需结合EFS加密与NTFS权限控制实现双重隔离:先启用EFS加密使仅当前用户可解密,再收紧NTFS权限移除其他所有账户访问权,接着备份EFS证书与私钥防永久锁定,最后通过新建用户验证独占访问效果。
如果您希望在Windows 11中确保某个文件夹仅当前登录用户可访问,而其他本地账户(包括管理员)均无法打开或读取其内容,则需结合EFS加密与NTFS权限控制实现双重隔离。以下是实现该目标的具体操作路径:
一、启用EFS加密以绑定用户身份
EFS(加密文件系统)利用当前用户的登录证书对文件夹进行透明加密,使数据在磁盘上以密文形式存在,仅该用户凭其私钥可解密访问;其他账户即使拥有完全控制权限也无法读取内容。
1、右键点击目标文件夹,选择“属性”。
2、在“常规”选项卡下方点击“高级”按钮。
3、勾选加密内容以便保护数据,点击“确定”。
4、返回属性窗口,点击“应用”,在弹出的加密范围提示中选择将更改应用于此文件夹、子文件夹和文件。
5、确认后等待加密完成,文件夹名称将显示为绿色,表示EFS已生效。
二、收紧NTFS权限以阻止绕过访问
仅依赖EFS存在风险:若其他用户通过系统还原、离线启动或接管所有权等方式获取文件副本,仍可能尝试解密(尤其当证书未强保护时)。因此必须同步移除所有非必要用户的NTFS访问权限,切断直接读取路径。
1、在文件夹“属性”窗口中,切换到“安全”选项卡。
2、点击“编辑”按钮,进入权限编辑界面。
3、在用户/组列表中,逐一选中除当前登录用户外的所有条目(如SYSTEM、Administrators、Users等),点击“删除”。
4、确认仅保留当前用户账户名,并在其权限栏中确保勾选完全控制。
5、勾选底部的替换所有子对象的权限项,点击“应用”并确认执行。
三、备份EFS证书与私钥以防永久锁定
证书丢失将导致加密文件夹彻底不可恢复,即使重装系统或使用相同用户名也无法解密。此步骤不可跳过,且必须在加密完成后立即执行。
1、按Win + R输入certmgr.msc,回车打开证书管理器。
2、左侧展开“个人”→“证书”,在右侧查找“颁发给”为当前用户名、“增强型密钥用法”含“加密文件系统”的证书。
3、右键该证书,选择“所有任务”→“导出”,启动向导。
4、在“导出私钥”页选择是,导出私钥,格式选个人信息交换 - PKCS #12 (.PFX)。
5、务必勾选启用强私人密钥保护,并设置一个独立于系统登录密码的高强度密码。
6、将导出的.PFX文件保存至U盘或离线存储设备,切勿仅存于同一台电脑的任何磁盘分区中。
四、验证当前用户独占访问效果
完成上述配置后,需通过非当前用户视角验证隔离强度:其他账户(包括新建标准用户)应无法浏览、复制、移动或查看该文件夹内任何内容,且双击打开时会明确提示“拒绝访问”或“你没有权限打开此文件夹”。
1、新建一个标准用户账户(设置→账户→家庭和其他用户→将其他人添加到这台电脑)。
2、注销当前用户,以新账户登录。
3、打开文件资源管理器,导航至加密文件夹所在路径。
4、尝试双击该文件夹,系统应立即返回“你没有权限打开此文件夹”错误提示。
5、右键该文件夹→“属性”→“安全”选项卡,确认其中无该新账户的任何权限条目,且“继承”已禁用。
