BitLocker：

* 加密整个卷（如：操作系统卷）。

* 不需要用户证书。

* 能够防止操作系统被恶意篡改。

* BitLocker针对离线***而设计，主要用于加密操作系统所在的卷，以保护重要的系统文件在启动前不被破解。由于所有系统文件均被高度加密，***即使将硬盘挂接其它计算机，也无法使用破解用户账户数据库文件等手段，获得系统的使用权，或解读出EFS密钥。但是，一旦系统正常启动完毕，BitLocker针对操作系统分区的保护即告结束。

* BitLocker可以加密整个Windows卷，其中包括：页面文件、SAM数据库、休眠文件和临时文件等。这些都是EFS所无法保护的（EFS无法加密系统文件和位于系统目录下的所有文件）。vista中也有这个功能，但是vista 中被分区限制了，bitlocker要求必须要有2个主分区，一个系统保留分区，一个 系统分区。所以在vista中没有被用起来。再windows7中 当你在一个裸盘上安装一个全新的w7时，系统会自己创建一个100M 的保留分区，要使用bitlocker 必须有这个分区，再vista中这个分区不是自动创建的，再windows7中要是你是裸盘，你可以看到有一个100M的保留分区，不是裸盘，当你使用bitlocker时，系统会自动创建一个100M的保留分区。具体的大家可以查查相关资料。

这里我写的是EFS 的，bitlocker的这里先不说了。

EFS：

* 加密文件或文件夹。

* 需要用户证书。

* 不能防止操作系统被恶意篡改。

* EFS既可以应对离线***，也可以应对系统启动后的在线***，但是它不能用于账户数据库、启动文件等重要文件的加密，否则会造成部分用户无法使用系统的问题。

其实efs 加密文件系统，在加密时也是利用了证书，公钥和私钥。这些对用户来说都是透明的。客户是看不到这个过程的。这里就不再介绍加密过程了，想了解得哥们可以上网查下加密和加密的原理。

Widnwos 7 的数据恢复代理，可以将其他用户加密的文件进行解密，但是这个必须要用户加密数据之前进行 设置 数据恢复代理，工作组和域环境都是一样的。但是你要将加密的文件从NTFS 分区拷到FAT 分区中加密文件自动解密。被EFS加密过的数据不能在Windows中直接共享。如果通过网络传输经EFS加密过的数据，这些数据在网络上将会以明文的形式传输。NTFS分区上保存的数据还可以被压缩，不过一个文件不能同时被压缩和加密。最后一点，Windows的系统文件和系统文件夹无法被加密。

利用EFS 加密文件和文件夹 区别再于加密的文件夹，以后向这个文件夹中再新建的文件都是加密的。

这个是我之前用user1 用创建的文件use1 ，并且我也用 user1 利用efs 加密了。

点------details 大家看到 只有用户user1 可以访问该文件

上图窗口下面--加密数据恢复代理为---空----。一会创建下用来可以恢复加密文件

账户的 公钥和私钥 也就是证书。这时我切换到管理员账户 admin1

运行--- cmd---cipher /r:e:\1.txt ## 这是 将 证书 放到哪个磁盘，我的证书名字

是 1.txt 这只是个证书名字，大家别认为是记事本啊。大家看下图可以发现，有2个

文件.CER 和.PFX ，其中.PFX是 admin1 私钥，.CER 是公钥。

然后在 运行—cmd---mmc ，调用mmc 来将证书导入。

这里将你的私钥导入，就是以.PFX 结尾的后缀名。

输入保护证书的密码，还有选中 将证书可导出。

接下来再计算机 运行中 输入 gpedit.msc 打开 组策略编辑器。

选中----》计算机配置-----》windows 设置-------》安全设置-----》公钥策略-----》EFS

右击à添加数据恢复代理---〉将你的公钥添加进去

选中----》计算机配置-----》windows 设置-------》安全设置-----》公钥策略-----》EFS

右击à添加数据恢复代理---〉将你的公钥添加进去（也就是admin1公钥）

添加完成以后账户admin1 就成为了 数据恢复代理。

就是选中上图中的1.txt.CER 这个就是admin1 的公钥。

完成之后，切换用户user1 进去，然后到 刚才创建的那个 文件user1—右击---属性—高级

--details 查看到，数据恢复代理 这里面还是没有 用来恢复加密数据代理的 用户，

这是因为数据恢复代理 只能 恢复 创建了 代理之后 加密的 文件，之前创建的加密文件，恢复代理 还是不能解密的。然后你可以用user1 再创建一个文件，然后对其加密，然后再查看details 时 数据恢复代理 就会有 admin1 这个用户。

写的不好，请各位将就下，以后慢慢提高，嘿嘿

其实我感觉这个东西好像没有多少人用，就当闲来无事随笔的，主要是刷新下博客的等级，因为我790多分，博客等级还是1级，博客管家说 发表个文章刷新下数据库就Ok 了。