文件夹加密如何设置支持Win11？

Windows 11系统原生支持三种高可靠性文件夹加密方案：EFS文件级加密、BitLocker虚拟磁盘加密，以及OneDrive个人保管库云端协同加密。其中，EFS依托NTFS文件系统与用户证书实现透明加解密，仅当前登录账户可访问，加密后文件夹名称自动呈现绿色标识；BitLocker则通过创建VHDX虚拟硬盘并启用XTS-AES 256位全盘加密，形成需密码+恢复密钥双重验证的便携式安全容器；而OneDrive个人保管库结合设备信任链与多因素认证，在本地同步与云端存储双环节叠加加密保护，所有操作均基于微软官方技术白皮书与Windows安全中心文档规范实现，符合NIST SP 800-175B加密标准要求。

一、EFS加密操作需严格遵循证书生命周期管理

启用EFS前，务必确认目标磁盘为NTFS格式，并以管理员身份登录当前账户。右键目标文件夹→属性→高级→勾选“加密内容以便保护数据”→确定后返回属性窗口点击“应用”，在弹出的范围选项中必须选择“将更改应用于此文件夹、子文件夹和文件”。加密完成后，文件夹名称变为绿色，此时应立即导出EFS证书：按Win+R输入certmgr.msc打开证书管理器，展开“个人→证书”，右键对应证书→所有任务→导出→选择“是，导出私钥”，保存为.pfx文件并设置强密码，存储至离线U盘或安全云空间。若未备份，系统重装或用户配置损坏将导致永久性数据不可恢复。

二、BitLocker虚拟磁盘创建须满足硬件与权限双条件

仅Windows 11专业版及以上版本支持BitLocker全功能。操作路径为：Win+X→磁盘管理→操作→创建VHD→设置大小（建议≥10GB）、保存路径及格式为VHDX（非VHD）→初始化时选GPT分区表→右键新磁盘→新建简单卷→分配驱动器号（如Z:）。随后进入控制面板→系统和安全→BitLocker驱动器加密→找到Z:盘→启用BitLocker→选择“使用密码解锁驱动器”→密码需含大小写字母、数字及符号且长度≥8位→恢复密钥必须保存至Microsoft账户或文件（严禁仅存于同一硬盘）→加密模式选“新加密模式”，范围选“整个驱动器”，全程加密耗时依容量而定，期间不可中断电源。

三、OneDrive个人保管库依赖可信设备链激活

需先在Windows设置→账户→登录选项中启用Windows Hello或手机双重验证。打开OneDrive客户端→左侧导航栏点击“个人保管库”→首次点击“解锁”后，系统向已绑定的可信设备推送Microsoft Authenticator通知，或发送6位短信验证码。验证通过后，保管库临时挂载为OneDrive子目录，拖入文件即触发AES-256本地加密+TLS 1.3云端传输+服务器端静态加密三重防护。超时15分钟或手动锁定后，所有文件自动转为不可读状态，再次访问必须重新完成多因素认证。

以上三种方案均通过微软官方安全审计，无需安装第三方组件即可实现企业级数据防护能力。