Image: データ回復エージェントを作成する [Win10]

EFS(暗号化ファイルシステム)で使うデータ回復エージェントを作成して運用対象の回復ポリシーに追加する方法。Windows 10 Proを使用。あくまで個人的なメモ。

EFSで暗号化されたファイルは原則それを作成・更新したユーザーでしかアクセスできない。他のユーザーの証明書(PFXファイル)をインポートすれば、ファイル・フォルダー個々に対して複数のユーザーで共有するよう設定できる。

何かしらの理由で暗号化を行ったユーザーを使用できなくなった場合でも、そのユーザーの証明書(PFXファイル)のバックアップがあれば、それをインポートすることで暗号化ファイルにアクセスすることができる。ただ、管理するユーザーやコンピューターが複数になると煩雑になってくる。

そこで、回復エージェントを作成して運用先の回復ポリシーで回復エージェントを追加することで、既定で暗号化ファイルに回復証明書の公開鍵暗号化FEKを埋め込むように設定する。

回復エージェントを作成する

Windows Serverのドメイン環境ではグループポリシーの設定(ローカルコンピューターポリシー\コンピューターの構成\Windows の設定\セキュリティの設定\公開キーのポリシー\暗号化ファイルシステム)から回復エージェントを作成できる。スタンドアロンのWindowsクライアントでは、回復エージェントの作成はコマンドプロンプトでのみサポートされている。

回復エージェントを作成するにはcipher /r:保存ファイル名コマンドを使用する。このコマンドも自己署名証明書を作成するcipher /kコマンドと同様に、/ecc:Nスイッチ(Nはキーサイズ)を付けることでECC(楕円曲線暗号)アルゴリズムによるキー・証明書を発行できる。

C:\Users\aktst>cipher /r:aktst_recovagent
.PFX ファイルを保護するためのパスワードを入力してください:
確認のためにパスワードを再入力してください:


.CER ファイルが正しく作成されました。
.PFX ファイルが正しく作成されました。

C:\Users\aktst>

コマンドを実行すると回復証明書のCERファイル(公開鍵)とPFXファイル(秘密鍵)が作成される。CERファイルは回復ポリシーを運用する(=暗号化する)コンピューターで使用する。PFXファイルは回復ポリシーを適用した環境で作成された暗号化ファイルにアクセス(回復)する際にインポートして使用する。そのため、こちらは厳重に保管する必要がある。

回復エージェントを適用する

回復ポリシーを運用するコンピューターにCERファイルを持ってくる。

スタートメニューの検索ボックス(Cortana)に「secpol.msc」と入力。あるいはコントロールパネル→システムとセキュリティ→管理ツール を開いて、ローカルセキュリティーポリシーを開く。

公開キーのポリシー→暗号化ファイルシステムを開く。右クリックして「データ回復エージェントの追加」を選択。

そこに先ほど持ってきたCERファイルを指定する。

Image: 回復エージェントの追加ウィザードImage: 回復エージェントの追加ウィザード

以後アクセス・更新された暗号化ファイルには回復エージェントが適用される。

Image: 暗号化ファイルのユーザーアクセスImage: 暗号化ファイルのユーザーアクセス

参考サイト


comments powered by Disqus

※コメント欄が表示されない場合はdisqusについてJavascriptが有効であることを確認して下さい.

(C) 2008-2017 akm. This blog theme is based on sakmug. Hosted by Xdomain