Windows 10、8.1、8和7都包括BitLocker驱动器加密，但这并不是它们提供的唯一加密解决方案。Windows还包括一种名为“加密文件系统”(EFS)的加密方法。以下是它与BitLocker的不同之处。

此功能仅在Windows专业版和企业版上可用。家庭版只能使用更受限制的“设备加密”功能，而且只有当它是一台启用了设备加密的现代PC时才能使用。

BitLocker是全磁盘加密

相关：如何在Windows上设置BitLocker加密

BitLocker是一种全磁盘加密解决方案，可加密整个卷。设置BitLocker时，您将加密整个分区-例如Windows系统分区、内部驱动器上的另一个分区，甚至USB闪存驱动器或其他外部介质上的分区。

通过创建加密的容器文件，可以使用BitLocker仅加密几个文件。但是，这个容器文件本质上是一个虚拟磁盘映像，BitLocker的工作方式是将其视为驱动器并对整个内容进行加密。

如果你打算加密你的硬盘以保护敏感数据不会落入坏人手中，特别是当你的笔记本电脑被盗时，BitLocker是个不错的选择。它将加密整个驱动器，您不必考虑哪些文件已加密，哪些文件未加密。整个系统将被加密。

这不取决于用户帐户。当管理员启用BitLocker时，PC上的每个用户帐户都将对其文件进行加密。BitLocker使用计算机的可信平台模块或TPM硬件。

虽然“驱动器加密”在Windows10和8.1上受到更多限制，但在可以使用它的个人电脑上，它的工作原理类似。它会加密整个驱动器，而不是其中的单个文件。

EFS加密单个文件

相关：如何使用EFS加密Windows 8.1 Pro中的文件和文件夹

EFS-“加密文件系统”-工作方式不同。您可以使用EFS逐个加密单个文件和目录，而不是加密整个驱动器。在BitLocker是一个“设置并忘记它”系统的情况下，EFS要求您手动选择要加密的文件并更改此设置。

您可以从文件资源管理器窗口执行此操作。选择一个文件夹或单个文件，打开属性窗口，单击属性下的“高级”按钮，然后激活“加密内容以保护数据”选项。

此加密是以每个用户为基础的。加密的文件只能由加密它们的特定用户帐户访问。加密是透明的。如果加密文件的用户帐户已登录，则他们无需任何额外身份验证即可访问这些文件。如果其他用户帐户已登录，则无法访问这些文件。

加密密钥存储在操作系统本身中，而不是使用计算机的TPM硬件，攻击者有可能将其提取出来。除非您还启用了BitLocker，否则不会对这些特定的系统文件进行全驱动器加密。

加密的文件也有可能“泄露”到未加密的区域。例如，如果程序在打开包含敏感财务信息的EFS加密文档后创建临时缓存文件，则该缓存文件及其敏感数据将以未加密方式存储在不同的文件夹中。

BitLocker本质上是可以加密整个驱动器的Windows功能，而EFS利用了NTFS文件系统本身的功能。

为什么应该使用BitLocker，而不是EFS

实际上可以同时使用BitLocker和EFS，因为它们是不同的加密层。您可以加密整个驱动器，即使这样做之后，Windows用户也可以激活文件和文件夹的“Encrypt”属性。然而，实际上没有太多理由这样做。

如果您想要加密，最好采用BitLocker形式的全磁盘加密。这不仅是一种“设置好就忘了”的解决方案，您只需启用一次即可忘记，而且更安全。

在写Windows上的加密时，我们往往会掩饰EFS，经常只提到BitLocker，认为这是微软在Windows上的加密解决方案。这是有原因的。BitLocker的全磁盘加密刚刚好于EFS，如果需要加密，您应该使用BitLocker。

那么为什么EFS会存在呢？其中一个原因是，这是Windows的一个较旧的功能。BitLocker是随Windows Vista一起推出的。EFS是在Windows2000中引入的。

在某一点上，BitLocker可能会降低操作系统的整体性能，而EFS可能会稍微轻量级一些。但是，有了相当现代化的硬件，情况就完全不应该是这样了。

只需使用BitLocker，就忘了Windows甚至提供了EFS。它实际使用起来不那么麻烦，而且更安全。