Technologia ta opiera się o infrastrukturę klucza publicznego. Przy pomocy EFS-a możliwe jest zaszyfrowanie zarówno plików, jak i folderów. W procesie tym wykorzystany jest algorytm 3DES bądź AES - w zależności od wersji OS-a (XP - 3DES, XP SP1 w górę AES). EFS może skorzystać z certyfikatów typu self signed lub wygenerowanych przez Urząd Certyfikacji -jeżeli takowy jest zainstalowany w środowisku. Dzięki wykorzystaniu certyfikatów EFS przywiązuje zaszyfrowane pliki do konkretnego użytkownika zalogowanego w systemie. To z kolei sprawia, że po zalogowaniu się użytkownik będący twórcą zaszyfrowanego pliku uzyskuje prawo automatycznej deszyfracji. Z punktu widzenia użytkownika EFS jest więc w zasadzie w pełni przeźroczysty. Jedynym sygnałem świadczącym o objęciu pliku czy katalogu szyfrowaniem jest oznaczenie go przez system (domyślnie) kolorem zielonym, co ułatwia orientację.

Mimo, że rozpoczęcie samego procesu szyfrowania (patrząc oczami użytkownika) jest proste, zanim je uruchomimy warto mieć świadomość tego, dlaczego EFS nie jest systemem idealnym i jakie są jego podstawowe słabości. Do EFS-a można mieć wiele zastrzeżeń, ale -jak mówią grzybiarze- lepszy rydz niż nic. Poza tym od czegoś trzeba zacząć. Jak już wspomnieliśmy, EFS należy do grupy rozwiązań pozwalających użytkownikom szyfrować tylko i wyłącznie pliki i foldery. Nie przeciwdziała on uruchomieniu systemu operacyjnego przez osobę nieuprawnioną. Poza tym, mimo, że zaszyfrowane mogą być zarówno foldery i pliki, to i tak nie wszystkie. Nie ma możliwości objęcia "enkrypcją" informacji przechowywanych w folderze systemowym. EFS nie poradzi sobie także z innymi plikami, które zostały oznaczone jako systemowe.

Możemy więc śmiało zapomnieć o zaszyfrowaniu takich informacji jak plik hibernacyjny, czy stronicowania. Podobnie będzie, jeżeli zechcemy spakować plik zaszyfrowany - EFS nie obsługuje takiej operacji. Inny problem polega na tym, że w zasadzie szyfrowany jest nie sam plik, ale jego zawartość. Wszelkie meta dane przywiązane do pliku czy np. rozmiar, czy data utworzenia można bez problemu uzyskać. Podobnie rzecz ma się z katalogami. Będąc dowolnym, zalogowanym użytkownikiem możemy bez problemu podejrzeć zawartość katalogu. Przy okazji warto tutaj podkreślić, że kluczowe dla skuteczności ochrony realizowanej przez EFS jest silne hasło użytkownika. Jeżeli osoba nieuprawniona zdobędzie hasło, to będzie to równoznaczne z uzyskaniem prawa odszyfrowania pliku. Następna bolączka wynika z przywiązania mechanizmu EFS do systemu plików NTFS.

Jeżeli będziemy chcieli skopiować zaszyfrowany plik na inny nośnik, który nie jest sformatowany NTFS-em, plik zostanie odszyfrowany i przeniesiony już w postaci niezabezpieczonej. Dobrze jest zatem pamiętać o formatowaniu wszystkich nośników właśnie NTFS-em. Tutaj może pojawić się pewien problem. Jak sformatować NTFS-em pendrive-a? Domyślnie podczas próby formatowania takiego urządzenia wybierany jest system FAT lub FAT32 (dzięki temu nie ma konieczności "bezpiecznego wysuwania urządzenia"). Aby móc skorzystać z NTFS-a należy z poziomu Windowsowego Menadżera Urządzeń znaleźć nasz napęd USB, a następnie w jego właściwościach, w zakładce Zasady zmienić atrybut "Optymalizacja szybkiego usuwania" na "Optymalizacja wydajności". Po wykonaniu tej operacji napęd USB będzie mógł być sformatowany NTFS-em, a pliki podczas kopiowania pozostaną zaszyfrowane.

W jaki sposób zatem zaszyfrować katalog lub plik EFS-em? Są w zasadzie trzy sposoby. Pierwszy to otworzenie właściwości katalogu lub pliku, który ma być zaszyfrowany, a następnie w zakładce "Ogólne" wejście do ustawień zaawansowanych. Tutaj w "Atrybutach kompresji i szyfrowania" można wskazać "Szyfruj zwartość, aby zabezpieczyć dane". Od tej pory plik/folder będzie zaszyfrowany.

Drugim, wygodniejszym sposobem jest uruchamianie opcji szyfrowania z menu kontekstowego pliku (wywoływanego kliknięciem prawego przycisku myszy). Domyślnie opcja ta jest niewidoczna. Aby można ją było "uwidocznić" trzeba najpierw wprowadzić niewielką zmianę w rejestrze. W gałęzi HKLM->Software->Microsoft->Windows->CurrentVersion->Explorer->Advanced należy dopisać wartość DWORD EncryptionContextMenu i nadać jej wartość "1".

Wreszcie trzeci sposób, polegający na wykorzystaniu narzędzia "cipher" z linii poleceń. Aby zaszyfrować katalog wraz z zawartością do polecenia "cipher" należy dodać przełączniki /E oraz /A np.

Analogicznie, aby odszyfrować plik "IMG_2185.jpg" należy dodać przełącznik /D oraz /A.

Możliwe jest także współdzielenie zaszyfrowanych plików pomiędzy użytkownikami. Wymaga to dwóch rzeczy - posiadania przez innego użytkownika certyfikatu oraz przypisania tegoż certyfikatu do pliku po jego zaszyfrowaniu. Należy więc najpierw zaszyfrować plik, a dopiero potem w jego właściwościach w zakładce "Zaawansowane" kliknąć "Szczegóły" i dodać uprawnionych użytkowników.

Po wykonaniu pierwszej operacji zaszyfrowania pliku/katalogu wygenerowany zostanie certyfikat dla użytkownika, który rozpoczął proces. Dobrze jest wykonać jego kopię np. na nośnik zewnętrzny. Należy uruchomić konsolę MMC (Start -> Uruchom -> mmc), dodać przystawkę Certyfikaty (Plik -> Dodaj/Usuń przystawkę -> Dodaj -> Certyfikaty -> Moje konto użytkownika). Następnie odszukać certyfikat i wykonać polecenie "Eksportuj" z menu "Akcja->Wszystkie zadania". Wyeksportowany w ten sposób klucz należy przechowywać w bezpiecznym miejscu.