efs是windows 11中对单个文件夹实施轻量、透明且系统原生支持加密的最直接方案,需ntfs格式、通过属性高级选项启用,并必须备份.pfx证书以防数据永久丢失。
如果您在Windows 11中需要对单个文件夹实施轻量、透明且系统原生支持的加密保护,则EFS(加密文件系统)是最直接的内置方案。该机制将加密与当前登录用户的证书深度绑定,非授权账户即使拥有管理员权限或物理访问权也无法读取内容。以下是具体操作步骤:
一、启用EFS加密单个文件夹
EFS加密在NTFS格式磁盘上运行,仅对指定文件夹及其内部所有内容生效,加解密过程对用户完全透明,无需额外输入密码,但严格依赖当前用户账户及证书完整性。
1、确认目标文件夹所在磁盘为NTFS格式:右键“此电脑”→“属性”→左侧点击“控制面板主页”→打开“控制面板”→切换为“大图标”视图→点击“管理工具”→双击“计算机管理”→左侧选择“磁盘管理”,右键对应卷→“属性”,查看“文件系统”是否显示为NTFS。
2、若非NTFS,以管理员身份运行命令提示符,执行:convert D: /fs:ntfs(将D:替换为实际盘符)。
3、在文件资源管理器中定位需加密的文件夹,鼠标右键点击该文件夹,选择“属性”。
4、在“常规”选项卡下方,点击“高级”按钮。
5、勾选“加密内容以便保护数据”复选框,点击“确定”返回属性窗口。
6、点击“应用”,系统弹出加密范围提示对话框。
7、选择“将更改应用于此文件夹、子文件夹和文件”,确保全部嵌套内容被覆盖加密,点击“确定”。
8、等待加密完成,该文件夹名称在资源管理器中将显示为绿色,图标可能附带小锁标识。
二、备份EFS加密证书与私钥
证书是解密EFS加密数据的唯一凭证;若系统重装、用户配置损坏或证书丢失,加密文件将永久不可恢复。因此,首次启用EFS后必须立即导出受密码保护的.PFX证书文件。
1、按Win + R键,输入certmgr.msc,回车打开证书管理器。
2、展开左侧“个人”→“证书”,查找颁发给当前用户名、友好名称含“EFS”的证书。
3、右键该证书→“所有任务”→“导出”→选择“是,导出私钥”→格式选“个人信息交换(.PFX)”。
4、勾选“如果可能,将所有证书都导出到证书路径”,设置强密码并确认。
5、指定保存路径至U盘等离线安全位置,完成导出。
三、验证与访问限制说明
EFS加密后,当前用户可无缝访问加密文件夹,而其他本地账户(包括管理员)尝试打开时将收到“拒绝访问”错误;即使通过PE系统挂载磁盘,也无法绕过证书验证读取内容。该机制不改变文件权限设置,仅增加一层透明加解密层。
1、切换至另一用户账户,尝试进入该加密文件夹路径,将触发访问被拒提示。
2、在当前账户下,使用记事本、资源管理器或任意应用程序打开其中文件,均无需手动解密操作。
3、复制加密文件夹至FAT32/UFD格式移动设备时,系统会自动解密并警告:“目标文件系统不支持加密,文件将被解密后复制”。
