Segurança do Windows · Criptografia de arquivos

Como criptografar arquivos e pastas com EFS no Windows
Windows 10 · Windows 11 · Backup do certificado EFS

Guia prático para usar o Encrypting File System (EFS) e proteger arquivos e pastas específicos em unidades NTFS, incluindo backup do certificado, descriptografia, comandos do Cipher e solução de problemas.

⏱ 11 min de leitura 🔐 Criptografia EFS 🪟 Windows 10 🪟 Windows 11 💾 Unidades NTFS
Visão geral

O que é EFS no Windows e quando você deve usá-lo?

Encrypting File System (EFS) é um recurso integrado do Windows que criptografa arquivos e pastas individuais em unidades formatadas como NTFS. Diferente do BitLocker, que protege uma unidade inteira, o EFS foi criado para criptografia seletiva em nível de arquivo: você escolhe exatamente quais documentos, pastas ou arquivos de projeto devem ser protegidos.

O EFS fica vinculado à sua conta de usuário do Windows e ao certificado de criptografia dessa conta. Quando você entra com o usuário correto, os arquivos criptografados abrem normalmente. Outros usuários do mesmo PC, pessoas que inicializam outro sistema operacional ou usuários que copiam os arquivos criptografados sem o certificado não conseguem ler o conteúdo original.

ℹ️
EFS vs. BitLocker

Use EFS quando quiser criptografar arquivos ou pastas específicos. Use BitLocker quando precisar proteger toda a unidade, especialmente em um notebook que pode ser perdido ou roubado.

Melhores casos de uso para criptografia EFS

Quando o EFS não é a melhor opção

Preparação

Antes de criptografar arquivos com EFS no Windows 10 ou Windows 11

O EFS é fácil de ativar, mas há requisitos e riscos importantes. A regra principal é esta: faça backup do certificado EFS e da chave privada imediatamente após criptografar o primeiro arquivo. Sem esse certificado, você pode perder o acesso aos dados criptografados depois de reinstalar o Windows, redefinir o PC, excluir o perfil de usuário ou mover os arquivos para outro computador.

Requisito Detalhes
Formato da unidade O arquivo ou a pasta deve estar armazenado em uma unidade NTFS. O EFS não foi projetado para unidades FAT32 ou exFAT.
Edição do Windows O EFS normalmente está disponível em edições profissionais e corporativas do Windows, como Pro, Enterprise e Education.
Conta de usuário A criptografia fica vinculada à conta de usuário atual do Windows e ao certificado dela.
Backup do certificado Você deve exportar o certificado para um arquivo .PFX protegido por senha e guardá-lo em um local seguro.
Compactação Um arquivo ou uma pasta não pode estar compactado com NTFS e criptografado com EFS ao mesmo tempo.
⚠️
Aviso importante

Não reinstale o Windows, não redefina o PC, não exclua o perfil de usuário e não formate a unidade antes de fazer backup do certificado EFS. Os arquivos podem continuar criptografados, mas talvez você não tenha mais a chave privada necessária para descriptografá-los.

Verificar se a unidade usa NTFS

  1. Abra o Explorador de Arquivos.
  2. Clique com o botão direito na unidade onde os arquivos estão armazenados.
  3. Selecione Propriedades.
  4. Observe o campo Sistema de arquivos. Ele deve mostrar NTFS.
Método pelo Explorador de Arquivos

Como criptografar uma pasta com EFS no Explorador de Arquivos do Windows

A maneira mais simples de usar o EFS é pela janela de propriedades da pasta. Esse método funciona bem quando você quer que todos os novos arquivos dentro de uma pasta sejam criptografados automaticamente.

  1. Abra o Explorador de Arquivos.
  2. Clique com o botão direito na pasta que deseja proteger.
  3. Escolha Propriedades.
  4. Na guia Geral, clique em Avançados.
  5. Ative Criptografar o conteúdo para proteger os dados.
  6. Clique em OK e depois em Aplicar.
  7. Quando o Windows perguntar como aplicar a alteração, escolha Aplicar as alterações a esta pasta, subpastas e arquivos se quiser criptografar tudo o que já está dentro da pasta.
  8. Clique em OK e aguarde o Windows concluir a criptografia dos dados.

Depois disso, os arquivos criptografados podem aparecer em verde no Explorador de Arquivos, dependendo das configurações de exibição do sistema. Arquivos novos salvos nessa pasta também serão criptografados automaticamente.

💡
Dica prática

Em vez de criptografar muitos arquivos soltos, crie uma pasta dedicada, por exemplo Documentos privados, criptografe essa pasta e salve nela os arquivos confidenciais.

Arquivo individual

Como criptografar um único arquivo com EFS no Windows

Você também pode criptografar apenas um arquivo específico. Isso é útil para documentos avulsos, mas normalmente é mais seguro criptografar a pasta pai para que arquivos temporários ou novas versões do documento também fiquem protegidos.

  1. Clique com o botão direito no arquivo que deseja criptografar.
  2. Selecione Propriedades.
  3. Na guia Geral, clique em Avançados.
  4. Marque Criptografar o conteúdo para proteger os dados.
  5. Clique em OK.
  6. Clique em Aplicar.
  7. Se solicitado, escolha se deseja criptografar apenas o arquivo ou o arquivo e a pasta pai.

Você deve criptografar também a pasta pai?

Na maioria dos casos, sim. Muitos aplicativos criam arquivos temporários, cópias de recuperação automática ou novas versões do documento na mesma pasta. Se apenas o arquivo original estiver criptografado, esses arquivos auxiliares podem permanecer sem proteção.

Backup obrigatório

Como fazer backup do certificado de criptografia EFS e da chave privada

O backup do certificado EFS é a etapa mais importante de todo o processo. O arquivo exportado deve estar no formato .PFX e deve incluir a chave privada. Guarde-o em um local seguro, como uma unidade externa criptografada ou um cofre digital confiável.

Método 1: Fazer backup do certificado EFS pela notificação do Windows

  1. Depois de criptografar o primeiro arquivo ou pasta, procure a notificação Fazer backup do certificado e da chave de criptografia de arquivos.
  2. Clique na notificação.
  3. Selecione Fazer backup agora.
  4. Siga o Assistente para Exportação de Certificados.
  5. Escolha exportar a chave privada.
  6. Selecione o formato Troca de Informações Pessoais (.PFX).
  7. Defina uma senha forte para o arquivo de certificado exportado.
  8. Salve o arquivo .PFX em um local seguro, como uma unidade externa criptografada.

Método 2: Exportar o certificado EFS manualmente

  1. Pressione Win + R.
  2. Digite certmgr.msc e pressione Enter.
  3. Acesse PessoalCertificados.
  4. Localize o certificado que mostra Sistema de Arquivos com Criptografia nos usos pretendidos.
  5. Clique com o botão direito no certificado e escolha Todas as TarefasExportar.
  6. No assistente, selecione Sim, exportar a chave privada.
  7. Escolha .PFX, defina uma senha e salve o arquivo.
🔑
Sem chave privada, sem recuperação

Não basta exportar apenas o certificado público. Para recuperar arquivos EFS em outro sistema ou depois de reinstalar o Windows, o backup precisa incluir a chave privada.

Linha de comando

Como usar o comando Cipher para criptografar arquivos com EFS

O comando cipher permite gerenciar o EFS pelo Prompt de Comando. Ele é útil para automação, verificação rápida do status de criptografia e backup do certificado atual.

Criptografar uma pasta e os arquivos existentes

Prompt de Comando
cipher /e /s:"C:\Users\YourName\Documents\Private"

A opção /e criptografa, e /s aplica a operação aos arquivos na pasta especificada e em suas subpastas.

Descriptografar uma pasta e seus arquivos

Prompt de Comando
cipher /d /s:"C:\Users\YourName\Documents\Private"

Mostrar o status de criptografia

Prompt de Comando
cipher "C:\Users\YourName\Documents\Private"

Fazer backup do certificado EFS atual pela linha de comando

Prompt de Comando
cipher /x "%USERPROFILE%\Desktop\EFS-Backup.pfx"

O Windows pedirá que você proteja o certificado exportado com uma senha. Depois da exportação, mova o arquivo .PFX da Área de Trabalho para um local de backup seguro.

Descriptografia

Como descriptografar arquivos e pastas EFS no Windows

A descriptografia é feita na mesma janela de Atributos Avançados usada para ativar a criptografia. Você deve estar conectado como um usuário que tenha acesso à chave privada do EFS.

  1. Clique com o botão direito no arquivo ou pasta criptografado.
  2. Selecione Propriedades.
  3. Clique em Avançados na guia Geral.
  4. Desmarque Criptografar o conteúdo para proteger os dados.
  5. Clique em OK e depois em Aplicar.
  6. Se estiver descriptografando uma pasta, escolha se a alteração deve ser aplicada apenas à pasta ou também a todas as subpastas e arquivos.

Descriptografar usando o Prompt de Comando

Prompt de Comando
cipher /d "C:\Users\YourName\Documents\Private\file.docx"

Para uma árvore inteira de pastas, use a opção /s:

Prompt de Comando
cipher /d /s:"C:\Users\YourName\Documents\Private"
Controle de acesso

Como compartilhar acesso a arquivos criptografados com EFS com outro usuário

O EFS pode permitir que outros usuários do Windows acessem um arquivo criptografado, mas isso não é o mesmo que compartilhar uma pasta normalmente. O outro usuário precisa ter um certificado EFS adequado, e o acesso deve ser adicionado ao arquivo criptografado.

  1. Clique com o botão direito no arquivo criptografado.
  2. Abra Propriedades.
  3. Clique em Avançados.
  4. Clique em Detalhes ao lado da opção de criptografia.
  5. Clique em Adicionar.
  6. Selecione o certificado do usuário que deve ter permissão para acessar o arquivo.
  7. Aplique as alterações.
👥
Compartilhamento de pastas e EFS são coisas diferentes

Compartilhar uma pasta pela rede não concede automaticamente a outra pessoa a capacidade de descriptografar dados protegidos com EFS. Permissões de arquivo e certificados EFS são camadas separadas de controle de acesso.

Correções

Solução de problemas do EFS: problemas comuns e soluções

A opção “Criptografar o conteúdo para proteger os dados” está esmaecida

Isso geralmente acontece porque o arquivo não está em uma unidade NTFS, a edição do Windows não oferece suporte ao EFS, o arquivo está marcado como compactado ou a criptografia foi desabilitada por política.

Você não consegue abrir arquivos criptografados depois de reinstalar o Windows

Importe o certificado .PFX exportado anteriormente para a conta de usuário atual:

  1. Clique duas vezes no arquivo de backup .PFX.
  2. Use o Assistente para Importação de Certificados.
  3. Importe-o para o repositório de certificados do Usuário Atual.
  4. Digite a senha usada ao exportar o certificado.
  5. Tente abrir os arquivos criptografados novamente.
Não tem backup do certificado?

Se o perfil original do Windows e a chave privada desapareceram e não existe backup do certificado EFS, normalmente não é possível recuperar o conteúdo dos arquivos criptografados. O EFS foi projetado para impedir o acesso sem a chave privada.

Os arquivos criptografados perdem a criptografia depois de serem copiados

O comportamento do EFS depende do destino. Copiar arquivos para uma unidade que não seja NTFS, enviá-los por alguns aplicativos ou armazená-los dentro de um arquivo compactado pode remover a proteção EFS. Se você precisa de criptografia portátil, use um contêiner criptografado protegido por senha ou um arquivo compactado criptografado.

Os arquivos estão criptografados, mas o nome da pasta não aparece em verde

A exibição por cores no Explorador de Arquivos pode estar desativada. Para verificar o status real, abra as propriedades do arquivo ou execute o comando cipher na pasta.

FAQ

Perguntas frequentes sobre criptografia EFS no Windows

Q EFS é a mesma coisa que BitLocker?
Não. O EFS criptografa arquivos e pastas selecionados. O BitLocker criptografa unidades ou volumes inteiros. Para melhor proteção em notebooks, o BitLocker geralmente é uma primeira camada mais adequada, enquanto o EFS pode ser usado para arquivos confidenciais específicos.
Q Posso usar EFS em um pen drive?
Somente se a unidade usar NTFS e o computador tiver o certificado EFS necessário. Para unidades removíveis que precisam ser abertas em PCs diferentes, o BitLocker To Go ou outro método de criptografia portátil costuma ser mais fácil de gerenciar.
Q O EFS protege os arquivos se alguém souber minha senha do Windows?
Se alguém conseguir entrar como o seu usuário do Windows, normalmente poderá abrir seus arquivos criptografados com EFS porque a chave privada está disponível nesse perfil de usuário. O EFS protege principalmente contra outras contas, acesso offline e cópias não autorizadas sem o certificado.
Q O que acontece se eu copiar um arquivo criptografado com EFS para outro computador?
O arquivo pode continuar criptografado, mas não será aberto a menos que o computador de destino tenha importado o certificado EFS correto e a chave privada para o usuário que precisa de acesso.
Q Um administrador pode descriptografar meus arquivos EFS?
Um administrador local não consegue descriptografar automaticamente seus arquivos sem o certificado necessário ou um agente de recuperação configurado. Em ambientes corporativos gerenciados, a organização pode configurar políticas de recuperação do EFS.
Q Devo criptografar pastas do sistema com EFS?
Não. Não criptografe pastas do sistema do Windows, pastas de programas, diretórios de perfil do navegador ou outras pastas de aplicativos, a menos que você entenda completamente as consequências. O EFS é mais indicado para documentos pessoais e pastas dedicadas de dados.

Conclusão: a forma segura de usar EFS no Windows

O EFS é uma maneira integrada e prática de criptografar arquivos e pastas selecionados no Windows 10 e Windows 11. A abordagem mais segura é criptografar uma pasta dedicada, salvar nela os arquivos confidenciais e fazer imediatamente backup do certificado EFS com a chave privada em um arquivo .PFX protegido por senha.

Lembre-se de que o EFS depende do seu perfil de usuário do Windows e do seu certificado. Se você pretende reinstalar o Windows, mover dados para outro PC ou redefinir sua conta, exporte o certificado primeiro. Sem esse backup, os arquivos criptografados podem ficar permanentemente inacessíveis.