加密文件系統

對加密該文件的用户，加密是透明的。這表明不必在使用前手動解密已加密的文件。您可以正常打開和更改文件。

使用 EFS 類似於使用文件和文件夾上的權限。兩種方法可用於限制數據的訪問。然而，獲得未經許可的加密文件和文件夾物理訪問權的入侵者將無法閲讀文件和文件夾中的內容。如果入侵者試圖打開或複製已加密文件或文件夾，入侵者將收到拒絕訪問消息。文件和文件夾上的權限不能防止未授權的物理攻擊。 ^[1] 

正如設置其他任何屬性（如只讀、壓縮或隱藏）一樣，通過為文件夾和文件設置加密屬性，可以對文件夾或文件進行加密和解密。如果加密一個文件夾，則在加密文件夾中創建的所有文件和子文件夾都自動加密。推薦在文件夾級別上加密——加密後的樣子：（見圖片中綠色名稱的文件夾） ^[1] 

在使用加密文件和文件夾時，請記住下列信息：

只有 NTFS 捲上的文件或文件夾才能被加密。由於 WebDAV 使用 NTFS，當通過 WebDAV 加密文件時需用 NTFS。

被壓縮的文件或文件夾不可以加密。如果用户標記加密一個壓縮文件或文件夾，則該文件或文件夾將會被解壓。

如果將加密的文件複製或移動到非 NTFS 格式的捲上，該文件將會被解密。

如果將非加密文件移動到加密文件夾中，則這些文件將在新文件夾中自動加密。然而，反向操作不能自動解密文件。文件必須明確解密。

無法加密標記為“系統”屬性的文件，並且位於 systemroot 目錄結構中的文件也無法加密。

加密文件夾或文件不能防止刪除或列出文件或文件夾表。具有合適權限的人員可以刪除或列出已加密文件或文件夾表。因此，建議結合 NTFS 權限使用 EFS。

在允許進行遠程加密的遠程計算機上可以加密或解密文件及文件夾。然而，如果通過網絡打開已加密文件，通過此過程在網絡上傳輸的數據並未加密。必須使用諸如單套接字層/傳輸層安全 (SSL/TLS) 或 Internet 協議安全 (IPSec) 等其它協議通過有線加密數據。但 WebDAV 可在本地加密文件並採用加密格式發送。 ^[2] 

EFS使用對稱密鑰加密文件，這被稱為文件加密密鑰（File Encryption Key），簡稱FEK。使用對稱加密算法是因為加密和解密大量數據時這比使用非對稱密鑰密碼本消耗更少的時間。在不同的操作系統版本和配置上將使用不同的對稱加密算法，見下面的Algorithms used by Windows version。FEK（用來加密文件的對稱密鑰）然後會使用一個與加密文件的用户相關聯的公鑰加密，加密的FEK將被存儲在加密文件的$EFS可選數據流。要解密該文件，EFS組件驅動程序使用匹配EFS數字證書（用於加密文件）的私鑰解密存儲在$EFS流中的對稱密鑰。EFS組件驅動程序然後使用對稱密鑰來解密該文件。因為加密和解密操作在NTFS底層執行，因此它對用户及所有應用程序是透明的。

內容要被加密的文件夾會被文件系統標記為“加密”屬性。EFS組件驅動程序會檢查此“加密”屬性，這類似NTFS中文件權限的繼承：如果一個文件夾標記為加密，在裏面創建文件和子文件夾就默認會被加密。在加密文件移動到一個NTFS卷時，文件會繼續保持加密。但是，在許多情況下，Windows可能不需詢問用户就解密文件。

被複制到另一種文件系統（如FAT32）的文件和文件夾會被解密。最後，加密的文件使用SMB/CIFS協議通過網絡複製時，文件在發送到網絡前會被解密。避免“複製時解密”的最有效方法是使用支持“原始數據”API的備份軟件。使用Raw API的備份軟件會直接複製已加密文件的流和$EFS備用數據流為單個文件。換句話説，這些文件以加密形式被“複製”，備份過程中不牽扯解密。

從Windows Vista開始，用户的私鑰可以存儲在智能卡上；數據恢復代理（DRA）密鑰也可以存儲在智能卡上。 ^[2]