2、EFS(Encrypting File System)方案

 EFS提供NTFS分区中文件级别的加密技术，基于公钥策略，使用公钥/私钥密钥对文档进行加密。这种加密对用户是透明的，它是用公钥加密，用私钥解密，安全性极高。另外在Vista和2008中的EFS得到了增强。使用智能卡上直接存储的加密密钥进行EFS加密，基于向导将旧智能卡中的文件迁移到新智能卡中，启用EFS 时加密系统页面文件，增加了新的“组策略”选项。Vista和2008中的EFS可以加密系统的页面文件，这样防止系统被脱机攻击，造成EFS加密被破解。还可以选择EFS密钥的长度强制加密“我的文件夹”。（图2） 

    EFS的限制，如果用户的私钥丢失，则数据将永远丢失，私钥很重要，千万不能丢失。EFS加密的强度非常高，私钥丢失，文件无法打开。因此要安全部署，防止恶意加密。比如，在企业中有这样的员工，因对企业不满，在离开前恶意加密了某些文件，然后把帐户删除，这样就造成了数据的无法打开。针对这种恶意的加密用以下两个方法来解决：其一，修改注册表，防止加密。其二，部署DRA（数据恢复代理）。（图3） 

    在企业中基于数据的安全性考虑，应用EFS方案要遵循这几点：部署尽可能少的DRA；至少有一个DRA；DRA使用后删除私钥；加密文件夹而不是单个文件。

EFS加密是基于操作系统的，如果系统在启动前已经被攻破的话，那他就没法实现自己的功能，因此在数据纵深保护中下面这个环节非常重要。