Permet d'encrypter un dossier ou un fichier sur un volume NTFS 5 (propriété du fichier/dossier).
 La clé de cryptage utilisée est elle-même cryptée avec la clé publique du certificat X509 v3 de l'utilisateur.
 Les fichiers sont cryptés par blocs, chaque bloc étant crypté avec un clé différente.
 Il est préconisé de crypter aussi les dossiers contenant les fichiers cryptés (proposé par défaut).
 Il est impossible de crypter et compresser à la fois un fichier ou dossier.
 Si un document crypté est copié sur un système de fichier non NTFS, il sera copié décrypté !
 XPpro propose un mode de cryptage pour plusieurs personnes (capables de décrypter avec leur clé privée).
 Cipher.exe permet de crypter/décrypter des fichiers en ligne de commandes.

 Les "agents de recouvrement" possèdent une copie des clés sécrètes de cryptage, en cas de perte du compte d'origine.
 Par défaut, ce sont les premiers administrateurs à s'être connecté au DC / au poste local après son installation.
 Ils ont accès de manière transparente, depuis leur machine d'origine, aux documents cryptées des autres.
 Un agent de recouvrement de domaine est un compte capable de décrypter tous les fichiers du domaine sur sa machine
 (ou depuis n'importe quelle machine s'il dispose d'un profil itinérant = lieu où est stocké le certificat).