Windows EFSを使用したファイル暗号化

Windows BitLocker と同様に、暗号化ファイル システム (EFS) は Windows に組み込まれた公開キー ベースの暗号化メカニズムであり、NTFS パーティション上のファイルとフォルダーを暗号化し、ディスク上のデータをリアルタイムかつ透過的に暗号化できます。

暗号化操作

暗号化方法はユーザーにとって透過的です。ファイルが暗号化された後は、手動で復号化する必要はありません。ユーザーは暗号化されたファイルを自動的に開くことができますが、他のユーザーは暗号化されたファイルを開くことができません。

暗号化方法は非常に簡単です。NTFS パーティションの任意のディレクトリまたはファイルで、暗号化するファイルまたはフォルダを右クリックし、「プロパティ」をクリックし、「全般」タブで「詳細設定」ボタンをクリックします。ポップアップ ウィンドウで、「内容を暗号化してデータを保護する」チェックボックスをオンにし、「OK」をクリックすると、ファイルを閉じるときに暗号化されます。

デフォルトでは、EFS によって暗号化されたファイルまたはフォルダーはエクスプローラーに緑色で表示され、ファイルまたはフォルダーが EFS によって暗号化されていることを示します。

ファイルを暗号化する必要がなくなった場合は、ファイルのプロパティのチェックボックスをオフにするだけです。

キーのバックアップ

ESF 暗号化操作は簡単ですが、ユーザーがシステムを再インストールすると、元のユーザー名とパスワードを使用しても、EFS 暗号化ファイル (フォルダー) を開くことができなくなります。したがって、ユーザーは、システムを再インストールしても暗号化ファイルを開くことができるように、キーを適時にバックアップする必要があります。

暗号化操作後、Windows システムのステータス バーに、暗号化キーをバックアップするように自動的にプロンプ​​トが表示されます。クリックすると、「ファイル暗号化証明書とキーのバックアップ」ダイアログ ボックスが表示されます。「今すぐバックアップ」を選択すると、証明書のエクスポート ウィザードが表示されます。

「次へ」をクリックし、エクスポート ファイル形式オプションでデフォルトの「個人情報交換」を選択します。

「次へ」をクリックし、パスワードを入力します。このパスワードは、証明書を回復するために使用されるパスワードです。次に「次へ」をクリックし、保存アドレスを選択すると、証明書ファイルを正常にエクスポートできます。

ユーザーがステータス バーの画像をクリックしてすぐにキーをバックアップしなくても問題ありません。また、メニューの [スタート] - [実行] をクリックし、certmgr.msc と入力して証明書マネージャーを開き、[個人] - [証明書] をクリックして、キーを手動でバックアップすることもできます。以前に暗号化操作を実行したことがある場合は、右側のウィンドウに同じユーザー名の証明書が表示されます。証明書が複数ある場合は、[使用目的] で [暗号化ファイル システム] を選択し、[証明書] を右クリックして、メニューで [すべてのタスク] - [エクスポート] を選択します。

その後、「証明書のエクスポート ウィザード」ウィンドウがポップアップ表示されます。ウィンドウで「秘密キーのエクスポート」を選択し、ウィザードの要件に従って、エクスポートされた秘密キーを保護するためのパスワードを入力します。証明書を保存するディレクトリを選択し、最後に証明書ファイルのエクスポートを完了します。

暗号化の利点

EFS 暗号化は、公開キー暗号化戦略に基づいています。高速対称暗号化アルゴリズムを使用して、ランダムに生成されたファイル暗号化キー (FEK) でファイルまたはフォルダーを暗号化します。異なるファイルまたはフォルダーを暗号化するには、異なるキーが使用されます。

EFS 暗号化のユーザー認証プロセスは、Windows にログインするときに実行されます。Windows にログインしている限り、許可された暗号化ファイルを開くことができます。そのため、ユーザーは EFS によって暗号化されたフォルダーやファイルの暗号化効果をほとんど感じられません。

操作面では、EFS パスワードとユーザーの Windows ログイン パスワードが統合されているため、パスワードを入力しなくてもファイルを復号化でき、操作が非常に便利です。

暗号化の欠点

ただし、EFS 暗号化には Bitlocker と比較していくつかの重大な欠点があります。

まず、システムを再インストールする前に暗号化証明書をバックアップしていない場合、システムを再インストールした後、EFS で暗号化されたフォルダー内のファイルを開くことができなくなります。ユーザーが元のパスワードでログインしても、ファイルを復号化することはできません。

第二に、複数のユーザーが同じコンピューターを操作する場合、他のユーザーは暗号化されたファイルの内容を見ることはできませんが、暗号化されたフォルダー名とファイル名は見ることができるため、一部の情報を得ることができます。また、暗号化時にデフォルトのアクセス許可が使用されると、他のユーザーも EFS 暗号化されたファイルとフォルダーを削除できます。したがって、EFS 暗号化を使用する場合、ユーザーは「プロパティ」-「セキュリティ」オプションでファイルまたはフォルダーのアクセス許可を設定し、他のユーザーがそれらを表示または削除できないようにする必要があります。

複数のユーザーが同じコンピューターを使用する場合、興味深い状況が発生します。複数のユーザーが管理者権限を持っている場合、別のユーザーのパスワードを変更してこのユーザーとしてシステムにログインすると、そのユーザーのパスワードが他のユーザーによって変更されているため、EFS で暗号化されたファイルにアクセスできなくなります。ただし、ユーザーが自分でパスワードを変更した場合 (変更するには古いパスワードを入力する必要があります)、ユーザーは引き続き EFS で暗号化されたファイルを開くことができます。

アクセス許可が設定されていない EFS 暗号化ファイルを復号化するための前提条件は、ユーザー アカウントのログイン パスワードを知っていることと、削除されたアカウントのプロファイルが存在することです。これは、暗号化された秘密キーとマスター キー (証明書と公開キーを含む) がすべてプロファイルに保存されるためです。上記の 2 つの条件が満たされている場合は、まず古いプロファイルから削除されたアカウントの SID を取得します (プロファイル ディレクトリ \Application Data\Microsoft\Crypto\RSA の下に、アカウントの SID にちなんで名付けられたフォルダーがあります)。次に、新しいユーザーを作成し、newsid ツールを使用して SID を元の SID と同じに変更します。次に、新しいユーザーでログインし、ファイルをランダムに暗号化してからログアウトし、新しいユーザーのプロファイルを古いプロファイルで上書きし、新しいユーザーでログインして他のファイルを復号化します。

Bitlocker と EFS の比較

Bitlocker は主にドライブ全体、外付けハードディスク、USB フラッシュドライブなどを暗号化するために使用されますが、EFS は主に単一のファイルまたはフォルダーを暗号化するために使用されます。

Bitlocker はユーザー アカウントに依存せず、すべてのユーザーに対して同じ状態 (オンまたはオフ) になります。EFS 暗号化はユーザー アカウントに依存します。コンピューターに複数のユーザーがいる場合、各ユーザーは自分のファイルを個別に暗号化できます。

Bitlocker は管理者ユーザーのみが使用できますが、EFS は管理者権限がなくても使用できます。

元のタイトル: Windows EFS を使用したファイル暗号化

キーワード: Windows