如果您希望在Windows系统中通过命令行对敏感文件进行加密保护,可以使用内置的cipher工具配合EFS(加密文件系统)功能。以下是实现此目标的具体方法:
一、启用EFS功能并配置用户证书
EFS依赖于用户证书进行文件加密,系统需先确保当前用户拥有有效的EFS证书。若未生成,cipher命令执行时将自动创建,但部分系统策略可能阻止自动证书生成,因此建议手动确认或触发证书初始化。
1、以管理员身份打开命令提示符(CMD)或PowerShell。
2、输入命令:cipher /k,回车执行。
3、系统将生成新的EFS证书并将其导入当前用户证书存储区,同时在桌面生成一个包含公钥信息的CER文件(可选备份)。
4、运行 certmgr.msc 打开证书管理器,展开“个人→证书”,确认存在颁发给当前用户的“加密文件系统”用途证书。
二、使用cipher命令加密单个文件
cipher命令通过设置文件的加密属性(+e)调用EFS内核驱动完成透明加解密,该操作仅对NTFS卷有效,且加密后文件图标通常显示为绿色(取决于资源管理器设置)。
1、在CMD中切换至目标文件所在目录,例如:cd /d C:\SensitiveData。
2、执行加密命令:cipher /e “confidential.docx”。
3、命令成功后,文件名右侧将显示“加密”状态提示,且后续所有读写操作均由系统自动加解密。
4、验证加密状态:运行 cipher /n “confidential.docx”,输出中应包含“加密:是”字段。
三、批量加密指定目录及其子项
对整个文件夹启用EFS加密时,cipher会递归设置目录及其中所有现有文件的加密属性,并使新创建的文件默认继承该属性(需目录本身已加密)。
1、确保目标路径为NTFS格式,例如:D:\Projects\Private。
2、执行命令:cipher /e /s:”D:\Projects\Private”。
3、/s参数启用递归处理,/e表示启用加密;首次运行时系统可能提示“是否加密子目录”,按Y确认。
4、加密完成后,该目录下所有现有文件均被标记为EFS加密,新建文件也将自动加密(前提是父目录加密属性生效)。
四、解密已加密的文件或目录
当不再需要EFS保护,或需在其他设备上访问明文内容时,可使用cipher命令移除加密属性。注意:解密不改变文件内容,仅清除NTFS属性中的加密标记。
1、解密单个文件:cipher /d “report.xlsx”。
2、解密整个目录及全部子项:cipher /d /s:”C:\Archive\OldEncrypted”。
3、执行过程中若遇到权限不足提示,需确认当前用户为原加密者或具备恢复代理权限。
4、解密完成后,可通过 cipher /n 命令验证“加密:否”状态。
五、导出EFS证书以实现跨设备解密
EFS加密的文件只能由加密时所用证书对应的私钥解密。若需在另一台Windows机器上访问,必须提前导出并导入该证书及私钥。
1、运行 certmgr.msc,进入“个人→证书”。
2、右键点击EFS证书,选择“所有任务→导出”,启动证书导出向导。
3、在“导出私钥”页面选择“是,导出私钥”,格式保持PFX,默认勾选“如果可能,将所有证书都导出到证书路径”。
4、设置强密码保护PFX文件,并指定保存路径,例如:C:\Backup\efs_backup.pfx。
5、在目标计算机上双击该PFX文件,按向导导入,输入相同密码,确保勾选“标记私钥为可导出”和“将所有证书放入下列存储→个人”。
评论(0)