暗号化ファイル システム (EFS) をインターネット インフォメーション サービスで使用する方法

サポートが終了した KB の内容についての免責事項

この記事は、マイクロソフトがサポートを提供しなくなった製品について記述しています。 したがって、この記事は「現状のまま」で提供され、更新されることはありません。

マイクロソフトでは、Microsoft Windows Server 2003 で実行される Microsoft インターネット インフォメーション サービス (IIS) 6.0 にアップグレードすることを、すべてのユーザーに強く推奨します。IIS 6.0 により、Web インフラストラクチャのセキュリティが大幅に強化されます。IIS のセキュリティ関連のトピックについては、次のマイクロソフト Web サイトを参照してください。

概要

Microsoft Windows 2000 では、暗号化ファイル システム (EFS) と呼ばれるセキュリティ技術が採用されており、これによりユーザーはファイルの暗号化や暗号化解除を行うことができます。Windows ユーザーは EFS を利用して、重要なファイルに対する権限のないアクセスを防止することができます。この資料では、この技術を使用して、個人的な Web ドキュメントを暗号化し、セキュリティを高める方法について概説します。

詳細

警告 : System 属性を持つファイルでは、EFS による暗号化は失敗します。管理者は、この保護機能を解除してシステム ディレクトリ内のファイルを暗号化しないでください。暗号化解除に必要な秘密キーは、ブート処理中は使用できません。したがって、システム ファイルが暗号化されると、システムは使用できなくなります。Windows の今後のバージョンには、システム ファイルの暗号化をサポートするセキュリティ保護されたブート機能が含まれる可能性があります。


オプションの詳細なファイル属性を使用することにより、Windows 2000 内のドキュメントで EFS を有効にすることができます。この機能を実装するには、以下の手順を実行します。
  1. エクスプローラで、SecureTest という名前の新規フォルダを Web サイトのルート フォルダに作成します。
  2. この新規フォルダに、次の Active Server Pages (ASP) コードを Default.asp という名前で保存します。
    <html>
    <body>
    You are logged on as:
    &quot;<b><%=Request.ServerVariables("LOGON_USER")%></b>&quot;
    </body>
    </html>
  3. Default.asp ファイルを右クリックし、[プロパティ] をクリックします。
  4. [詳細] をクリックします。
  5. [内容を暗号化してデータをセキュリティで保護する] チェック ボックスをオンにします。
  6. [OK] をクリックします。
  7. もう一度 [OK] をクリックします。
  8. 親フォルダを暗号化するかどうかを確認するメッセージが表示されたら、[ファイルだけを暗号化] をクリックし、[OK] をクリックてエクスプローラに戻ります。
http://<servername>/SecureTest/default.asp ページを参照すると、このページでは認証が要求され、ユーザー名が表示されます。Web サイト全体で匿名認証が有効になっている場合でも同様です。これは、EFS で暗号化されたファイルは個人的なファイルであり、ファイルを暗号化したユーザーのみが参照可能であるためです。使用される認証方法は、Web サイトの構成により、基本認証 (クリア テキスト)、Windows 統合認証、ダイジェスト認証のいずれかです。


以下に、EFS に関する推奨事項を示します。
  • データ回復証明書に関連付けられた秘密キーを保護します。複雑なパスワードで保護されている .pfx (Personal Information Exchange) ファイルに秘密キーをエクスポートします。.pfx ファイルをフロッピー ディスクに保存し、安全な場所に保管しておきます。
  • 個々のファイルではなくフォルダを暗号化します。エクスプローラでは、フォルダ レベルの暗号化のみが可能です。ただし、Cipher.exe ファイルでは個々のファイルを暗号化できます。アプリケーションにより、ファイルの処理方法はさまざまです。たとえば、あるアプリケーションでユーザーがファイルを編集すると、元のフォルダと同じフォルダに一時ファイルが作成される場合があります。フォルダ レベルで暗号化すると、これらの一時ファイルが通常のテキスト形式で作成されることや保存されることを防止できます。
  • マイ ドキュメント フォルダ (%UserProfile%\My Documents) を暗号化し、多くの Microsoft Office ドキュメントの保存先となる個人用フォルダがデフォルトで暗号化されるようにします。
  • 一時フォルダ (%TEMP%) を暗号化し、さまざまなアプリケーションで作成される一時ファイルが暗号化されるようにします。

関連情報

Windows ファイル保護の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

222193 Windows ファイル保護機能について
Web サイトの認証方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

264921 [INFO] IIS におけるブラウザ クライアントの認証方法
222028 [IIS] IIS 5.0 でダイジェスト認証を有効にする方法
プロパティ

文書番号:243756 - 最終更新日: 2006/09/04 - リビジョン: 1

フィードバック