EFS được sử dụng để mã hóa các Files chỉ định , nhằm bảo vệ an toàn trong lưu trữ dữ liệu. Khi thuộc tính mã hóa File được bật, EFS sẽ lưu trữ file dưới dạng text mã hóa - encrypted cipher text.

 Chỉ có User sở hữu dữ liệu, tiến hành mã hóa dữ liệu mới có đặc quyền để mở các file này trong một ứng dụng giải mã đặc biệt được gọi là EFS decrypt, với quy trình giải mã này dữ liệu trở về định dạng như ban đầu (toàn bộ quy trình diễn ra “vô hình” với người sử dụng. User được xác nhận này có thể xem, chỉnh sửa, và EFS sẽ tiến hành lưu lại bất kỳ thay đổi nào thành các text mã hóa. Những user khác quyền truy cập File EFS bị ngăn chặn, cụ thể là không thể xem được nội dung, chỉnh sữa các File EFS này. Các files được EFS bảo vệ với khả năng mã hóa mạnh, nhằm tạo mức an toàn cao trong mọi tình huống, ngay cả khi những User khác cố tình xâm nhập, sử dụng các công cụ để vượt qua EFS nhằm truy xuất nội dung thông tin.

Khi User đã xác định sử dụng EFS để mã hóa file hoặc folder, EFS sẽ kích hoạt một khóa mã hóa file -file encryption key (FEK), FEK bao gồm một số ảo ngẫu nhiên – pseudo random number. Hệ thống sử dụng số này và thuật toán chuẩn X mỡ rộng dữ liệu- Data Extended Standard X (DESX), để tạo file mã hóa và ghi nó vào đĩa. Hệ thống sau đó sẽ tiến hành mã hóa FEK với khóa public - public key và lưu trữ kèm với file đã mã hóa. Khi User truy cập file đã mã hóa, hệ thống sẽ dùng khóa riêng của User -private key, để giải mã FEK và sau đó tiếp tục dùng FEK để tiến hành giải mã file. Khi người sử dụng dùng EFS lần đầu tiên, hệ thống sẽ tự động kích hoạt cặp khóa public/private key nếu chúng chưa được tạo. Nếu User đã log-on vào một domain, cặp khóa public/private key sẽ nằm trên một domain controller (DC) của domain đó; ngược lại nó sẽ nằm trên chính máy tính User -local machine.

EFS, dựa trên nền tảng mã hóa public key, kích hoạt ngẫu nhiên các FEK, để mã hóa dữ liệu. Một hế thống public key dựa trên nền tảng sử dụng một cặp khóa, trong đó một là khóa riêng private và một là khóa công public. Chỉ có user chủ sở hữu của private key mới có thể truy cập private key. Còn public key thuộc về mọi người nếu họ yêu cầu nó. Public key của user sẽ mã hóa các FEKs; và private key sẽ giải mã các FEKs.

Ví dụ: Hiểu một cách đơn giản về hoạt động mã hóa dùng cặp khóa public/private như sau:

Tôi có một gói tài liệu mật, bỏ vào vali và dùng một ổ khóa, khóa lại. Ổ khóa này có thể xem như một public key, ai cũng có thể dễ dàng thực hiện việc bóp nó lại. Thế nhưng để thực hiện việc mở vali, phải cần có chìa khóa, private key cần xuất hiện lúc này để mở vali.

NTFS lưu trữ một danh sách các FEKs đã được mã hóa với encrypted file có thuộc tính EFS đặc biệt, được biết với tên gọi là Data Decryption Fields (DDFs) và Data Recovery Fields (DRFs).

Khi EFS mã hóa một file, nó sẽ tiến hành theo quy trình sau:

1.        Kích hoạt một khóa mã hóa đồng bộ đặc biệt - bulk symmetric encryption key.

2.        Và mã hóa files bằng khóa mã hóa đặc biệt này - bulk symmetric encryption key

3.        Tiếp tục mã hóa bulk encryption key này bằng cách dùng public key EFS của User.

4.        Tiến hành lưu trữ bulk key đã được mã hóa ở một nơi đặc biệt gọi là data decryption field (DDF), DDF được gắn kèm vào EFS file.

EFS sau đó có thể dùng private key của user để giải mã bulk encryption key và giải mã file nếu cần thiết. Bởi vì chỉ có user có private key, nên một ai đó không thể mở DDF.

Phương tiện phục vụ cho việc lưu trữ khóa của EFS dựa vào kiến trúc CryptoAPI của Windows 2000, XP, 2003,  CryptoAPI lưu trữ các khóa public/private keys tách biệt với việc kích hoạt ngẫu nhiên FEK. Việc setup như vậy giúp cho User lưu trữ private keys của mình trên những thiết bị an toàn như NTFS volumes, smart cards. Smart cards, yêu cầu một đầu đọc smart card reader được lắp trên computer, kích cỡ smart card tương đương credit-card và khi User logon vao Domain dùng smart card thì cần một số nhận dạng Personal Identifier -PIN. Smart cards lưu trữ các thông tin cá nhân như: các account N0,  passwords, chứng thư số -digital certificates ...