加密文件系統

加密文件系統 (EFS) 表示在基于 Windows NT 的操作系統（例如 Windows 2000、Windows XP、Windows Vista、Windows 7、Windows 8 和 Windows 10）下的 NTFS 卷上的文件加密系統。

此擴展使文件內容能夠保密，即使陌生人 - 例如由于訪問權限不足或無效或數據載體被盜 - 訪問它們，因為它們只能用正確的密鑰解密。

當使用 EFS 加密文件時，系統首先生成一個隨機密鑰，即所謂的文件加密密鑰 (FEK)，然后使用對稱加密方法 DES 或從 Windows XP SP1 開始使用 AES 加密文件. 然后使用用戶的公鑰使用非對稱 RSA 算法對 FEK 進行加密，并與文件一起保存。 如果要讀取文件，則使用用戶的密鑰對 FEK 進行解密，以恢復加密文件的明文。

當然，丟失秘鑰就意味著丟失加密數據。 為了解決這個問題，可以選擇額外存儲用另一個用戶的公鑰加密的 FEK。 這個用戶，即所謂的密鑰恢復代理 (KRA)，默認情況下是所用 Windows 安裝的管理員（僅限 Windows 2000）。

從 Windows XP 開始，此 KRA 必須稍后設置（密碼 /R:EFS-RA）。 但是，也可以進行其他設置：例如，您可以在整個 Windows 網絡域中設置一個中央密鑰恢復代理，或者不設置密鑰恢復代理。

以及為了數據恢復的目的，也可以存儲用多個用戶的公鑰加密的 FEK，這樣在網絡中或在具有多個用戶帳戶的計算機上共享對加密文件的訪問是可能的。