Windows 上的 BitLocker 和 EFS（加密文件系统）有什么区别？

Windows 10、8.1、8 和 7 都包含 BitLocker 驱动器加密，但这并不是它们提供的唯一加密解决方案。 Windows 还包括一种名为“加密文件系统”或 EFS 的加密方法。这是它与 BitLocker 的不同之处。

这仅适用于 Windows 的专业版和企业版。家庭版只能使用更受限制的“设备加密”功能，并且前提是它是配备了设备加密功能的现代 PC。

BitLocker 是全盘加密

BitLocker 是一种全盘加密解决方案，可对整个卷进行加密。当您设置 BitLocker 时，您将加密整个分区，例如您的 Windows 系统分区、内部驱动器上的另一个分区，甚至是 USB 闪存驱动器或其他外部媒体上的分区。

通过创建加密的容器文件，可以使用 BitLocker 仅加密几个文件。然而，这个容器文件本质上是一个虚拟磁盘映像，而 BitLocker 的工作方式是将其视为一个驱动器并对整个事物进行加密。

如果您要加密您的硬盘驱动器以防止敏感数据落入坏人之手，尤其是当您的笔记本电脑被盗时，BitLocker 是您的不二之选。它将加密整个驱动器，您无需考虑哪些文件已加密，哪些未加密。整个系统将被加密。

这不取决于用户帐户。当管理员启用 BitLocker 时，PC 上的每个用户帐户都将对其文件进行加密。 BitLocker 使用计算机的可信平台模块（或 TPM）硬件。

虽然“驱动器加密”在 Windows 10 和 8.1 上受到更多限制，但它在可用的 PC 上的工作方式类似。它加密整个驱动器而不是其中的单个文件。

EFS——“加密文件系统”——的工作方式不同。您无需加密整个驱动器，而是使用 EFS 逐个加密单个文件和目录。 BitLocker 是一个“一劳永逸”的系统，而 EFS 需要您手动选择要加密的文件并更改此设置。

您可以从文件资源管理器窗口执行此操作。选择一个文件夹或单个文件，打开“属性”窗口，单击“属性”下的“高级”按钮，然后激活“加密内容以保护数据”选项。

这种加密是基于每个用户的。加密文件只能由加密它们的特定用户帐户访问。加密是透明的。如果加密文件的用户帐户已登录，他们将无需任何额外身份验证即可访问这些文件。如果登录了另一个用户帐户，则无法访问这些文件。

加密密钥存储在操作系统本身中，而不是使用计算机的 TPM 硬件，攻击者可能会提取它。除非您还启用 BitLocker，否则没有保护这些特定系统文件的全驱动器加密。

加密文件也有可能“泄漏”到未加密区域。例如，如果程序在打开包含敏感财务信息的 EFS 加密文档后创建临时缓存文件，则该缓存文件及其敏感数据将以未加密的方式存储在不同的文件夹中。

BitLocker 本质上是一种可以加密整个驱动器的 Windows 功能，而 EFS 则利用了 NTFS 文件系统本身的功能。

实际上可以同时使用 BitLocker 和 EFS，因为它们是不同的加密层。您可以加密整个驱动器，即使在这样做之后，Windows 用户也可以激活文件和文件夹的“加密”属性。但是，实际上并没有太多理由这样做。

如果你想要加密，最好以 BitLocker 的形式进行全盘加密。这不仅是一个“设置好后不用管”的解决方案，您只需启用一次就可以忘记它，而且它也更安全。

在撰写有关 Windows 加密的文章时，我们倾向于掩盖 EFS，并且通常只提及 BitLocker 作为 Microsoft 的 Windows 加密解决方案。这是有原因的。 BitLocker 的全盘加密只是优于 EFS，如果你需要加密，你应该使用 BitLocker。

那么为什么 EFS 甚至存在呢？一个原因是它是 Windows 的一项旧功能。 BitLocker 是与 Windows Vista 一起引入的。 EFS 是在 Windows 2000 中引入的。

在某一时刻，BitLocker 可能会降低操作系统的整体性能，而 EFS 会更轻巧一些。但是，对于相当现代的硬件，情况根本不应该如此。

只需使用 BitLocker，而忘记 Windows 甚至提供 EFS。实际使用起来不那么麻烦，而且更安全。