ステップバイステップ ガイド : 暗号化ファイル システムの使用

  • [アーティクル]

公開日: 2005年1月7日

このドキュメントでは、Windows Server 2003 オペレーティング システムに組み込まれている暗号化ファイル システム (EFS) について、エンドユーザーおよび管理者用の機能を紹介し、その使用例の手順を説明します。

トピック

符號 はじめに

符號 概要

符號 ユーザー シナリオ

符號 管理者シナリオ

符號 関連資料

はじめに

ステップバイステップ ガイド

Microsoft Windows Server 2003 展開のステップバイステップ ガイドでは、多くの共通点を持つオペレーティング システム構成における実際上の操作を説明します。これらのガイドでは、Windows Server 2003 をインストールして共通ネットワーク インフラストラクチャを構築することから説明を始めます。そして、Active Directory® の構成、Windows XP Professional ワークステーションのインストールについて説明し、最後にワークステーションをドメインに追加する方法について説明します。これらのステップバイステップ ガイドの各分冊では、この共通ネットワーク インフラストラクチャが構築されていることを前提としています。このガイドで説明するネットワーク インフラストラクチャとは異なるインフラストラクチャを構築する場合は、適宜変更を加えながらガイドを読み進めてください。

共通ネットワーク インフラストラクチャの構築には、以下のガイドで説明する操作を完了する必要があります。

共通ネットワーク インフラストラクチャを構築すると、その他のステップバイステップ ガイドの操作を実行できるようになります。ただし、その他のステップバイステップ ガイドでは、共通ネットワーク インフラストラクチャ構築の要件に加えて、その他の前提条件が必要になる場合があります。詳細については、各ステップバイステップ ガイドの説明を参照してください。

Microsoft Virtual PC

Microsoft Windows Server 2003 展開のステップバイステップ ガイドで説明する内容は、現実のラボ環境で実装することもできますし、Microsoft Virtual PC 2004 や Microsoft Virtual Server 2005 のような仮想化テクノロジを使って実装することもできます。仮想コンピュータ テクノロジを使用すると、単一の物理サーバー上で複数のオペレーティング システムを並行して稼働させることができます。Virtual PC 2004 と Virtual Server 2005 は、ソフトウェアのテストや開発、レガシ アプリケーションの移行、サーバー統合の各シナリオにおいて、業務効率を高めるように設計されています。

Microsoft Windows Server 2003 展開のステップバイステップ ガイドでは、現実のラボ環境での構成を前提としています。ただし、大部分の構成はそのまま仮想環境に適用できます。

このステップバイステップ ガイドに記載する概念を仮想環境に適用する場合の説明については、ここでは割愛します。

重要

このドキュメントで使用している会社、組織、製品、ドメイン名、電子メール アドレス、ロゴ、人物、場所、イベントなどの名称は架空のものです。実在する会社名、組織名、製品名、ドメイン名、電子メール アドレス、ロゴ、個人名、場所名、イベント名などは一切関係ありません。

この共通インフラストラクチャは、プライベート ネットワークで使用する目的で設計されています。共通インフラストラクチャで使用する架空の企業名と DNS (Domain Name System) 名は、インターネット上で使用するための登録が行われていません。パブリック ネットワークやインターネット上では、この名前を使用しないようにしてください。

この共通インフラストラクチャの Active Directory サービス構造は、Windows Server 2003 の変更と構成管理機能の概要、および Active Directory との関連を示すために設計されたものです。企業で Active Directory を構成する場合を想定して設計されているわけではないことに注意してください。

ページのトップへ

概要

Windows Server 2003 オペレーティング システムに組み込まれている暗号化ファイル システム (EFS) は、公開キー暗号化方式をベースに、Windows Server 2003 の CryptoAPI アーキテクチャを利用しています。それぞれのファイルは、ランダムに生成されたファイル暗号化キーを使用して暗号化されます。ファイル暗号化キーはユーザーの公開キーと秘密キーのペアとは独立しています。

ファイル暗号化では、対称暗号化アルゴリズムを使用できます。本リリースでの EFS は、Data Encryption Standard X (DESX) (北米では 128 ビット、その他の地域では 40 ビット) を暗号化アルゴリズムとして使用しています。将来のリリースでは、別の暗号化スキームも使用可能になる予定です。EFS はリモート ファイル サーバー上のファイルの暗号化と暗号化の解除についても、ローカル ドライブ上のファイルと同様にサポートしています。

ユーザー操作

EFS の既定の構成では、ユーザーは管理者権限がなくてもファイルの暗号化を行うことができます。EFS はユーザーが初めてファイルの暗号化を行ったときに、公開キーのペアとファイル暗号化の証明書を自動的に生成します。

ファイルの暗号化と暗号化の解除は、ファイルまたはすべてのサブフォルダを含むフォルダ全体に適用できます。フォルダの暗号化は、透過的に実行されます。暗号化のフラグが付けられたフォルダ内に作成されたすべてのオブジェクトが、自動的に暗号化されます。それぞれのファイルは固有の暗号化キーを持ち、安全に名前の変更ができます。暗号化フォルダ内のファイルを、同じボリューム内の暗号化されていない別のフォルダに移動した場合は、ファイルは暗号化されたままになります。ただし、暗号化されていないファイルを暗号化されたフォルダにコピーした場合は、そのファイルの状態が変わります。つまり、この場合は、ファイルは暗号化されます。詳しい知識のあるユーザーと回復エージェントのために、コマンド ライン ツールと管理用インターフェイスが用意されています。

データ回復

EFS は、組み込み型のデータ回復サポートを提供します。Windows Server 2003 はセキュリティの基盤としてデータ回復キーの構成を実施します。ファイルの暗号化は、システムが 1 つ以上の回復キーで構成されている場合のみ使用できます。EFS によって、回復エージェントは、ユーザーが会社を辞めた場合などに、暗合化したデータを回復するための公開キーを構成できます。回復キーの使用により入手できるのは暗号化キーのみであり、ユーザーの秘密キーは入手できません。これは別のプライベート情報が、回復エージェントに公開されないことを保証します。データ回復機能は、従業員が暗号化したデータを回復する必要のあるビジネス環境を考慮しています。

回復ポリシーは、Windows Server 2003 ドメインのグループ ポリシーによって定義します。定義されたポリシーは、ドメイン内のすべてのコンピュータに適用されます。回復ポリシーは、データ セキュリティの管理者アカウントとして指定されたドメイン管理者によって制御されます。これにより、暗号化データを回復する権限に柔軟性を持たせ、強力な制御を提供します。EFS は、複数のデータ回復構成を可能にすることによって、複数の回復エージェントをサポートします。これらの機能により、冗長性をもたせた回復手順を柔軟に実行できる組織になります。

前提条件

ページのトップへ

ユーザー シナリオ

フォルダまたはファイルの暗号化

フォルダまたはファイルを暗号化する場合、エクスプローラまたはコマンド ライン ユーティリティ Cipher.exe を使用します。ここでは、両方の手順について説明します。このガイドでは、Windows XP Professional が動作しているコンピュータ上で手順を実行することを前提としています。

Windows エクスプローラを使ってフォルダまたはファイルを暗号化するには

  1. HQ-CON-WRK-01 に mike@contoso.com としてログオンします。プロンプトが表示されたら、Mike のパスワードを「pass#word2」に変更します。

  2. [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[アクセサリ] をポイントし、[エクスプローラ] をクリックします。

  3. 暗号化するフォルダ名またはファイル名 (この例では、マイ ドキュメントの下に作成された Encrypted Files という名前のフォルダ) を右クリックし、[プロパティ] をクリックします。

  4. [Encrypted Files のプロパティ] ダイアログ ボックスの [全般] タブで、[詳細設定] をクリックします。

  5. 図 1 に示すように [属性の詳細] ダイアログ ボックスで、[内容を暗号化してデータをセキュリティで保護する] チェック ボックスをオンにして、[OK] をクリックします。

    図 1. 属性の詳細

    図 1. 属性の詳細

  6. [Encrypted Filesのプロパティ] ダイアログ ボックスで、[OK] をクリックします。

  7. このフォルダのみを暗号化するか、フォルダ内のすべての内容を暗号化するかを選択するよう求められます。フォルダが空の場合は、確認は求められません。フォルダにオブジェクトが含まれている場合は、フォルダとその内容を暗号化することを選択して、[OK] をクリックします。

  8. フォルダまたはファイルの暗号化の状況を示すダイアログ ボックスが表示されます。[OK] をクリックします。

コマンド ライン ツールを使ってフォルダまたはファイルを暗号化するには

  1. フォルダを暗号化するには、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。「cmd」と入力して [OK] をクリックします。たとえば、コマンド プロンプトで次のコマンドを入力します。

    cipher /e /s:"C:\Documents and Settings\Mike\My Documents\Encrypted Files"

  2. Enter キーを押します。図 2 のような結果が表示されます。

    図 2. コマンド ラインからの暗号化

    図 2. コマンド ラインからの暗号化
    拡大表示する

フォルダまたはファイルの暗号化解除

暗号化と同様に、エクスプローラまたはコマンド ライン ユーティリティを使ってフォルダまたはファイルの暗号化を解除できます。ここでは、両方の手順について説明します。ファイルを開いたり編集したりするために、ファイルの暗号化を解除する必要はありません。暗号化の解除は、他のユーザーがアクセスするファイルに対して行います。

Windows エクスプローラを使ってフォルダまたはファイルの暗号化を解除するには

  1. [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[アクセサリ] をポイントし、[エクスプローラ] をクリックします。

  2. フォルダ名またはファイル名を右クリックし、[プロパティ] をクリックします。

  3. プロパティ ダイアログ ボックスの [全般] タブで、[詳細設定] をクリックします。

  4. [属性の詳細] ダイアログ ボックスで、[内容を暗号化してデータをセキュリティで保護する] チェック ボックスをオフにして、[OK] をクリックします。

  5. [Encrypted Filesのプロパティ] ダイアログ ボックスで、[OK] をクリックします。

  6. このフォルダのみの暗号化を解除するか、フォルダ内のすべての内容の暗号化を解除するかを選択するよう求められます。[このフォルダ、およびサブフォルダとファイルに変更を適用する] をクリックして、[OK] をクリックします。

    メモ 個々のファイルを暗号化するのではなく、フォルダを暗号化することをお勧めします。多くの既存アプリケーションが暗号化を認識しないため、ファイルをクリア テキストで表示する可能性があるためです。

コマンド ライン ツールを使ってフォルダまたはファイルの暗号化を解除するには

  1. フォルダの暗号化を解除するには、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。「cmd」と入力して [OK] をクリックします。たとえば、コマンド プロンプトで次のコマンドを入力します。

    cipher /d /s:"C:\Documents and Settings\Mike\My Documents\Encrypted Files"

  2. Enter キーを押します。

  3. [コマンド プロンプト] ウィンドウを閉じます。

暗号化されたフォルダまたはファイルのコピー

ここでは、暗号化されたフォルダまたはファイルを、同じボリューム内またはボリューム間でコピーする手順と制限事項について説明します。

  • **同じコンピュータ内で、Windows Server 2003 NTFS (NT ファイル システム) パーティションから別の Windows Server 2003 NTFS パーティションにコピーする。**暗号化されていないファイルと同じように、ファイルまたはフォルダをコピーします。Windows エクスプローラまたはコマンド プロンプトを使用します。コピーしたファイルまたはフォルダは暗号化されます。

  • **同じコンピュータ内で、Windows Server 2003 NTFS (NT ファイル システム) パーティションから FAT (ファイル割り当てテーブル) パーティションにコピーする。**暗号化されていないファイルと同じように、ファイルまたはフォルダをコピーします。Windows エクスプローラまたはコマンド プロンプトを使用します。コピー先のファイル システムは暗号化をサポートしていないため、フォルダまたはファイルはクリア テキストとしてコピーされます。

  • **Windows Server 2003 NTFS パーティションを使用している、2 台のコンピュータ間でコピーする。**暗号化されていないファイルと同じように、ファイルまたはフォルダをコピーします。Windows エクスプローラまたはコマンド プロンプトを使用します。リモート コンピュータがファイルの暗号化をサポートしている場合は暗号化されてコピーされますが、そうではない場合はクリアテキストとしてコピーされます。ドメイン環境ではリモート暗号化は既定では無効になっているため、リモート コンピュータは委任に対して信頼されていなければならないことに注意してください。

  • Windows Server 2003 NTFS パーティションから、Microsoft Windows NT ® **4.0 の FAT または NTFS パーティションにコピーする。**暗号化されていないファイルと同じように、ファイルまたはフォルダをコピーします。Windows エクスプローラまたはコマンド プロンプトを使用します。コピー先のファイル システムは暗号化をサポートしていないため、フォルダまたはファイルはクリアテキストとしてコピーされます。

暗号化されたフォルダまたはファイルの移動または名前の変更

ここでは、暗号化されたフォルダまたはファイルを、同じボリューム内またはボリューム間で移動する手順と制限事項について説明します。

  • **同じボリューム内で移動または名前を変更する。**暗号化されていないファイルと同じように、ファイルまたはフォルダを移動します。Windows エクスプローラ、コンテキスト メニュー、またはコマンド プロンプトを使用します。移動したファイルまたはフォルダは、暗号化されたままです。

  • **ボリューム間で移動する。**本質的にはファイルをコピーしたときと同様です。詳細については、前の「暗号化されたフォルダまたはファイルのコピー」を参照してください。

暗号化されたフォルダまたはファイルの削除

削除するファイルまたはフォルダにアクセスできれば、暗号化されていないファイルと同様に削除できます。暗号化されたフォルダまたはファイルの削除は、最初に暗号化したユーザーに限定されません。

暗号化されたフォルダまたはファイルのバックアップ

  • **コピーによってバックアップする。**コピー コマンド、コンテキスト メニューなどによってバックアップを作成した場合、最終的にクリアテキストになります。詳細については、「暗号化されたフォルダまたはファイルのコピー」を参照してください。

  • **Windows Server 2003 のバックアップ ユーティリティまたは Windows Server 2003 の機能をサポートする任意のバックアップ ユーティリティを使用してバックアップする。**暗号化されたファイルのバックアップには、この方法をお勧めします。バックアップは、暗号化を維持して行われるため、そのファイルの秘密キーにアクセスする必要はありません。ファイルまたはフォルダにアクセスできれば、処理を実行できます。

暗号化されたフォルダまたはファイルの復元

復元は、暗号化ファイルのバックアップに対応するものです。ここでは、暗号化ファイルのバックアップを実行したコンピュータと、それ以外のコンピュータに復元する手順と制限事項について説明します。

  • **コピーによってバックアップを復元する。**コピー コマンド、コンテキスト メニューなどによって復元した場合、最終的にクリアテキストになります。詳細については、「暗号化されたフォルダまたはファイルのコピー」を参照してください。

  • **Windows Server 2003 のバックアップ ユーティリティまたは Windows Server 2003 の機能をサポートする任意のバックアップ ユーティリティを使用して復元する。**暗号化されたファイルの復元には、この方法をお勧めします。復元は、暗号化を維持して行われるため、そのファイルの秘密キーにアクセスする必要はありません。復元が完了すると、秘密キーを持ったユーザーは問題なくファイルを使用できます。

別のコンピュータへのファイルの復元

暗号化を行ったコンピュータ以外のコンピュータ上で、暗号化されたファイルを使用する場合、暗号化証明書とその証明書に関連する秘密キーがそのコンピュータ上で確実に有効であるようにすることが必要です。これは、移動プロファイルの使用、または手動でキーを移動することによって行います。

  • **移動プロファイルを使用する。**移動プロファイルが設定されていない環境では、システム管理者に設定を依頼します。移動プロファイルを使用すると、同じアカウントでサイン オンしたすべてのコンピュータで同じ暗号化キーを使用できます。移動プロファイルを使用している場合でも、暗号化証明書と秘密キーのバックアップを行うこともできます。ただし、ファイルの暗号化解除に有効なキーを失った場合は、回復エージェント (既定では、ローカル管理者またはドメイン管理者) に暗号化したファイルの復元を依頼します。

  • **キーを手動で移動する。**キーを手動で移動する前に、暗号化証明書と秘密キーをバックアップします。バックアップすると、証明書とキーを別のシステム上で復元できます。

暗号化証明書と秘密キーをバックアップするには

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。「mmc」と入力して [OK] をクリックします。MMC (Microsoft 管理コンソール) が起動します。

  2. [コンソール] ウィンドウで、[ファイル] メニューの [スナップインの追加と削除] をクリックし、[追加] をクリックします。

  3. [証明書] スナップインを選択し、[追加] をクリックします。[完了] をクリックし、[閉じる] をクリックして、[OK] をクリックします。

  4. 個人用の証明書ストア内で、EFS 証明書を見つけます。[証明書 - 現在のユーザー] の横にあるプラス記号 (+) をクリックします。[個人] フォルダを展開し、[証明書] をクリックします。

    メモ 図 3 に示すように、該当する証明書の使用目的には、暗号化ファイル システムであることが表示されます。

    図 3. EFS 証明書の確認

    図 3. EFS 証明書の確認
    拡大表示する

  5. 証明書を右クリックし、[すべてのタスク] をポイントして、[エクスポート] をクリックします。証明書のエクスポート ウィザードが起動します。[次へ] をクリックします。

  6. [はい、秘密キーをエクスポートします] をクリックして、[次へ] をクリックします。

  7. 使用可能なエクスポート形式は、Personal Information Exchange- PKCS#12 (.PFX) です。[強力な保護を有効にする] チェック ボックスがオンになっていることを確認して、[次へ] をクリックします。

  8. エクスポートした証明書を保護するためのパスワードを入力し、確認して、[次へ] をクリックします。

  9. エクスポートした証明書を保存するパスとファイル名を入力します。[次へ] をクリックし、[完了] をクリックして、証明書のエクスポートを終了します。[OK] をクリックし、エクスポート完了を確認します。

  10. MMC コンソールを閉じます。

暗号化証明書と秘密キーを別のシステム上で復元するには

  1. 作成した .pfx ファイルをフロッピー ディスクまたはネットワーク共有にコピーします。

  2. 対象システム上で、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。「mmc」と入力して [OK] をクリックします。MMC スナップインが起動します。

  3. [コンソール] ウィンドウで、[ファイル] メニューの [スナップインの追加と削除] をクリックし、[追加] をクリックします。

  4. [証明書] スナップインを選択し、[追加] をクリックします。確認画面が表示されたら、[ユーザー アカウント] をクリックして、[完了] をクリックします。

  5. [閉じる] をクリックし、[OK] をクリックします。

  6. プラス記号 (+) をクリックし、[証明書 - 現在のユーザー] を展開します。

  7. [個人] フォルダを右クリックし、[すべてのタスク] をポイントして、[インポート] をクリックします。

  8. [次へ] をクリックします。証明書のインポート ウィザードが起動します。

  9. 作成した .pfx ファイルのパスを入力し、[次へ] をクリックします。証明書データにアクセスするためのパスワードを入力し、[次へ] をクリックします。

  10. [証明書をすべて次のストアに配置する] (既定) をクリックし、[次へ] をクリックします。

  11. [完了] をクリックします。インポートが完了したら、[OK] をクリックしてウィザードを閉じます。

同じキーが利用可能になれば、別のコンピュータ上でバックアップされた暗号化ファイルを透過的に使用できます。

リモート サーバー上のフォルダとファイル

リモート サーバー上にあるファイルに対する暗号化と暗号化の解除、および暗号化されたファイルの使用は、透過的に行うことができます。リモートでこれらのファイルにアクセスするか、別のコンピュータにローカルでログオンしているかにかかわらず動作します。ただし、バックアップと復元の機能を使用して暗号化されたファイルを移動した場合には、移動先で暗号化ファイルを使用できるようにするために、適切な暗号化証明書と秘密キーも、確実に移動する必要があります。適切な秘密キーでなければ、ファイルの暗号化を解除したり、開いたりすることはできません。

メモ ネットワーク経由で暗号化されたファイルを開く場合、このプロセスによってネットワーク上で転送されるデータは暗号化されません。ネットワーク上のデータを暗号化する場合は、SSL/PCT (Secure Sockets Layer/Personal Communication Technology) や IPSec (Internet Protocol Security) などのプロトコルを使用する必要があります。

ページのトップへ

管理者シナリオ

スタンドアロン コンピュータ上のデータ回復の保護

このシナリオでは、Administrator としてローカル コンピュータ (ここでは、HQ-CON-WRK-01 という名前のコンピュータ) にログオンします。ドメインにログオンするのではなく、コンピュータにローカルでログオンすることに注意してください。

既定の回復証明書を作成するには (認証機関が存在しない場合)

  1. HQ-CON-WRK-01 で、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。「cmd」と入力して [OK] をクリックします。

  2. [コマンド プロンプト] ウィンドウで「cipher.exe /r:dra」を入力し、Enter キーを押します。

  3. プロンプトが表示されたら、.pfx ファイルを保護するためのパスワードを入力し、確認するためにもう一度パスワードを入力します。

  4. [コマンド プロンプト] ウィンドウを閉じます。

データの回復ポリシーを定義するには

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。「mmc」と入力して [OK] をクリックします。

  2. [ファイル] メニューの [スナップインの追加と削除] をクリックします。

  3. [追加] をクリックして下にスクロールし、[グループ ポリシー オブジェクト エディタ] をダブルクリックします。

  4. 既定の [ローカル コンピュータ] のままにして [完了] をクリックし、[閉じる] をクリックします。[OK] をクリックします。

  5. [ローカル コンピュータ ポリシー] の横にあるプラス記号 (+) をクリックし、ツリーを展開します。[コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[公開キーのポリシー] の順に展開します。[ファイル システムの暗号化] をクリックします。

  6. [暗号化ファイル システム] を右クリックし、[データ回復エージェントの追加] をクリックします。

  7. [回復エージェントの追加ウィザード] 画面で [次へ] をクリックし、[フォルダの参照] をクリックして、Administrator の Documents and Settings フォルダに移動します。dra.cer ファイルをダブルクリックし、[はい] をクリックしてから、[次へ] をクリックして、[完了] をクリックします。図 4 のような画面が表示されます。

    図 4. 既定の回復エージェント

    図 4. 既定の回復エージェント
    拡大表示する

  8. MMC コンソールを閉じます。

    メモ 回復証明書の保護されたバックアップ (.pfx) を作成するには、「暗号化証明書と秘密キーをバックアップするには」で説明した手順に従ってください。

ドメインの既定の回復キーの保護

ドメインの既定の回復ポリシーは、最初にドメイン コントローラがセットアップされたときに作成されます。既定の回復ポリシーは、ドメイン管理者アカウントを回復エージェントにするために、自己署名入りの証明書を使用します。

メモ 回復証明書の保護されたバックアップ (.pfx) を作成するには、「暗号化証明書と秘密キーをバックアップするには」で説明した手順に従ってください。

ファイルの回復証明書の要求

既定の回復ポリシーを使用する場合は、ファイルの回復証明書を要求する必要はありません。しかし、ドメインに対して複数の回復エージェントが必要とされる場合や、回復エージェントが法務上または企業の方針によってドメイン管理者以外にする必要がある場合などに、特定のユーザーを回復エージェントに指定することが求められる場合があります。これらのユーザーに対しては、ファイルの回復証明書を発行する必要があります。

これには、以下の手順を実行します。

  • エンタープライズ認証機関 (CA) を利用可能にする必要があります。

  • エンタプライズ証明機関のポリシーは、指定されたユーザーまたはエージェントに対して、ファイルの回復証明書を要求し、それを取得することを許可するように設定します。

  • それぞれのユーザーがファイルの回復証明書を要求します。

エンタプライズ証明機関 (CA) をセットアップするには

  1. HQ-CON-DC-01 にドメイン管理者としてログオンします。

  2. [スタート] ボタンをクリックし、[コントロール パネル] をポイントして、[プログラムの追加と削除] をクリックします。

  3. [Windows コンポーネントの追加と削除] をクリックします。

  4. [証明書サービス] をクリックします。証明書サービスをインストールすると、コンピュータ名の変更、コンピュータのドメインへの追加、コンピュータのドメインからの削除は実行できなくなることを知らせる警告メッセージが表示されます。[はい] をクリックし、操作を継続します。[次へ] をクリックします。

  5. [エンタープライズのルート CA] がオンになっていることを確認し、[次へ] をクリックします。

  6. [CA 識別情報] 画面で、[この CA の共通名] に「ContosoCA」と入力し、[次へ] をクリックします。

  7. [次へ] をクリックし、既定のデータ保存場所を指定します。

  8. インターネット インフォメーション サーバー (IIS) がインストールされていない場合は、Web ベースの証明書登録を使用できないことを知らせる警告メッセージが表示されます。[OK] をクリックし、この警告を了承します。

  9. IIS を実行している場合は、一時的にサービスを停止することを要求するメッセージが表示されます。[OK] をクリックします。

  10. Windows コンポーネント ウィザードが終了したら、[完了] をクリックします。[アプリケーションの追加と削除] を閉じます。

回復エージェントとして指定されたユーザーのセキュリティ グループを作成するには

  1. [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[管理ツール] をポイントし、[Active Directory ユーザーとコンピュータ] をクリックします。

  2. [Groups] を右クリックし、[新規作成] をポイントして、[グループ] をクリックします。グループ名に「Domain Recovery Agents」を入力し、[OK] をクリックします。

  3. 作成したグループにユーザーを追加するには、[Groups] 組織単位の下位にある [Domain Recovery Agents] を右クリックし、[プロパティ] をクリックして、[メンバ] タブをクリックします。

  4. [追加] をクリックし、「Administrator」を入力して、[OK] を 2 回クリックします。[Active Directory ユーザーとコンピュータ] スナップインを閉じます。

Domain Recovery Agents グループを EFS 回復テンプレートに追加するには

この手順を使用すると、Domain Recovery Agents グループ内のユーザーが回復証明書を要求できるようになります。

  1. [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[管理ツール] をポイントし、[Active Directory サイトとサービス] をクリックします。

  2. [Active Directory サイトとサービス] をクリックし、[表示] メニューの [サービス ノードの表示] をクリックします。

  3. 左側のペインの [Services] の横にあるプラス記号 (+) をクリックします。同様にして Public Key Services フォルダを展開します。

  4. 左側のペインの [Certificate Templates] をクリックし、右側のペインの [EFSRecovery] をダブルクリックします。

  5. [セキュリティ] タブをクリックし、[追加] をクリックします。

  6. [選択するオブジェクト名を入力してください] に「Domain Recovery Agents」を入力し、[OK] をクリックします。

  7. [グループ名またはユーザー名] 結果ペインで、[Domain Recovery Agents] をクリックします。図 5 に示すように、[Domain Recovery Agents のアクセス許可] ペインで、[読み取り] と [登録] の [許可] チェック ボックスをオンにします。

    図 5. EFS 回復証明書テンプレート

    図 5. EFS 回復証明書テンプレート

  8. [OK] をクリックし、[Active Directory サイトとサービス] スナップインを閉じます。

ファイル回復証明書を要求するには

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。「mmc」と入力して [OK] をクリックします。

  2. [ファイル] メニューの [スナップインの追加と削除] をクリックし、[追加] をクリックします。

  3. [証明書] をダブルクリックして [ユーザー アカウント] を選択し、[完了] をクリックします。[閉じる] をクリックし、[OK] をクリックします。

  4. [証明書 - 現在のユーザー] の横にあるプラス記号 (+) をクリックし、フォルダを展開します。

  5. 左側のペインの [個人] フォルダを右クリックして [すべてのタスク] をポイントし、[新しい証明書の要求] をクリックします。証明書の要求ウィザードが起動します。

  6. ウィザードの最初のページには、説明が表示されます。[次へ] をクリックします。

  7. 証明書テンプレートの一覧が表示されます。図 6 に示すように [EFS 回復エージェント] をクリックし、[次へ] をクリックします。

    図 6. 証明書の種類の選択

    図 6. 証明書の種類の選択
    拡大表示する

  8. 他の証明書と区別するためのフレンドリ名を入力し、必要に応じて説明を追加します。[次へ] をクリックし、[完了] をクリックして証明書を要求します。

  9. [OK] をクリックし、証明書の要求が完了したことを確認します。

ドメイン全体に対する EFS 回復ポリシーを作成するには、前述の説明で作成した EFS 回復エージェント証明書を .cer 形式でエクスポートする必要があります。回復証明書の保護されたバックアップ (.pfx) を作成するには、「暗号化証明書と秘密キーをバックアップするには」で説明した手順に従ってください。

証明書を .cer 形式でエクスポートし、ドメイン全体に適用されているポリシーを使って割り当てるには

  1. MMC コンソールで、[個人] フォルダを展開します。

  2. 右側のペインで、前述の手順で作成した証明書を右クリックし、[すべてのタスク] をポイントして [エクスポート] をクリックします。[次へ] をクリックし、エクスポート プロセスを開始します。

  3. [いいえ、秘密キーをエクスポートしません] をクリックし、[次へ] をクリックします。

  4. 既定の .cer ファイル形式を選択し、[次へ] をクリックします。

  5. ファイルのパスと名前を入力し、[次へ] をクリックします。

  6. [完了] をクリックし、[OK] をクリックして、エクスポートを実行します。

  7. MMC コンソールを閉じます。

ドメイン全体に対する回復ポリシーの設定

回復エージェントとして識別された証明書が発行されたら、ドメイン管理者は、これらの証明書を回復ポリシーに追加できます。

回復ポリシーに証明書を追加するには

  1. [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[管理ツール] をポイントし、[ドメイン セキュリティ ポリシー] をクリックします。

  2. [セキュリティの設定] を展開し、[公開キーのポリシー] の横にあるプラス記号 (+) をクリックし、[ファイル システムの暗号化] をクリックします。

  3. [ファイル システムの暗号化] を右クリックし、[データ回復エージェントの追加] をクリックします。ウィザードが起動したら、[次へ] をクリックします。

  4. [フォルダの参照] をクリックし、前の節で作成した .cer ファイルを探して開きます。

  5. [はい] をクリックしてから、[次へ] をクリックし、[完了] をクリックします。

特定の組織単位に対する回復ポリシーの設定

ドメイン内にあるコンピュータのサブセットに対して固有の回復ポリシーを設定するように要求されることがあります。これはグループ ポリシー オブジェクト (GPO) を使用することで実現できます。前述の手順を、ドメイン レベルに対してではなく組織単位 (OU) レベルで繰り返します。

ファイルまたはフォルダの回復

ユーザーがキーを紛失したり、会社を辞めたりした場合、または法務上の要求などにより、回復エージェントがファイルやフォルダを復元する必要が生じる場合があります。その場合の回復手順は、回復キーをシステム上で一度有効にしてから暗号化を解除する方法と似ています。

ファイルまたはフォルダを回復するには

  1. 対象のシステムからファイルまたはフォルダを .bkf ファイルにバックアップします。

  2. .bkf ファイルをセキュリティで保護された回復エージェントのあるコンピュータにコピーします。

  3. 回復エージェントは、.bkf ファイル内のファイルやフォルダをセキュリティで保護されたシステム上にローカルに復元する必要があります。

  4. 回復エージェントは、インストール済みの回復キーを使って、ファイルを開いたり、エクスプローラのプロパティ ダイアログ ボックスで個々のファイルまたはフォルダ全体の暗号化を解除したりすることができます。

特定のコンピュータ セットの EFS 設定の無効化

スタンドアロン コンピュータまたは組織単位内にあるコンピュータに対して、EFS を無効にする必要性が生じる場合があります。このような場合、最良の対策は、空の回復ポリシーを設定することです。これは、ローカルなグループ ポリシー スナップインを使用するか、空の回復ポリシーを使って組織単位レベルで GPO を定義することによって、ローカルに実現できます。

メモ 空のポリシーを設定することと、ポリシーを設定しないことには、次のような違いがあります。ポリシーが有効な Active Directory 内ではディレクトリ ツリー内のさまざまなレベルで定義された GPO が蓄積されます。上位レベルのノード (たとえば、ドメイン ノードなど) に回復ポリシーが設定されていない場合は、下位レベルのポリシーが有効になります。上位レベルのノードに空の回復ポリシーが設定されている場合は、回復証明書の効力がなくなり、EFS は無効になります。ポリシーが設定されたコンピュータ (スタンドアロンまたはドメインに参加しているコンピュータ) は、EFS をコンピュータ上で有効にするために少なくとも 1 つ以上の回復証明書を有効にする必要があります。したがって、特定のコンピュータで、回復ポリシーが設定されていない場合と、空の回復ポリシーが設定されている場合では、同様の効力 (EFS を無効にする効力) を持ちます。

ページのトップへ

関連資料

Windows Server 2003 の最新情報については、Windows Server 2003 の Web サイト https://www.microsoft.com/japan/windowsserver2003/ を参照してください。

ページのトップへ