データ復旧関連技術文書

EFS(Encrypting File System)とは

ファイル暗号化機能のひとつで、Windows 2000/XPが備えているファイルシステムのNTFSが持つ機能のことである。暗号化されたデータは、暗号化を行ったユーザのみが復号化できる。このため、他に同じファイルにアクセス権を持つユーザがいても、データを復号化できないためにアクセスが不可能になる。ファイルやフォルダに「属性」として設定されることで、暗号化属性が付加されたファイルはディスク上に暗号化された状態で記録される仕組みである。

EFS を使用してデータ ファイルを暗号化し、許可のないアクセスを阻止することができます。EFS は、ファイルを暗号化するのに動的に生成される暗号化キーを使用します。ファイル暗号化キー (FEK) は、EFS 公開キーを使用して暗号化され、データ復号化フィールド (DDF) と呼ばれる EFS 属性としてファイルに追加されます。FEK の暗号化を解除するには、公開キーと秘密キーのペアに対応する EFS 秘密キーを使用する必要があります。FEK の暗号化を解除した後、FEK を使用してファイルの暗号化を解除できます。

EFS 秘密キーを紛失した場合、回復エージェントを使用して、暗号化ファイルを回復できます。ファイルが暗号化されるたびに、回復エージェントの公開キーを使用して FEK も暗号化されます。暗号化された FEK は、データ回復フィールド (DRF) の EFS 公開キーで暗号化されたコピーと共に、ファイルに添付されます。回復エージェントの秘密キーを使用すると、FEK の暗号化を解除してから、ファイルの暗号化を解除できます。

Microsoft Windows 2000 Professional を実行しているコンピュータがワークグループのメンバまたは Microsoft Windows NT 4.0 ドメインのメンバである場合、デフォルトでは、最初にこのコンピュータにログオンしたローカル管理者がデフォルトの回復エージェントとして指定されます。Windows XP または Windows 2000 を実行しているコンピュータが Windows Server 2003 ドメインまたは Windows 2000 ドメインのメンバである場合、デフォルトでは、ドメインの最初のドメインコントローラにビルトイン Administrator アカウントがデフォルトの回復エージェントとして指定されます。

Windows XP を実行していて、ワークグループのメンバであるコンピュータには、デフォルトの回復エージェントが設定されないことに注意してください。ローカルの回復エージェントを手動で作成する必要があります。

ワークグループのメンバであるコンピュータから回復エージェントの秘密キーをエクスポートする方法
1. 回復エージェントのローカル ユーザーアカウントを使用してコンピュータにログオンします。

2. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。mmc と入力し、[OK] をクリックします。

3. [ファイル (またはコンメ[ル)] メニューの [スナップインの追加と削除] をクリックし、[追加] をクリックします。

4. [利用できるスタンドアロン スナップイン] で [証明書] をクリックし、[追加] をクリックします。

5. [ユーザー アカウント] をクリックし、[完了] をクリックします。

6. [閉じる] をクリックし、[OK] をクリックします

7. [証明書 - 現在のユーザー]、[個人] を順に展開し、[証明書] をクリックします。

8. [目的] 列に "ファイルの回復" (引用符は除く) とされた証明書を見つけます。

9. 手順 8. で見つけた証明書を右クリックし、[すべてのタスク] をポイントし、[エクスポート] をクリックします。証明書のエクスポートウィザードが起動します。

10. [次へ] をクリックします。

11. [はい、秘密キーをエクスポートします] をクリックし、[次へ] をクリックします。

12. [Personal Information Exchange – PKCS #12 (.PFX)] をクリックします。

注 : 許可されていないアクセスから秘密キーを保護するため、[強力な保護を有効にする (IE 5.0、NT 4.0 SP4 またはそれ以上が必要)] チェック ボックスもオンにすることを強くお勧めします。 [正しくエクスポートされたときは秘密キーを削除する] チェック ボックスをオンにすると、秘密キーがコンピュータから削除されるため、暗号化されたファイルの暗号化を解除することはできなくなります。

13. [次へ] をクリックします。

14. パスワードを指定し、[次へ] をクリックします。

15. ファイル名および証明書と秘密キーの保存先を指定し、[次へ] をクリックします。
注 : ファイルをディスクやリムーバブル メディア デバイスにバックアップし、バックアップを物理的に安全な場所に保管することを強くお勧めします。

16. 証明書のエクスポート ウィザードの完了ページに侮ｦされた設定を確認し、[完了] をクリックします。 ドメイン回復エージェントの秘密キーをエクスポートする。 ドメイン内の最初のドメインコントローラには、ドメインのデフォルトの回復エージェント用の秘密キーと公開証明書を含む、組み込みの Administrator プロファイルが設定されています。公開証明書は、デフォルトのドメイン ポリシーにインポートされ、グループ ポリシーを使用してドメインクライアントに適用されます。Administrator プロファイルまたは最初のドメイン コントローラが利用できない状態にある場合、暗号化ファイルの暗号化解除に使用される秘密キーは失われ、この回復エージェントを使用してファイルを回復することはできなくなります。 暗号化されたデータの回復ポリシーを検索するには、グループポリシー オブジェクト エディタ (またはグループ ポリシー) スナップインの [Default Domain Policy] を開き、[コンピュータの告ｬ]、[Windows の設定]、[セキュリティの設定]、[公開キーのポリシー] の順に展開します。 ドメインの回復エージェントの秘密キーをエクスポートするには、以下の手順を実行します。

1. ドメインで最初に昇格したドメイン コントローラを検索します。

2. ビルトイン Administrator アカウントを使用して、ドメイン コントローラにログオンします。

3. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。mmc と入力し、[OK] をクリックします。

4. [ファイル (またはコンメ[ル)] メニューの [スナップインの追加と削除] をクリックし、[追加] をクリックします。

5. [利用できるスタンドアロン スナップイン] で [証明書] をクリックし、[追加] をクリックします。

6. [ユーザー アカウント] をクリックし、[完了] をクリックします。

7. [閉じる] をクリックし、[OK] をクリックします 8. [証明書 - 現在のユーザー]、[個人] を順に展開し、[証明書] をクリックします。

9. [目的] 列に "ファイルの回復" (引用符は除く) と侮ｦされた証明書を見つけます。

10. 手順 9. で見つけた証明書を右クリックし、[すべてのタスク] をポイントし、[エクスポート] をクリックします。証明書のエクスポートウィザードが起動します。

11. [次へ] をクリックします。

12. [はい、秘密キーをエクスポートします] をクリックし、[次へ] をクリックします。

13. [Personal Information Exchange – PKCS #12 (.PFX)] をクリックします。 注 : 許可されていないアクセスから秘密キーを保護するため、[強力な保護を有効にする (IE 5.0、NT 4.0 SP4 またはそれ以上が必要)] チェック ボックスをオンにすることを強くお勧めします。 [正しくエクスポートされたときは秘密キーを削除する] チェック ボックスをオンにすると、秘密キーがドメイン コントローラから削除されます。このオプションを使用することを強くお勧めします。回復エージェントの秘密キーは、ファイルの回復に必要となる場合にだけインストールするようにします。それ以外の場合、回復エージェントの秘密キーをエクスポートした後、オフラインに保存してセキュリティを維持します。

14. [次へ] をクリックします。

15. パスワードを指定し、[次へ] をクリックします。

16. ファイル名および証明書と秘密キーの保存先を指定し、[次へ] をクリックします。 注 : ファイルをディスクやリムーバブル メディア デバイスにバックアップし、バックアップを物理的に安全な場所に保管することを強くお勧めします。

17. 証明書のエクスポート ウィザードの完了ページに侮ｦされた設定を確認し、[完了] をクリックします。

EFS（Encrypting File System）暗号化復旧に関しては復旧専門家とご相談下さい。