Безопасность Windows · Шифрование файлов

Как зашифровать файлы и папки с помощью EFS в Windows
Windows 10 · Windows 11 · Резервная копия сертификата EFS

Практическое руководство по использованию Encrypting File System (EFS) для защиты отдельных файлов и папок на дисках NTFS: создание резервной копии сертификата, расшифровка, команды cipher и устранение проблем.

⏱ 11 мин чтения 🔐 Шифрование EFS 🪟 Windows 10 🪟 Windows 11 💾 Диски NTFS
Обзор

Что такое EFS в Windows и когда стоит использовать это шифрование?

Encrypting File System (EFS) — встроенная функция Windows, которая шифрует отдельные файлы и папки на дисках с файловой системой NTFS. В отличие от BitLocker, который защищает весь диск, EFS предназначен для выборочного шифрования на уровне файлов: вы сами выбираете, какие документы, папки или рабочие файлы нужно защитить.

EFS связан с учетной записью Windows и ее сертификатом шифрования. Когда вы вошли в систему под нужным пользователем, зашифрованные файлы открываются как обычно. Другие пользователи на том же компьютере, пользователи, загрузившие другую операционную систему, или люди, скопировавшие зашифрованные файлы без сертификата, не смогут прочитать исходное содержимое.

ℹ️
EFS или BitLocker

Используйте EFS, если нужно зашифровать конкретные файлы или папки. Используйте BitLocker, если требуется защита всего диска, особенно на ноутбуке, который можно потерять или украсть.

Когда удобно использовать шифрование EFS

Когда EFS не лучший выбор

Подготовка

Перед тем как зашифровать файлы с помощью EFS в Windows 10 или Windows 11

EFS легко включить, но у этой функции есть важные требования и риски. Главное правило: сразу после шифрования первого файла создайте резервную копию сертификата EFS и закрытого ключа. Без этого сертификата можно потерять доступ к зашифрованным данным после переустановки Windows, сброса ПК, удаления профиля пользователя или переноса файлов на другой компьютер.

Требование Подробности
Файловая система диска Файл или папка должны находиться на диске NTFS. EFS не предназначен для дисков FAT32 или exFAT.
Редакция Windows EFS обычно доступен в профессиональных и корпоративных редакциях Windows, например Pro, Enterprise и Education.
Учетная запись Шифрование связано с текущей учетной записью Windows и ее сертификатом.
Резервная копия сертификата Сертификат нужно экспортировать в защищенный паролем файл .PFX и хранить в безопасном месте.
Сжатие Файл или папка не могут одновременно быть сжатыми средствами NTFS и зашифрованными EFS.
⚠️
Важное предупреждение

Не переустанавливайте Windows, не выполняйте сброс ПК, не удаляйте профиль пользователя и не форматируйте диск до создания резервной копии сертификата EFS. Файлы останутся зашифрованными, но у вас может больше не быть закрытого ключа, необходимого для их расшифровки.

Как проверить, что диск использует NTFS

  1. Откройте Проводник.
  2. Щелкните правой кнопкой мыши диск, на котором хранятся файлы.
  3. Выберите Свойства.
  4. Посмотрите строку Файловая система. Там должно быть указано NTFS.
Способ через Проводник

Как зашифровать папку с помощью EFS в Проводнике Windows

Самый простой способ использовать EFS — включить шифрование в свойствах папки. Этот вариант удобен, когда нужно, чтобы все новые файлы внутри папки автоматически шифровались.

  1. Откройте Проводник.
  2. Щелкните правой кнопкой мыши папку, которую нужно защитить.
  3. Выберите Свойства.
  4. На вкладке Общие нажмите Другие или Дополнительно.
  5. Включите параметр Шифровать содержимое для защиты данных.
  6. Нажмите ОК, затем Применить.
  7. Когда Windows спросит, как применить изменение, выберите К данной папке и ко всем вложенным папкам и файлам, если нужно зашифровать все, что уже находится внутри.
  8. Нажмите ОК и дождитесь завершения шифрования.

После включения шифрования Windows может отображать имена файлов и папок зеленым цветом в Проводнике. Это означает, что элементы зашифрованы с помощью EFS.

Рекомендуемый подход

Создайте отдельную папку, например Личные документы, включите для нее шифрование EFS и перемещайте туда конфиденциальные файлы. Новые файлы, созданные внутри этой папки, будут шифроваться автоматически.

Шифрование одного файла

Как зашифровать отдельный файл с помощью EFS в Windows

Можно зашифровать один файл без шифрования всей папки. Однако Windows может предложить зашифровать и родительскую папку. Это важно, потому что некоторые программы во время редактирования создают временные копии файлов. Если папка не зашифрована, временные данные могут быть записаны на диск без защиты.

  1. Щелкните правой кнопкой мыши файл, который нужно зашифровать.
  2. Выберите Свойства.
  3. На вкладке Общие нажмите Другие или Дополнительно.
  4. Отметьте Шифровать содержимое для защиты данных.
  5. Нажмите ОК.
  6. Нажмите Применить.
  7. Если появится запрос, выберите, нужно ли зашифровать только файл или файл вместе с родительской папкой.

Нужно ли шифровать родительскую папку?

В большинстве случаев да. Шифрование всей папки дает более надежную защиту, потому что временные файлы, новые версии документов и скопированные внутрь файлы также могут автоматически оставаться защищенными. Шифрование только одного файла подходит для быстрой защиты, но хуже подходит как постоянный рабочий процесс.

Резервная копия сертификата

Как создать резервную копию сертификата EFS и закрытого ключа

Сертификат EFS — ключ к вашим зашифрованным данным. Если Windows предлагает создать резервную копию сертификата шифрования файлов, сделайте это сразу. Экспорт можно также запустить вручную через диспетчер сертификатов.

Способ 1: резервное копирование сертификата EFS из уведомления Windows

  1. После шифрования первого файла или папки найдите уведомление Создайте резервную копию сертификата и ключа шифрования файлов.
  2. Нажмите на уведомление.
  3. Выберите Создать резервную копию сейчас.
  4. Следуйте инструкциям мастера экспорта сертификатов.
  5. Выберите экспорт закрытого ключа.
  6. Укажите формат Обмен личной информацией (.PFX).
  7. Задайте надежный пароль для экспортируемого файла сертификата.
  8. Сохраните файл .PFX в безопасном месте, например на зашифрованном внешнем диске.

Способ 2: экспорт сертификата EFS вручную

  1. Нажмите Win + R.
  2. Введите certmgr.msc и нажмите Enter.
  3. Откройте ЛичноеСертификаты.
  4. Найдите сертификат, у которого в назначениях указано Encrypting File System или Шифрованная файловая система.
  5. Щелкните сертификат правой кнопкой мыши и выберите Все задачиЭкспорт.
  6. В мастере выберите Да, экспортировать закрытый ключ.
  7. Выберите формат .PFX, задайте пароль и сохраните файл.
🔑
Храните резервную копию осторожно

Любой, у кого есть зашифрованные файлы и пароль от экспортированного .PFX-сертификата, потенциально сможет расшифровать данные. Храните сертификат отдельно от зашифрованных файлов, а пароль — в надежном менеджере паролей.

Командная строка

Как использовать команду Cipher для шифрования файлов EFS

Опытные пользователи могут управлять EFS из Командной строки или Windows Terminal с помощью команды cipher. Это удобно для сценариев, проверки состояния шифрования и обработки большого количества файлов.

Зашифровать папку и существующие файлы внутри нее

Командная строка
cipher /e /s:"C:\Users\YourName\Documents\Private"

Эта команда включает шифрование EFS для выбранной папки и обрабатывает файлы во вложенных папках.

Расшифровать папку и ее файлы

Командная строка
cipher /d /s:"C:\Users\YourName\Documents\Private"

Показать состояние шифрования

Командная строка
cipher "C:\Users\YourName\Documents\Private"

Создать резервную копию текущего сертификата EFS из командной строки

Командная строка
cipher /x "%USERPROFILE%\Desktop\EFS-Backup.pfx"

Windows предложит защитить экспортированный сертификат паролем. После экспорта переместите файл .PFX с рабочего стола в безопасное место для резервного хранения.

Расшифровка

Как расшифровать файлы и папки EFS в Windows

Расшифровка выполняется в том же окне дополнительных атрибутов, где включается шифрование. Нужно войти в систему под пользователем, у которого есть доступ к закрытому ключу EFS.

  1. Щелкните правой кнопкой мыши зашифрованный файл или папку.
  2. Выберите Свойства.
  3. На вкладке Общие нажмите Другие или Дополнительно.
  4. Снимите флажок Шифровать содержимое для защиты данных.
  5. Нажмите ОК, затем Применить.
  6. Если вы расшифровываете папку, выберите, применять изменение только к этой папке или также ко всем вложенным папкам и файлам.

Расшифровка через Командную строку

Командная строка
cipher /d "C:\Users\YourName\Documents\Private\file.docx"

Для всей структуры папок используйте параметр /s:

Командная строка
cipher /d /s:"C:\Users\YourName\Documents\Private"
Управление доступом

Как предоставить другому пользователю доступ к файлам, зашифрованным EFS

EFS может разрешить дополнительным пользователям Windows доступ к зашифрованному файлу, но это не то же самое, что обычный общий доступ к папке. У другого пользователя должен быть подходящий сертификат EFS, а доступ нужно добавить именно к зашифрованному файлу.

  1. Щелкните правой кнопкой мыши зашифрованный файл.
  2. Откройте Свойства.
  3. Нажмите Другие или Дополнительно.
  4. Нажмите Подробности рядом с параметром шифрования.
  5. Нажмите Добавить.
  6. Выберите сертификат пользователя, которому нужно разрешить доступ к файлу.
  7. Примените изменения.
👥
Общий доступ к папке и EFS — разные вещи

Предоставление общего доступа к папке по сети не дает другому человеку автоматической возможности расшифровать данные, защищенные EFS. Права доступа к файлам и сертификаты EFS — это разные уровни контроля доступа.

Исправления

Устранение проблем EFS: частые ошибки и решения

Параметр «Шифровать содержимое для защиты данных» неактивен

Обычно это происходит, если файл находится не на диске NTFS, редакция Windows не поддерживает EFS, файл помечен как сжатый или шифрование отключено политикой.

Зашифрованные файлы не открываются после переустановки Windows

Импортируйте ранее экспортированный сертификат .PFX в текущую учетную запись пользователя:

  1. Дважды щелкните файл резервной копии .PFX.
  2. Используйте мастер импорта сертификатов.
  3. Импортируйте сертификат в хранилище Текущий пользователь.
  4. Введите пароль, который был задан при экспорте сертификата.
  5. Попробуйте снова открыть зашифрованные файлы.
Нет резервной копии сертификата?

Если исходный профиль Windows и закрытый ключ удалены, а резервной копии сертификата EFS нет, восстановить содержимое зашифрованных файлов обычно невозможно. EFS специально рассчитан на то, чтобы не давать доступ без закрытого ключа.

Файлы теряют шифрование после копирования

Поведение EFS зависит от места назначения. Копирование файлов на диск не NTFS, загрузка через некоторые приложения или сохранение внутри архива может убрать защиту EFS. Если нужно переносимое шифрование, используйте защищенный паролем зашифрованный контейнер или архив.

Файлы зашифрованы, но имя папки не отображается зеленым цветом

Цветовое выделение в Проводнике может быть отключено. Чтобы проверить реальное состояние, откройте свойства файла или выполните команду cipher для нужной папки.

FAQ

Частые вопросы о шифровании EFS в Windows

Q EFS — это то же самое, что BitLocker?
Нет. EFS шифрует выбранные файлы и папки. BitLocker шифрует целые диски или тома. Для ноутбуков BitLocker часто лучше как первый уровень защиты, а EFS можно использовать для отдельных конфиденциальных файлов.
Q Можно ли использовать EFS на USB-флешке?
Только если накопитель использует NTFS и на компьютере есть нужный сертификат EFS. Для съемных дисков, которые должны открываться на разных ПК, обычно проще использовать BitLocker To Go или другой переносимый способ шифрования.
Q Защитит ли EFS файлы, если кто-то знает мой пароль Windows?
Если человек может войти в систему под вашей учетной записью Windows, он обычно сможет открыть ваши EFS-зашифрованные файлы, потому что закрытый ключ доступен в этом профиле. EFS в первую очередь защищает данные от других учетных записей, офлайн-доступа и несанкционированного копирования без сертификата.
Q Что будет, если скопировать EFS-зашифрованный файл на другой компьютер?
Файл может остаться зашифрованным, но он не откроется, пока на целевом компьютере не будет импортирован правильный сертификат EFS и закрытый ключ для пользователя, которому нужен доступ.
Q Может ли администратор расшифровать мои EFS-файлы?
Локальный администратор не может автоматически расшифровать ваши файлы без нужного сертификата или настроенного агента восстановления. В управляемых корпоративных средах организация может настроить политики восстановления EFS.
Q Стоит ли шифровать системные папки с помощью EFS?
Нет. Не шифруйте системные папки Windows, папки программ, каталоги профилей браузеров и другие служебные папки, если вы полностью не понимаете последствия. EFS лучше использовать для личных документов и отдельных папок с данными.

Итог: как безопасно использовать EFS в Windows

EFS — удобный встроенный способ зашифровать выбранные файлы и папки в Windows 10 и Windows 11. Самый безопасный вариант — создать отдельную папку, включить для нее шифрование, хранить внутри конфиденциальные файлы и сразу экспортировать сертификат EFS вместе с закрытым ключом в защищенный паролем файл .PFX.

Помните, что EFS зависит от вашего профиля Windows и сертификата. Если вы собираетесь переустанавливать Windows, переносить данные на другой ПК или сбрасывать учетную запись, сначала экспортируйте сертификат. Без этой резервной копии зашифрованные файлы могут стать навсегда недоступными.