Windows XP Professional のスタンドアロン環境 (ドメイン環境でないシステム) で暗号化ファイルシステム (EFS: Encrypting File System) を使う場合の注意点

〔目次〕　　〔全項展開〕

• 証明書をエクスポートすること − パスワードを覚えているだけではダメである
• Windows XP Professional で陥りがちな落とし穴
• 回復エージェント用の 秘密鍵ファイル (EFS DRA 証明書) の作成方法

各ユーザーの EFS 証明書（秘密鍵つきの .PFX ファイル）の作成作業は、そのユーザーが既に自分のユーザー プロファイルに持っている証明書をファイルに書き出すことで行われ、「エクスポート」と呼ばれる。それには cipher.exe の /x パラメータを使っても良いし、インターネット オプションの「コンテンツ」の「証明書」の「個人」タブからのエクスポートでもできる。その方法は

【暗号化ファイル システムの最善の使用方法】

http://support.microsoft.com/kb/223316/ja/

1. Microsoft Internet Explorer を起動します。
2. [ツール] メニューの [インターネット オプション] をクリックします。
3. [コンテンツ] タブの [証明書] グループにある [証明書] をクリックします。
4. [個人] タブをクリックします。
   注 : 他の目的で証明書をインストールした場合は、複数の証明書が存在することもあります。
5. [証明書の目的] に "暗号化ファイル システム" と表示されるまで、1 つずつ順に証明書をクリックしていきます。このように表示される証明書が、最初にフォルダを暗号化したときに生成された証明書です。
6. [エクスポート] をクリックして、証明書のエクスポート ウィザードを起動し、[次へ] をクリックします。
7. 秘密キーをエクスポートするには、[はい、秘密キーをエクスポートします] をクリックし、[次へ] をクリックします。
8. [強力な保護を有効にする] チェック ボックスをオンにし、[次へ] をクリックします。
9. パスワードを入力し、[次へ] をクリックします (秘密キーを保護するためのパスワードが必要です)。
10. キーを保存する場所のパスを指定します。キーは、フロッピー ディスク、ハード ディスク上の別の場所、または CD に保存できます。ハードディスクで障害が発生したり再フォーマットが行われたりした場合、キーとバックアップしたキーの両方が失われることになります (キーをフロッピーディスクや CD にバックアップした場合は、そのディスクや CD を安全な場所に保管する必要があります)。
11. 保存先を指定し、[次へ] をクリックします。

の手順で行える。このファイルはインポートすると、「目的」が「暗号化ファイル システム」と表示される。

作成した EFS 証明書 (.PFX ファイル) は、リムーバブルメディアに移して金庫などの安全な場所に保管しておく。それも一カ所だけでなく、コピーを作って複数の場所に保管する。証明書ファイルにもバックアップは必要だからである。また、対象となる PC からは削除しておくこと。これは PC が盗難にあった場合に暗号化ファイルが解読される危険を減らすためである。.PFX ファイルは作成時のパスワードで守られているだけなので、パスワードの安全性 (たいてい弱い) に依存している危険なファイルである。ユーザーの秘密鍵は PC 内のユーザー プロファイルにも (ログオン パスワードに守られて) 存在しているが、危険を増やす必要はもちろんないからである。

• EFS 証明書／EFS DRA 証明書のインポート
• 複数のPC／ユーザー間で暗号化ファイルを使うには
• やってはいけないこと
• モバイル PC に EFS を使う場合の注意点
• エクスポートした秘密鍵のバックアップを作成することの重要性
• 暗号化ファイルをメールで転送する方法
• 秘密鍵をエクスポートしていないのに Windows を再インストールしてしまったら
• lsass.exe 関連のトラブル
• Windows 7 で Windows XP と互換の EFS を使用する
• ネットワーク ファイル共有で EFS を使用する (Windows 7 以降)

〔目次〕　　〔全項展開〕