Sterownik EFS działa w trybie jądra (podobnie zresztą jak sterownik NTFS, a w nowszych wersjach jest w niego wbudowany). Kiedy tylko NTFS napotyka zaszyfrowany plik, wywołuje stosowne funkcje EFS, które zajmują się szyfrowaniem i deszyfrowaniem danych na żądanie dostępu wykonane przez aplikację użytkownika. Aby jednak odszyfrować FEK-a danego pliku, EFS musi wykorzystać klucz prywatny użytkownika z pomocą funkcji kryptograficznych, działających w trybie użytkownika. Za pomocą sterownika KSecDD zostaje wywołana odpowiednia funkcja, która znajduje się w LSASS (Local Security Authority Subsystem, który odpowiada za zarządzanie sesjami, ale także kluczami EFS) - komponentem LSASS-a wysłuchującym takie żądania jest Lsarv (Local Security Authority Server). On to zleca CSP (cryptographic service provider) poprzez Microsoft CryptoAPI (CAPI) żądanie odszyfrowania FEK-a, które ten wykonuje, po czym Lsarv zwraca EFS-owi odszyfrowany klucz.