示你的证书和密钥已经导出成功了,打开保存密钥的路径,会看到一个“信封+钥匙”的图标,这就是你宝贵的密钥!丢失了它,不仅仅意味着你再也打不开你的数据,也意味着别人可以轻易打开你的数据。
实战六:导入EFS密钥
由于重装系统后,对于被EFS加密的文件我们是不能够打开的,所以重装系统以前,一定记住导出密钥,然后在新系统中将备份的密钥导入,从而获得权限。
★确保你导入的密钥有查看的权利,否则就是导入了也没有用的。这一点要求在导出时就要做到
★记住导出时设置的密码,最好使用和导出是相同的用户名。
第一步:双击导出的密钥(就是那个“信封+钥匙”图标的文件),会看到“证书导入向导”欢迎界面,单击“下一步”按钮,确认路径和密钥证书,然后单击“下一步”继续。
第二步:在“密码”后面输入导出时设置的密码,把密码输入后勾选“启用强密钥保护”和“标志此密钥可导出”(以确保下次能够导出),然后单击“下一步”继续。
第三步:根据提示,依次单击“下一步”按钮,OK了,单击完成按钮,看到“导入成功”就表示你已经成功导入密钥了。
试试看,原来打不开的文件,现在是不是全部都能打开了呢?
小提示
★EFS加密的文件打不开了,把NTFS分区转换成FAT32分区或者使用相同的用户名和密码登录甚至重新Ghost回原系统都不能解决问题,因此备份和导入EFS密钥就显得非常重要
2. 加密的文件夹打不开了
1.
打开 Windows 资源管理器。
2.
右键单击要恢复的文件或文件夹,单击“属性”。
3.
在“常规”选项卡中,单击“高级”。
4.
清除“加密内容以保护数据”复选框。
5.
制作解密文件或文件夹的备份,并将其交给用户。
注意: 您可以通过电子邮件附件、磁盘或网络共享将备份版本返还给用户。
恢复数据的另一种方法为,传输恢复代理的私钥和证书到存有加密文件的计算机中,导入私钥和证书,解密该文件或文件夹,然后删除导入的私钥和证书。与方法一相比,采用此方法,私钥的安全性大大降低,但同时也免除了备份、恢复和文件传输操作。
返回页首
最佳做法
以下最佳做法可以帮助公司有效地使用和管理加密的文件和文件夹。
• 恢复代理应将其文件恢复证书备份到一个安全的地方。
在 Microsoft MMC 的证书管理单元中,使用“导出”命令,将文件恢复证书和私钥导出到软盘上。将软盘保存到安全的地方。此后,如果计算机上的文件恢复证书或私钥发生损坏或被删除,可以在 MMC 的证书单元中,使用“导入”命令,用已备份到软盘上的证书和私钥代替已损坏或删除的证书和私钥。
• 使用默认域配置。
在默认情况下,域管理员是 Windows 2000 或 Windows Server 2003 域中的默认数据恢复代理。域管理员首次用该帐户登录时,会生成一份自签名证书,私钥将保存在计算机的用户配置文件中,默认的域“组策略”中则包含该证书的公钥,作为域中默认数据恢复代理。
• 请立即更新已丢或到期的 DRA 私钥。
虽然 DRA 证书的到期只是一个小事件,但是 DRA 私钥的丢失与损坏对可能造成企业的巨大损失。
到期的 DRA 证书(私钥)仍然可以用于解密以前加密的文件,但不能用于新建或更新的加密文件。在 DRA 私钥丢失或 DRA 证书到期的情况下,最佳做法是立即生成一个或多个新的 DRA 证书,并对“组策略”实施相应的更新。用户加密新文件或更新现有的加密文件时,这些文件将使用新的 DRA 公钥自动进行更新。提醒用户采用新的 DRA,更新所有的现有文件。
在Windows XP中,执行命令行工具 cipher.exe (使用 /U 参数),可以更新本地驱动器中所有文件的加密密钥或恢复代理密钥。以下示例显示了运行 Cipher.exe 的本地驱动器上两个加密文件的更新:
Cipher.exe /U
C:\Temp\test.txt: Encryption updated.
C:\My Documents\wordpad.doc: Encryption updated.
注意:在无证书颁发机构的域中使用默认的自签名证书时,该证书的有效时间为 99 年。
下面的最佳做法可以帮助公司保护移动用户的数据,以防失窃或丢失:
• 计算机的物理保护至关重要。为保证计算机不失窃或不遭到物理损坏,应采取一切必要的预防措施。这些预防措施是技术手段所无法替代的。
• 使用移动计算机时,应确保登录到 Active Directory 域。
• 存储独立于移动计算机的用户私钥,并在必要时将其导入。
• 加密公共文件夹,如“我的文档”和临时文件夹,以加密所有新文件和临时文件。
• 敏感数据文件应建立在加密文件夹中,敏感数据明文文件应拷贝到加密文件夹中。遵循该原则可以确保没有明文文件存储于计算机中,并且临时文件无法被复杂的磁盘分析工具所恢复。
• 结合使用组策略、登录脚本和安全模板强制执行文件夹加密操作,从而确保将标准文件夹(如“我的文档”)设置为加密文件夹。
• Windows XP 操作系统支持脱机文件的数据加密。在应用客户端缓存策略时,应对存储于本地缓存的脱机文件和文件夹进行加密。
• 在移动计算机中,启用系统工具 SYSKEY 的模式 2 或模式 3(软盘启动或密码启动),以防止恶意用户启动系统。Windows 版本的联机帮助中对该系统密钥工具进行了说明。
• 为服务器启用组策略中的 SMB 签名,这些服务器是受信任的委派对象,并用来存储加密文件。这个设置可以在“组策略”中找到,其路径为:“组策略对象名称”、“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”、“安全选项”、“Microsoft 网络服务器: 完全数字签名通信。
• 文件加密后,确保从硬盘驱动器中删除未加密的数据,该操作应定期执行。
3. 打开加密文件后显示“word无法打开文档,用户没有访问权”怎么解决
1、首先打开加密的文档,点击左上角的文件,然后点击另存为。