Một trong những đặc tr−ng an toàn cục bộ mới của Windows 2000 là EFS. EFS cho phép ng−ời sử dụng cất giữ số liệu an toàn hơn trên máy tính cục bộ của mình bằng cách mã và giải mã số liệu các tệp và th− mục trên NTFS khi cần thiết. EFS đ−ợc thiết kế để cất giữ thông tin đặc biệt trên máy tính cục bộ và do đó nó không hỗ trợ khả năng chia sẻ các tệp mã hoá. EFS tích hợp vào NTFS làm cho việc quản lý mã hoá dễ dàng và trong suốt với ng−ời sử dụng. EFS tự động tạo cặp khoá mã cho ng−ời sử dụng nếu cặp khoá này ch−a tồn tại. Cặp khoá gồm khoá công khai và khoá mật cho mỗi ng−ời sử dụng. Nếu cặp khoá mã cần tạo, và ng−ời sử dụng đăng nhập vào mạng theo mô hình miền, thì việc tạo khoá xảy ra tại bộ điều khiển (kiểm soát) miền; còn nếu ng−ời sử dụng đăng nhập vào mạng theo mô hình nhóm làm việc, thì việc tạo khoá xảy ra tại máy tính cục bộ. Bộ điều khiển (kiểm soát) miền hoặc máy tính sẽ thực hiện mã hoá kép bằng hai khoá này. Hệ thống máy tính sẽ yêu cầu EFS tạo số giả ngẫu nhiên cho tệp, đ−ợc gọi là khoá mã tệp (File Encryption Key - FEK). FEK sau đó đ−ợc dùng để giải mã số liệu tệp. Thuật toán mã hoá DES mở rộng (Exteded Data Encryption Standard - DESX) sử dụng FEK để mã hoá tệp. Các tệp mã hoá đ−ợc cất giữ trên đĩa cứng. Đến đây, thuật toán mã hoá bằng khoá mật đã xong. Tuy nhiên quá trình này còn nhiều b−ớc nữa. Để đảm bảo hoàn toàn an toàn cho FEK, nó đ−ợc mã hoá bằng khoá công khai của ng−ời sử dụng; bằng cách đó đảm bảo chắc chắn rằng ng−ời sử dụng không dùng chung khoá giải mã. FEK sau khi mã đ−ợc cất giữ cùng với tệp đã đ−ợc mã hoá. Đến đây cả FEK và tệp đ−ợc cất giữ an toàn. Các tài khoản của hệ thống khác mặc dù có các permission đối với các tệp mã hoá, ví dụ permission “giành quyền sở hữu”, cũng không thể mở đ−ợc tệp này nếu không có khoá mật của ng−ời mã hoá hoặc khoá mật đ−ợc phục hồi của ng−ời đại diện. Tuy nhiên một vài permission khác lại không bị ảnh h−ởng. Ví dụ ng−ời quản trị có permission xoá bỏ tệp mã hoá thì vẫn còn khả năng đó thậm chí khi anh ta không thể mở và đọc tệp.