Windows で回復エージェント暗号化ファイル システム (EFS) 秘密キーをバックアップする

  • [アーティクル]

この記事では、コンピューター上の回復エージェント暗号化ファイル システム (EFS) 秘密キーをバックアップする方法について説明します。

適用対象: Windows 7、Windows Server 1、Windows Server 2012 R2
元の KB 番号: 241201

概要

回復エージェントの秘密キーを使用して、ローカル コンピューターにある EFS 秘密キーのコピーが失われた場合にデータを回復します。 この記事では、証明書のエクスポート ウィザードを使用して、ワークグループのメンバーであるコンピューター、および Windows Server 2003 ベース、Windows 2000 ベース、Windows Server 2008 ベース、または Windows Server 2008 R2 ベースのドメイン コントローラーから回復エージェントの秘密キーをエクスポートする方法について説明します。

概要

この記事では、Windows Server 2003、Windows 2000、Windows XP、Windows Vista、Windows 7、Windows Server 2008、および Windows Server 2008 R2 の回復エージェント暗号化ファイル システム (EFS) 秘密キーをバックアップする方法について説明します。 回復エージェントの秘密キーを使用して、ローカル コンピューターにある EFS 秘密キーのコピーが失われた場合にデータを回復できます。

EFS を使用してデータ ファイルを暗号化し、未承認のアクセスを防ぐことができます。 EFS は、ファイルを暗号化するために動的に生成される暗号化キーを使用します。 ファイル暗号化キー (FEK) は EFS 公開キーで暗号化され、データ復号化フィールド (DDF) という名前の EFS 属性としてファイルに追加されます。 FEK の暗号化を解除するには、公開と秘密キーのペアから対応する EFS 秘密キーが必要です。 FEK の暗号化を解除した後、FEK を使用してファイルの暗号化を解除できます。

EFS 秘密キーが失われた場合は、回復エージェントを使用して暗号化されたファイルを回復できます。 ファイルが暗号化されるたびに、FEK も Recovery エージェントの公開キーで暗号化されます。 暗号化された FEK は、データ回復フィールド (DRF) の EFS 公開キーで暗号化されたコピーを含むファイルにアタッチされます。 回復エージェントの秘密キーを使用する場合は、FEK の暗号化を解除してから、ファイルの暗号化を解除できます。

既定では、Microsoft Windows 2000 Professional を実行しているコンピューターがワークグループのメンバーであるか、Microsoft Windows NT 4.0 ドメインのメンバーである場合、最初にコンピューターにログオンするローカル管理者は既定の回復エージェントとして指定されます。 既定では、Windows XP または Windows 2000 を実行しているコンピューターが Windows Server 2003 ドメインまたは Windows 2000 ドメインのメンバーである場合、ドメイン内の最初のドメイン コントローラーの組み込み管理者アカウントは既定の回復エージェントとして指定されます。

Windows XP を実行していて、ワークグループのメンバーであるコンピューターには、既定の回復エージェントがありません。 ローカル復旧エージェントを手動で作成する必要があります。

重要

秘密キーをフロッピー ディスクまたはその他のリムーバブル メディアにエクスポートした後、フロッピー ディスクまたはメディアを安全な場所に保存します。 誰かが EFS 秘密キーにアクセスすると、そのユーザーは暗号化されたデータにアクセスできます。

ワークグループのメンバーであるコンピューターから回復エージェントの秘密キーをエクスポートする

ワークグループのメンバーであるコンピューターから回復エージェントの秘密キーをエクスポートするには、次の手順に従います。

  1. 回復エージェントのローカル ユーザー アカウントを使用してコンピューターにログオンします。

  2. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、「mmc」と入力し、[OK] をクリックします。

  3. [ファイル] メニューの [スナップインの追加と削除] をクリックします。 次に、Windows Server 2003、Windows XP、または Windows 2000 で [ 追加 ] をクリックします。 または、Windows Vista、Windows 7、Windows Server 2008、または Windows Server 2008 R2 で [OK] をクリックします

  4. [ 使用可能なスタンドアロン スナップイン] で、[ 証明書] をクリックし、[ 追加] をクリックします。

  5. [ マイ ユーザー アカウント] をクリックし、[完了] をクリック します

  6. [ 閉じる] をクリックし、Windows Server 2003、Windows XP、または Windows 2000 で [OK] をクリックします 。 または、Windows Vista、Windows 7、Windows Server 2008、または Windows Server 2008 R2 で [OK] をクリックします

  7. [証明書 - 現在のユーザー] をダブルクリックし、[個人用] をダブルクリックし、[証明書] をダブルクリックします。

  8. [目的] 列に "File Recovery" という単語 (引用符なし) を表示 する証明書を 見つけます。

  9. 手順 8 で見た証明書を右クリックし、[ すべてのタスク] をポイントし、[ エクスポート] をクリックします。 証明書のエクスポート ウィザードが起動します。

  10. [次へ] をクリックします。

  11. [はい] をクリックし 、秘密キーをエクスポートし、[ 次へ] をクリックします。

  12. [ 個人情報の交換 - PKCS] #12 () をクリックします。PFX)。

    注:

    [強力な保護を有効にする] をクリックすることも強くお勧めします (未承認のアクセスから秘密キーを保護するには、IE 5.0、NT 4.0 SP4 以上チェックボックスが必要です。

    [エクスポートが成功した場合は秘密キーを削除する] をクリックチェックボックスをクリックすると、秘密キーがコンピューターから削除され、暗号化されたファイルの暗号化を解除できなくなります。

  13. [次へ] をクリックします。

  14. パスワードを指定し、[ 次へ] をクリックします。

  15. 証明書と秘密キーをエクスポートするファイル名と場所を指定し、[ 次へ] をクリックします。

    注:

    ファイルをディスクまたはリムーバブル メディア デバイスにバックアップしてから、バックアップの物理的なセキュリティを確認できる場所にバックアップを保存することをお勧めします。

  16. [証明書のエクスポート ウィザードの完了] ページに表示される設定を確認し、[完了] をクリック します

ドメイン回復エージェントの秘密キーをエクスポートする

ドメイン内の最初のドメイン コントローラーには、ドメインの既定の回復エージェントの公開証明書と秘密キーを含む組み込みの管理者プロファイルが含まれています。 パブリック証明書は既定のドメイン ポリシーにインポートされ、グループ ポリシーを使用してドメイン クライアントに適用されます。 管理者プロファイルまたは最初のドメイン コントローラーが使用できなくなった場合は、暗号化されたファイルの暗号化解除に使用される秘密キーが失われ、その回復エージェントを介してファイルを回復することはできません。

暗号化されたデータ復旧ポリシーを見つけるには、グループ ポリシー オブジェクト エディター スナップインで既定のドメイン ポリシーを開き、[コンピューターの構成]、[Windows の設定]、[セキュリティ設定] の順に展開し、[公開キー ポリシー] を展開します。

ドメイン回復エージェントの秘密キーをエクスポートするには、次の手順に従います。

  1. ドメインで昇格された最初のドメイン コントローラーを見つけます。

  2. 組み込みの管理者アカウントを使用して、ドメイン コントローラーにログオンします。

  3. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、「mmc」と入力し、[OK] をクリックします。

  4. [ファイル] メニューの [スナップインの追加と削除] をクリックします。 次に、[Windows Server 2003 または Windows 2000 で 追加 ] をクリックします。 または、Windows Server 2008 または Windows Server 2008 R2 で [OK] をクリックします

  5. [ 使用可能なスタンドアロン スナップイン] で、[ 証明書] をクリックし、[ 追加] をクリックします。

  6. [ マイ ユーザー アカウント] をクリックし、[完了] をクリック します

  7. [ 閉じる] をクリックし、Windows Server 2003 または Windows 2000 で [OK] をクリックします 。 または、Windows Server 2008 または Windows Server 2008 R2 で [OK] をクリックします

  8. [証明書 - 現在のユーザー] をダブルクリックし、[個人用] をダブルクリックし、[証明書] をダブルクリックします。

  9. [目的] 列に "File Recovery" という単語 (引用符なし) を表示 する証明書を 見つけます。

  10. 手順 9 で見た証明書を右クリックし、[ すべてのタスク] をポイントし、[ エクスポート] をクリックします。 証明書のエクスポート ウィザードが起動します。

  11. [次へ] をクリックします。

  12. [はい] をクリックし 、秘密キーをエクスポートし、[ 次へ] をクリックします。

  13. [ 個人情報の交換 - PKCS] #12 () をクリックします。PFX)。

    注:

    [強力な保護を有効にする] をクリックすることを強くお勧めします (未承認のアクセスから秘密キーを保護するには、[IE 5.0、NT 4.0 SP4 以上のチェック] ボックスが必要です。

    [エクスポートに成功した場合は秘密キーを削除する] チェッククリックすると、ドメイン コントローラーから秘密キーが削除されます。 ベスト プラクティスとして、このオプションを使用することをお勧めします。 回復エージェントの秘密キーは、ファイルを回復するために必要な場合にのみインストールします。 それ以外の場合は、セキュリティを維持するために、復旧エージェントの秘密キーをエクスポートし、オフラインで保存します。

  14. [次へ] をクリックします。

  15. パスワードを指定し、[ 次へ] をクリックします。

  16. 証明書と秘密キーをエクスポートするファイル名と場所を指定し、[ 次へ] をクリックします。

    注:

    ファイルをディスクまたはリムーバブル メディア デバイスにバックアップしてから、バックアップの物理的なセキュリティを確認できる場所にバックアップを保存することをお勧めします。

  17. [証明書のエクスポート ウィザードの完了] ページに表示される設定を確認し、[完了] をクリック します