禁止加密文件系统

 加密文件系统(EFS，Encrypting File System)功能在Windows 2000中被介绍，并且在Windows XP Professional同样可用。这个数据保护和数据恢复功能并不需要其它额外的设置，因为它在Windows XP Professional中是默认激活的。

　　尽管这个功能很容易使用，管理员经常关心如何使用加密文件系统(EFS)，这些关注主要与恢复加密文件的能力和用来加密的密钥的保护相关，这关系着每个用户的帐号和恢复代理的帐号。因为用来加密的必要的密钥要存放到用户的配置文件中，如果配置文件被删除或者损坏，用户就不能再打开他们的加密文件。

　　除了使用一个平常的解决方案，备份和存储用的密钥(不是备份和存储整个的配置文件)可能是一个耗时的过程。同样地，使用任何并非默认的恢复代理需要安装认证证书功能，这同样需要去管理。要避免这些额外的工作，更好的办法是在用户的电脑上禁止加密文件系统(EFS)。

　　加密文件系统(EFS)服务在Windows 2000和Windows XP Professional上运行的方式不同，要在Windows 2000上禁止加密文件系统(EFS)，要按照以下的步骤来完成:

• 打开组策略(Group Policy)MMC 控制台并且选择连接到你的域的组策略对象(GPO)
• 转到计算机设置(Computer Configuration)-Windows设置(Windows Configuration)-安全设置(Security Settings)-再展开Public Key Policies-加密数据恢复代理(Encrypted Data Recovery Agents)，右键点击加密数据恢复代理(Encrypted Data Recovery Agents)文件夹，选择“删除策略(Delete Policy)”来删除默认的恢复策略。
• 再次右键点击加密数据恢复代理(Encrypted Data Recovery Agents)并且选择初始化空策略，这样可以防止用户在属于域内的任何Windows 2000系统内使用加密文件系统(EFS，Encrypting File System)。

　　在Windows XP上禁止加密文件系统(EFS)需要一个不同的程序。Windows XP提供更为弹性的方式来设置加密文件系统(EFS)，如果你要为某一个单一文件禁止加密文件系统(EFS)，你只要重新修改这个文件的系统属性。例如，要设置一个名为1.txt文件的系统属性，在命令行敲入以下的命令:attrib +s info1.txt

　　如果你要在文件夹级别来禁止加密文件系统(EFS)，你要在这个文件夹内创建一个desktop.ini文件。这个文件要包含以下两行命令:

　　[Encryption]

　　Disable=1

　　这将影响文件夹本身和其中的所有文件，然而，它不能对子文件夹和其中的内容产生影响。

　　如果你喜欢，你可以在整个系统级别上禁止加密文件系统(EFS)，修改注册表就能做到这点，在以下键值上修改类型到1:

　　HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/EFS/EfsConfiguration.