加密文件系统的最佳做法 -天瑞科技，深圳电脑维修，深圳电脑维护

Windows 包括对使用 NTFS 文件系统的卷上的数据直接加密的功能，以便其他用户无法使用该数据。如果在对象的"属性"对话框中设置了属性，则可以对文件和文件夹进行加密。

由于加密/解密过程对用户是透明的，因此，对于要充分利用文件加密的组织来说，严格遵循文件加密准则是非常重要的。

以下是标准做法的列表：
加密所有用户的"My Documents"文件夹 (User_profile\My Documents)。这将确保默认情况下加密个人文件夹（其中存储了大多数 Office 文档）。
告知用户一定不要加密单个文件，而是只加密文件夹。程序以各种方式对文件进行处理。始终在文件夹级别上加密文件将确保文件不会被意外地解密。
与恢复证书关联的私钥是极其敏感的。它们应该在物理上安全的计算机上生成，或者应该将其证书完全导出到受加强密码保护的 PFX 文件中，并存储在安全软盘上。
应该将恢复代理证书分配给不用于任何其他用途的特殊恢复代理帐户。
在更改恢复代理（应定期进行）时，不要破坏恢复证书或私钥。保留所有这些证书或私钥，直到已经用它们加密的所有文件都得到更新为止。
根据组织单元的大小，为每个组织单元 (OU) 指定两个或多个恢复代理帐户。指定两台或多台用于恢复的计算机，为每个指定的恢复代理帐户指定一台计算机，并赋予相应管理员使用恢复代理帐户的权限。提供两个恢复代理帐户是为了提供文件恢复冗余。在两台计算机上保存这些密钥可以提供进一步的冗余，以支持丢失数据的恢复。
执行恢复代理存档程序，以确保可以使用过时的恢复密钥恢复加密的文件。必须导出恢复证书和私钥，并以安全的受控方式存储它们。理想情况下，就像所有安全的数据一样，应该将档案存储在受控制的访问电子仓库中，而且应该具有以下两个档案：一个主档案和一个备份档案。主档案应保存在现场，而备份档案应位于现场之外的安全位置。
避免在您的打印服务器结构中使用打印假脱机文件，或者确保在加密的文件夹中生成打印假脱机文件。
每次用户加密和解密文件时，"加密文件系统"都会占用一些 CPU 系统开销。在许多客户端将使用 EFS 的服务器上明智地计划服务器。
有关"加密文件系统"(EFS) 的其他信息，请参阅以下 Microsoft Web 站点上的"Encrypting File System for Windows 2000"（Windows 2000 的加密文件系统）：
http://www.microsoft.com/windows2000/techinfo/howitworks/security/encrypt.asp

另请参阅"Data Protection and Recovery in Windows XP"（Windows XP 中的数据保护和恢复），它包括与 Windows 2000 有关的信息：
http://www.microsoft.com/WINDOWSXP/pro/techinfo/administration/recovery/default.asp