File Encryption

The Encrypted File System, or EFS, provides an additional level of security for files and directories. It provides cryptographic protection of individual files on NTFS file system volumes using a public-key system.

Typically, the access control to file and directory objects provided by the Windows security model is sufficient to protect unauthorized access to sensitive information. However, if a laptop that contains sensitive data is lost or stolen, the security protection of that data may be compromised. Encrypting the files increases security.

To determine whether a file system supports file encryption for files and directories, call the GetVolumeInformation function and examine the FS_FILE_ENCRYPTION bit flag. Note that the following items cannot be encrypted:

• Compressed files
• System files
• System directories
• Root directories
• Transactions

Sparse files can be encrypted.

TxF does not support most operations on Encrypted File System (EFS) files. The only operations TxF supports are read operations, such as ReadEncryptedFileRaw.

In this section

Topic	Description
Handling Encrypted Files and Directories	A file marked encrypted is encrypted by the NTFS file system by using the current encryption driver.
Encrypted Files and User Keys	Lists the functions to use to create a new key, add a key to an encrypted file, query the keys for an encrypted file, and remove keys from an encrypted file.
Backup and Restore of Encrypted Files	The raw encryption functions enable backup of encrypted files.

For more information about encryption, see Adding Users to an Encrypted File.

For more information about cryptography, see Cryptography.

How to encrypt files and folders in Windows 10 [EASY GUIDE]

• Encrypting your most important files is not only extremely useful but also easier than you’d think.
• You have several methods to password-protect your documents, including an inbuilt Windows tool.
• For more guides on the same topic, see our dedicated File Encryption section on the website.
• Looking for a particular step-by-step guide? We’ve probably got it covered, so do a quick search in our How-To Hub.

• Unzip all major file formats: ZIP, RAR, 7Z, TGZ, TAR, etc.
• Encrypts the files you zip for maximum protection
• Manage your files easily (PC, Cloud, network)

Open archived files
with ease on your PC

Encrypting a certain file or folder is probably the best way to keep it safe, so only you can access that file or folder.

Microsoft’s developers decided to keep the built-in encryption method in Windows 10 similar to the previous method.

Still, it’s good from time to time to go through the file encryption methods available in Windows, but not exclusively.

How can I encrypt files or folders in Windows 10?

1. Use a dedicated encryption tool (recommended)

If you think that Windows’ own encryption tool isn’t good enough for your files, you can try with some third-party encryption software.

Actually, a right third-party tool is an even better choice than EFS, because it offers more options, so you’ll be able to keep your files as safe as possible.

There are a lot of free encrypting tools out there, but the best way is to get a premium software. It has many more features and it is a priority when it needs support from developers.

A first recommendation would be WinZip. You’ve probably heard of it since it’s currently the most popular file encryption and compression tool.

As a matter of fact, the program offers more file management options, including sharing, compressing, and backing up files.

The encryption option allows you to zip your files with certified 128 or 256-bit AES encryption, keeping your files safe from unwanted eyes.

Plus, with WinZip, you can create read-only PDFs and add watermarks to deter copying.

Other notable features of WinZip include finding, opening, editing, moving, and sharing the files stored on PCs, networks, or cloud services.

The tool can be fully integrated with Dropbox, G-Suite, or OneDrive.

WinZip

2. Use the built-in Encrypted File System

1. Right-click on the file/folder you want to encrypt and go to Properties.
2. On the General tab, click Advanced.
3. Under the Compress and encrypt attributes section, click on Encrypt content to secure data.
4. Click OK and close Properties.
5. Choose Apply changes to the folder, subfolders, and files.

That’s that, your folder is now encrypted and its text is shown in green color.

All subfolders and files of the encrypted folder are encrypted as well, but if you want to change that, repeat the process above, and choose to Apply changes to this folder only instead of Apply changes to this folder, subfolders, and files.

The EFS (Encrypted File System) is probably the fastest way to encrypt your files and folders in Windows 10 (and any other version of Windows since XP).

This is a very simple encryption tool, and you’ll make your files protected in a couple of minutes, with just a couple of clicks.

But before we show you how to encrypt your files with EFS, we have to warn you that you’ll be able to access the encrypted file only with the login of the account you encrypted the file with.

Other user accounts (if with administrative permissions) won’t be able to access it. Thus, make sure to remember or write down the password somewhere, or your file will stay locked forever.

You may also choose to protect your files before they can be accessed with a good VPN tool. We strongly recommend Private Internet Access VPN to secure your data.

It protects your PC from attacks while browsing, masks your IP address, and blocks all unwanted access to your computer.

Private Internet Access

How to back up your encryption key

1. Click on Back up your encryption key popup.
2. Choose Back up now.
3. Follow the instructions from the wizard.
4. Enter and re-enter your password.
5. Choose a place to which you’ll save your certificate and give a name to your encryption backup file.
6. Click Next, and Finish.

Usually, Windows will offer you an option to back up your encryption key right after you create it.

If you’re looking to encrypt a USB flash, we’ve got a list of the 12 best software solutions that will help you secure your files in no time.

3. Use Microsoft Office

1. Open the Office file you want to encrypt, and go to File.
2. Under Info, click on Protect document.
3. Choose Encrypt with password.
4. Enter your password and press Enter.
5. Re-enter your password, and click OK.

Your Office document is now encrypted, and you’ll have to enter a password you set before to access it.

As you can see, there are a couple of methods to keep your files safe, so it’s completely up to you which one you’ll use. If you have some questions or comments, just reach for the comments section below.

Многобукфф

Vladislav’s personal blog site

Защищаем конфиденциальные файлы в Win10 при помощи шифрованной файловой системы (EFS)

Предположим, что у вас есть компьютер под управлением Windows самой распоследней версии. Вы на нем играете в игры–стрелялки, пишите свою диссертацию, ведете бухгалтерию ИП по упрощенной системе, да и вообще, развлекаетесь, как можете. Но, вдруг, совершенно необоснованно вы начинаете чувствовать, что что-то извне угрожает безопасности некоторых данных, что хранятся на вашем персональном компьютере. Вы, с горячим взглядом, читаете многочисленные кибер-форумы и с ужасом понимаете, что все ваши данные на жестком диске никак не защищены. И если ваш любимый компьютер похитят, а риск хищения для портативной техники не такой уж и низкий, то злоумышленник сможет добраться до всего содержимого жесткого диска! О, моя бесценная диссертация!

Давайте попробуем разобраться, действительно ли можно получить несанкционированный доступ к файлам, если на компьютере работает операционная система Windows 10. Инженеры IBM, а впоследствии и Microsoft, потратили немало усилий на реализацию системы разделения прав для файловой системы NTFS (в бытность IBM это была HPFS). И если Win10 запущена на компьютере, то получить без разрешения доступ к чужим файлам очень и очень сложно, а в случае блокировки доступа и вовсе нельзя. Windows надежно охраняет файлы пользователей.

Но стоит только загрузиться в другую операционную систему, например, в Linux Mint, то все пользовательские файлы будут как на ладони. Качай что хочешь. А загрузиться в Mint можно хоть с флешки, хоть с CD-ROM, нужно только добраться до UEFI (BIOS) и активировать загрузку со съемных накопителей, если она не была активирована ранее, либо воспользоваться меню загрузки. Предположим, что вы поставили пароль на вход в UEFI и отключили выбор накопителя для загрузки как класс, тогда ваши файлы защищены немного сильнее. А злоумышленник может просто развинтить ваш компьютер, вытащить жесткий диск и подключить его к своему компьютеру, а затем скачать, все, что требуется. Ведь данные в виде файлов будут у него как открытая тетрадь на руках.

Специалисты от IT, знают, что несколько обезопасить данные в своем компьютере можно при помощи технологии BitLocker. BitLocker — штука хорошая, но позволяет шифровать только целиком разделы на дисках, либо физические, либо виртуальные. При этом обеспечивается сохранность ключей, в том числе и с хранением в модулях TPM. Что весьма удобно. Однако, шифрование целиком всего и вся, далеко не всегда удобно, хотя, безусловно, применение полного шифрования диска имеет определенный смысл. А вот про частичное шифрование файлов и каталогов, почему-то все забывают.

В Windows 10, как и в предыдущих ее реинкарнациях, присутствует Шифрованная Файловая Система, что в переводе означает Encrypted File System (EFS). Данная функция доступна начиная с редакции Pro и выше, поэтому если у вас версия Windows Home, то необходимо проапгрейдиться как минимум до Pro. В Wikipedia много написано о том, как и что, шифруется в EFS. Я лишь постараюсь объяснить все как можно проще и приведу самую подробную инструкцию по включению защиты ваших файлов.

Помимо наличия минимума в виде Pro редакции, необходимо чтобы вы работали под пользователем, у которого есть пароль. Пароль должен присутствовать обязательно, пусть это будет привязка к облачному сервису Microsoft, либо же полностью автономный пароль. Входите ли вы в систему по PIN-коду или же с применением рисунка — не важно, важно, что к вашей учетной записи привязан пароль. Помимо наличия пароля в активной учетной записи, необходимо чтобы защищаемые файлы и каталоги размещались на диске или его разделе с файловой системой NTFS. Скорее всего, именно такая файловая система и применяется у вас.

Шифрование данных происходит абсолютно прозрачно для пользователей и для подавляющего большинства программных продуктов, т.к. шифрование происходит на уровне файловой системы NTFS. Зашифровать можно как один файл, так и целую папку сразу. Зашифровать можно как пустую папку, а затем добавить в нее новые файлы и они тоже зашифруются, а можно зашифровать папку уже с файлами и каталогами внутри. Все на ваш выбор.

При работе с зашифрованными папками и файлами стоит учитывать следующее:

1. Файлы зашифрованы до тех пор, пока они не будут перенесены на любую другую файловую системы отличную от NTFS. Например, вы копируете зашифрованный файл на «флешку». Если там FAT32, а скорее всего там именно он, то файл расшифруется. В десятой версии Windows Microsoft все же реализовал функцию, когда файл остается зашифрованным даже если вы его перенесли на флешку с FAT, так что стоит быть бдительным если сливаете какие-то файлы своему другу. Сможет ли он их потом открыть без мата? Если вы отправляете файл по электронной почте — он расшифруется (иначе пропадает смысл его отправке по почте). При передаче файла по сети также произойдет расшифровка.
2. При перемещении между NTFS разделами файл остается зашифрованным. При перемещении файла с одного NTFS диска на другой NTFS диск, файл будет зашифрованным. При копировании файла на жесткий сменный диск с файловой системой NTFS он будет зашифрованным и в новом месте.
3. При насильственной смене пароля учетной записи третьим лицом, например, администратором, либо же насильственная смена пароля привязанной учетной записи домена, либо облачной службы — доступ к файлам без резервного сертификата (формируется при первом шифровании) будет уже невозможен.

Последний пункт весьма важен, особенно лицам с ненадежной памятью, которые постоянно сбрасывают пароли. Тут такой фокус может обернуться навсегда зашифрованными файлами, если, конечно, не импортировать в систему сохраненный сертификат. Тем не менее, когда смена пароля происходит добровольно, например, в соответствии с политикой смены пароля, то безвременная потеря зашифрованных файлов не произойдет.

Скептики вполне справедливо заметят, что подобная защита, впрочем, как и BitLocker, не является супернадежной, дескать, хакеры могут подобрать пароль, если он слабый, да и спецслужбы все расшифруют. Действительно, ваш пароль могут банально подобрать, если он короток, да прост. А спецслужбы на то они и спецслужбы, чтобы иметь техническую возможность добраться до содержимого файлов слишком уж мнительных пользователей. Более того, когда вы вошли в систему, вы сразу же получаете прозрачный доступ ко всем вашим зашифрованным при помощи EFS файлам. И если на вашем компьютере завелся троян или вирус, то он совершенно аналогично получит доступ к драгоценным файликам. Компьютерную гигиену стоит соблюдать неукоснительно.

Подробная инструкция по включению шифрования при помощи EFS под Win10 Pro на папке

Ниже я предлагаю пошаговую, точную инструкцию, как зашифровать папку с файлами в ней. Отдельный файл шифруется аналогичным образом.

Шаг 1. Создаем папку. Пусть она называется «Мои картинки».

Шаг 2. Нажимаем на папке правой кнопкой мышки и в контекстном меню выбираем «Свойства».