EFS: шифрування файлів і папок в Windows без BitLocker
Encrypting File System (EFS) дозволяє шифрувати окремі файли і папки в Windows без шифрування всього диска. Як увімкнути, де зберігається ключ і що робити якщо файл стає недоступним.
EFS (Encrypting File System) шифрує окремі файли і папки прозоро — ти відкриваєш їх як звичайно, але інші користувачі і програми без ключа нічого не бачать.
Відмінність від BitLocker
| EFS | BitLocker | |
|---|---|---|
| Що шифрує | Окремі файли/папки | Весь диск |
| Прозорість | Для власника — так | Після входу — так |
| Захист без входу | ❌ | ✅ |
| Доступно на Home | ❌ | Частково |
| Потребує TPM | ❌ | Рекомендовано |
EFS підходить для захисту конкретних папок від інших користувачів того ж ПК. BitLocker — від фізичного доступу до диска.
Зашифрувати папку
Правий клік на папці → Властивості → Додатково → постав галочку Шифрувати вміст для захисту даних → OK → Застосувати до папки, підпапок і файлів.
Іконка папки отримає замочок. Файли в ній шифруються автоматично при збереженні.
Через CMD
rem Зашифрувати папку
cipher /e "C:\SecretFiles"
rem Зашифрувати з підпапками
cipher /e /s:"C:\SecretFiles"
rem Розшифрувати
cipher /d "C:\SecretFiles"
rem Переглянути статус шифрування
cipher /u /n
Зробити резервну копію ключа (ОБОВ'ЯЗКОВО)
Якщо втратиш ключ EFS — файли назавжди недоступні навіть для тебе.
Windows нагадає про це і запропонує зробити бекап:
- Клікни на сповіщення про ключ → Зробити резервну копію зараз
- Або:
Win + R→certmgr.msc→ Особисті → Сертифікати → знайди сертифікат EFS → правий клік → Всі завдання → Експорт - Збережи
.pfxфайл з паролем → зберігай поза зашифрованим диском
Відновити доступ з резервної копії
rem Імпортувати ключ з .pfx файлу
certutil -importpfx "C:\Backup\efs-key.pfx"
Або: двічі клікни на .pfx файл → майстер імпорту → введи пароль → зберегти в Особисті.
Проблеми з EFS
Файл недоступний після переустановки Windows: EFS ключ прив'язаний до облікового запису. Після переустановки треба імпортувати резервну копію ключа.
Зашифрований файл скопіювали на інший ПК — недоступний: EFS не переносить ключі автоматично. Потрібно або розшифрувати перед копіюванням, або перенести ключ вручну.
Помилка "Ця функція недоступна": EFS недоступний на Windows Home і на дисках FAT32 — тільки NTFS і Pro/Enterprise.
Перевірити зашифровані файли
# Знайти всі зашифровані файли
cipher /u /n 2>$null | Out-File "C:\encrypted-files.txt"
# Або через PowerShell
Get-ChildItem "C:\SecretFiles" -Recurse |
Where-Object {$_.Attributes -band [System.IO.FileAttributes]::Encrypted} |
Select-Object FullName
Резюме
EFS підходить для захисту конкретних папок від інших користувачів. Правий клік → Властивості → Додатково → Шифрувати. Обов'язково зроби резервну копію сертифіката EFS і зберігай її поза зашифрованим диском. При переустановці Windows — спочатку імпортуй ключ, потім відкриєш файли.