（一）故障类型：EFS加密文件无法打开
（二）典型特征：
1.重装系统后以前加密的文件无法打开
2.密钥文件丢失导致加密文件无法打开

（三）损坏程度星级评价：★★★★
［故障原理及恢复思路］
在使用EFS加密一个NTFS文件时，系统首先会生成一个伪随机数FEK (File Encryption Key，文件加密钥匙)，然后用FEK加密数据并对文件进行原位覆写。随后系统利用用户的公钥加密FEK，并把加密后的FEK存储在加密文件的$EFS属性中。

而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件。在首次使用EFS时，如果用户还没有公钥/私钥时（统称为密钥），则会首先生成密钥，然后加密数据。如果用户登录到了域环境中，密钥的生成依赖于域控制器，否则它就依赖于本地机器。

用户私钥是解密EFS文件的关键，私钥保存于Windows分区的Documents and Settings\%UserName%\Application Data\Microsoft\Crypto\RSA\%UserSID% （用户的SID为安全标识符，相当于用户的×××号码，当创建一个帐号时，系统为其分配一个唯一的SID编号）。

为了保护私钥，Windows用主密钥对私钥进行加密，主密钥位于Windows分区的Documents and Settings\%UserName%\Application Data\Microsoft\Protect\%UserSID%，然后再用用户密码生成的密钥对主密钥进行加密。

这样就形成了“用户密码－>主密钥－>私钥－>FEK－>EFS加密文件”加密链。所以如果想完整地获得EFS加密数据，那么必须得到用户密码、主密钥和私钥。

（四）恢复流程
1.检测流程：
（1）查看现有系统占用空间；
（2）查看现在有mft文件目录数占用空间。
2.实施流程：
（1）查找或重组加密FEK的私钥;
（2）查找可重组加密私钥的主密钥；
（3）根据用户提拱的用户密码进行校验匹配，解密用户文件；
（4）对解密出来的文件进行逻辑分析和校验，迁移出用户所需数据。
3.验收流程：
（1）对已迁移出来的所有数据做属性统计，从文件数量
和容量等方面确保用户所需数据已全部迁移成功；
（2）对已迁移出来的所有数据做完整性验证，确保
文件在目录结构及底层逻辑等方面正确无误；
（3）对用户指定的关键数据文件进行针对性校验，确保用户关
键数据成功恢复。
（五）恢复的可靠性分析及时间预估：
在大多数案例中此类故障主要是重装系统导致密钥丢失造成的，由于重装系统将写入大量文件到系统分区，密钥被覆盖的几率相对较高，这也是导致此类故障恢复成功率较低的重要原因，一般此类故障成功率在50%左右，通常所需时间为1-3个工作日。

［小贴士］
（一）通过EFS加密文件后应该及时备份密钥并妥善保存；
（二）出现此类故障后应该立刻停止继续使用计算机，以降低密钥被覆盖的几率。