如果您希望在Windows系统中使用命令行对文件或文件夹启用EFS(加密文件系统)保护,则需通过cipher命令配合特定参数执行。以下是完成此操作的具体步骤:
一、确认系统支持并启用EFS功能
EFS仅在Windows专业版、企业版及教育版中可用,且目标卷必须为NTFS格式。若当前用户未启用EFS证书或未登录到具备加密权限的账户,命令将无法生效。
1、以管理员身份打开命令提示符或PowerShell。
2、输入cipher /?验证cipher命令是否可识别并查看基础语法。
3、运行fsutil fsinfo ntfsinfo C:(将C:替换为实际盘符)确认分区为NTFS格式。
4、执行certmgr.msc检查“个人→证书”中是否存在“加密文件系统”类型证书;如无,需先生成EFS证书。
二、对单个文件启用EFS加密
cipher命令通过/e参数标记文件为加密状态,系统将在下次访问时自动调用EFS驱动完成底层加密,该过程依赖当前登录用户的EFS证书。
1、切换至目标文件所在目录,例如:cd /d D:\Documents。
2、执行cipher /e “report.docx”,其中report.docx为待加密文件名。
3、观察输出结果中是否出现“正在加密 report.docx…”字样,表示指令已提交至EFS子系统。
4、重新打开该文件,确认其名称在资源管理器中显示为绿色字体,表明EFS加密已生效。
三、对整个文件夹及其子项递归加密
使用/f参数可强制cipher对指定目录下的所有现有文件和子目录应用EFS加密策略,并通过/i参数确保即使遇到拒绝访问的项目也继续执行后续操作。
1、输入cipher /e /i /f “D:\Projects”,其中D:\Projects为需加密的文件夹路径。
2、等待命令逐项处理,输出中每行显示一个被加密的文件或目录路径。
3、注意:该操作不影响新创建于该目录下的文件——除非同时启用文件夹的“加密属性继承”,否则新文件默认不加密。
4、验证继承设置:右键D:\Projects → 属性 → 高级 → 勾选“加密内容以便保护数据” → 确定 → 选择“将更改应用于此文件夹、子文件夹和文件”。
四、移除EFS加密(解密)
当需要撤销EFS保护时,/d参数用于清除加密属性,系统将同步解密文件内容并删除元数据中的加密标识。
1、对单个文件解密:执行cipher /d “D:\Secure\config.txt”。
2、对整个目录递归解密:运行cipher /d /i /f “D:\Secure”。
3、解密完成后,原绿色字体名称将恢复为黑色,且文件可被任何具有NTFS读取权限的用户访问(前提是未启用其他访问控制策略)。
4、若提示“拒绝访问”,说明当前用户非原始加密者或未导入对应EFS私钥,此时无法解密。
五、备份EFS证书与密钥
EFS加密后的文件只能由持有匹配私钥的用户解密。一旦证书丢失或系统重装,文件将永久不可读。因此必须提前导出EFS证书及关联私钥。
1、运行certmgr.msc,展开“个人→证书”。
2、右键找到颁发给当前用户的“加密文件系统”证书 → 选择“所有任务→导出”。
3、在向导中勾选“如果可能,将所有证书都导出到证书路径”及“导出私钥”选项。
4、设置强密码保护PFX文件,并保存至安全位置(如离线U盘),严禁仅存于同一台加密设备上。
评论(0)