EFS 加密文件系統

BitLocker：

* 加密整個卷（如：操作系統卷）。

* 不需要用戶證書。

* 能夠防止操作系統被惡意篡改。

* BitLocker針對離線***而設計，主要用於加密操作系統所在的卷，以保護重要的系統文件在啓動前不被破解。由於所有系統文件均被高度加密，***即使將硬盤掛接其它計算機，也無法使用破解用戶賬戶數據庫文件等手段，獲得系統的使用權，或解讀出EFS密鑰。但是，一旦系統正常啓動完畢，BitLocker針對操作系統分區的保護即告結束。

* BitLocker可以加密整個Windows卷，其中包括：頁面文件、SAM數據庫、休眠文件和臨時文件等。這些都是EFS所無法保護的（EFS無法加密系統文件和位於系統目錄下的所有文件）。vista中也有這個功能，但是vista 中被分區限制了，bitlocker要求必須要有2個主分區，一個系統保留分區，一個系統分區。所以在vista中沒有被用起來。再windows7中當你在一個裸盤上安裝一個全新的w7時，系統會自己創建一個100M 的保留分區，要使用bitlocker 必須有這個分區，再vista中這個分區不是自動創建的，再windows7中要是你是裸盤，你可以看到有一個100M的保留分區，不是裸盤，當你使用bitlocker時，系統會自動創建一個100M的保留分區。具體的大家可以查查相關資料。

這裏我寫的是EFS 的，bitlocker的這裏先不說了。

EFS：

* 加密文件或文件夾。

* 需要用戶證書。

* 不能防止操作系統被惡意篡改。

* EFS既可以應對離線***，也可以應對系統啓動後的在線***，但是它不能用於賬戶數據庫、啓動文件等重要文件的加密，否則會造成部分用戶無法使用系統的問題。

其實efs 加密文件系統，在加密時也是利用了證書，公鑰和私鑰。這些對用戶來說都是透明的。客戶是看不到這個過程的。這裏就不再介紹加密過程了，想了解得哥們可以上網查下加密和加密的原理。

Widnwos 7 的數據恢復代理，可以將其他用戶加密的文件進行解密，但是這個必須要用戶加密數據之前進行設置數據恢復代理，工作組和域環境都是一樣的。但是你要將加密的文件從NTFS 分區拷到FAT 分區中加密文件自動解密。被EFS加密過的數據不能在Windows中直接共享。如果通過網絡傳輸經EFS加密過的數據，這些數據在網絡上將會以明文的形式傳輸。NTFS分區上保存的數據還可以被壓縮，不過一個文件不能同時被壓縮和加密。最後一點，Windows的系統文件和系統文件夾無法被加密。

利用EFS 加密文件和文件夾區別再於加密的文件夾，以後向這個文件夾中再新建的文件都是加密的。