Data Encryption Toolkit for Mobile PCs : 計画および実装ガイド第 3 章 : 運用および回復のシナリオ

第 3 章 : 運用および回復のシナリオ

公開日: 2007年9月14日

ダウンロード

Data Encryption Toolkit for Mobile PCs を入手する (英語)

このガイドで説明しているとおり、Microsoft® BitLocker™ ドライブ暗号化 (以下「BitLocker」) や暗号化ファイル システム (以下「EFS」) で保護されているコンピュータを継続的に運用および保守するためには、さまざまなシナリオに対する計画を立てておく必要があります。シナリオの中には複雑なものもあります。この章では、次のような組織が対応する必要のある主なシナリオについて説明します。

• EFS で保護されたシステムからデータを回復する。

• BitLocker で保護されたシステムからデータを回復する。

トピック

BitLocker ドライブ暗号化のシナリオ
暗号化ファイル システムのシナリオ
関連情報

BitLocker ドライブ暗号化のシナリオ

BitLocker の回復プロセスは、回復パスワードにアクセスできるかどうかにすべてがかかっています。したがって、すべての回復シナリオは、回復パスワードを使用できることを前提としています。次のいずれかの状況で、BitLocker データの回復が必要になります。

• BitLocker で保護されたドライブを新しいコンピュータに取り付ける。

• 新しい TPM が装備されたマザーボードにアップグレードする。

• TPM をオフにする、無効にする、またはクリアする。

• 重要な初期ブート コンポーネントをアップグレードしたため、TPM が検証プロセスに失敗する。

• PIN 認証プロセスを有効にした後に PIN を忘れる。

• スタートアップ キー認証を有効にした後に、スタートアップ キーが格納されているプラグ アンド プレイ USB フラッシュ ドライブを紛失する。

• デスクトップまたはラップトップを、組織内の他の部署または従業員のために再展開する。このような再展開作業は、異なるセキュリティ チェック方法が適用されるユーザーに対して行います。セキュリティ チェックをクリアして新しいセキュリティ レベルで使用するためには、コンピュータのデータ回復機能が必要です。

• 使用中のデスクトップのタスクを再実行する。たとえば IT 管理者は、保護されたデータを失うことなくオペレーティング システムをリモートから再インストールしなければならないことがあります。

BitLocker では、オペレーティング システム ボリューム全体が暗号化され、ボリューム キーのロックが解除された後でなければ暗号化を解除できません。ボリュームのロックを解除できない場合、オペレーティング システムが起動する前に起動プロセスが中断されます。起動プロセスのこの段階で、USB フラッシュ ドライブ経由で回復パスワードを提供するか、ファンクション キーを使用して回復パスワードを入力する必要があります (キー F1 ～ F9 は数字の 1 ～ 9 を、F10 は 0 を表します)。

注 :

回復は起動プロセスの初期段階で実行されるため、Microsoft Windows® のユーザー補助機能 (ハイコントラスト画面表示やスクリーン リーダーなど) は使用できません。このようなユーザー補助機能が必要な場合は、ユーザー補助機能に依存するユーザーを対象にした代わりの回復手順を確立できる方法を検討してください。

BitLocker の回復方法と問題点

BitLocker の回復プロセスでは、BitLocker 回復パスワードにアクセスする必要があります。このパスワードは、パスワードを作成したコンピュータに固有のものです。キーは紙に印刷して保管しておくことも、USB 起動デバイス、Active Directory® ディレクトリ サービス、またはネットワーク上のファイルに保存することもできます。ただし、キーの保持者はこのキーにアクセスすることによって、BitLocker で保護されたボリュームのロックを解除し、ボリュームに含まれるすべてのデータを読み取れるようになります。このため、回復パスワードへのアクセスを制御し、保護対象のコンピュータとは別の場所にパスワードを安全に保管する手順を確立することが、組織にとっては重要です。

ロック解除方法

BitLocker で暗号化されたディスクのロックを解除するには、次の 3 つの方法があります。

• Windows Vista™ の起動前に動作する BitLocker 回復コンソールは、ユーザーが BitLocker で暗号化されたオペレーティング システム ボリュームのロックを解除できるように設計されています。

• BitLocker コントロール パネルの回復ウィザードは、ユーザーが BitLocker で暗号化されたデータ ボリューム (非オペレーティング システム ボリューム、同じコンピュータ上の代替オペレーティング システム ボリューム、または別のコンピュータのオペレーティング システム ボリューム) のロックを解除できるように設計されています。

• Windows Vista 復元環境 (WinRE) には、BitLocker で保護されたオペレーティング システムまたはデータ ボリュームのロック解除に使用できるウィザードが含まれています。WinRE は、Windows Vista DVD から、または一部のコンピュータ メーカーの回復パーティション内から使用できます。

いずれの場合も、48 桁の回復パスワードを使用して、暗号化されたドライブへのアクセスに対するロックを解除できます。このパスワードは、使用している保護方法 (TPM、TPM と PIN、TPM とスタートアップ キーなど) に関係なく、BitLocker で暗号化された情報を回復できます。これにより、暗号化された情報を回復する BitLocker の機能が保持されます。たとえば、PIN を失っても、ユーザーは回復パスワードを入力すれば、暗号化されたドライブへのアクセスを取り戻すことができます。

回復プロセス中、BitLocker 回復コンソールには次の 2 種類の情報が表示されます。

• ドライブ ラベル。この情報は、コンピュータ名、ディスク ボリューム名、パスワード生成日の 3 つの部分から構成された文字列 (たとえば、CATAPULT OS 1/15/2007) で定義されます。

• パスワード ID。この情報は、各 BitLocker 回復パスワードを一意に識別する 32 桁の 16 進数文字列 (たとえば、4269744C-6F63-6B65-7220-697320537570) で定義されます。

ユーザーとサポート担当者は、これらの識別子を使用して、正しい回復パスワードが提供されていることを確認できます。これらの情報は、パスワードを Active Directory から取得する場合に特に役に立ちます。

ユーザーによる回復

ユーザーは、回復パスワードを使用して自分のデータを回復できます。しかし、そのためにはパスワードを知っているか、USB フラッシュ ドライブ上または別のアクセス可能な形式のパスワードにアクセスできる必要があります。正しいパスワードへのアクセス権を取得したら、起動前に動作する回復コンソールか WinRE ツールを使用してボリュームのロックを解除し、処理を再開できます。

ヘルプデスクの支援による回復

BitLocker 回復プロセスを計画する場合、まず最初に、機密情報を回復するときの組織の現状のベスト プラクティスを参照します。たとえば、Windows パスワードを紛失した場合、組織はどのような処理を行っていますか。スマート カード PIN のリセット要求を処理する際に、組織はどのような手順を使用していますか。このようなベスト プラクティスと関連リソース (従業員とツール) を参照して、BitLocker 回復モデルを策定してください。

回復プロセスの実行準備

BitLocker の展開を実行する前に、回復要求に対する準備を整え、即座に要求に応えられるようにする必要があります。

手始めに、Active Directory を使用して重要な回復情報を保存する方法が記載された「Configuring Active Directory to Back up Windows BitLocker Drive Encryption and Trusted Platform Module Recovery Information」ガイド (英語) を参照してください。このドキュメントには、回復プロセスの操作手順の確立に役立つ、多くのツールとスクリプトが含まれています。

マイクロソフトでは、BitLocker 回復情報をコンピュータ オブジェクトのプロパティとして表示できる BitLocker Recovery Password Viewer ツール ([Active Directory ユーザーとコンピュータ] MMC スナップインの拡張機能) を開発しました。この機能を使用すれば、ヘルプ デスクの担当者は回復情報に簡単にアクセスできます。アクセスを必要とするサポート担当者のみに回復情報へのアクセスを確実に制限するため、運用ポリシーと Active Directory 権限の委任に関しては慎重に検討する必要があります。

BitLocker Recovery Password Viewer を入手するには、マイクロソフト サポート技術情報 (KB) の記事 928202「Active Directory ユーザーとコンピュータ ツール用の BitLocker Recovery Password Viewer を使用して Windows Vista の回復パスワードを表示する方法」を参照してください。ツールを入手したら、KB 記事の指示に従ってインストールします。ツールをドメインに初めてインストールするときには、エンタープライズ管理者権限を持つアカウントを使用する必要があります。しかし、それ以降のインストールでは、ツールをインストールするコンピュータのローカル管理者権限を持つアカウントしか必要ありません。

注 :

回復パスワードを発行する前に、社内のどのコンピュータがどのユーザーに所属しているかを確認するユーザー識別ポリシーを確立しておくことをお勧めします。

回復の実行

ヘルプ デスクの技術者は次の回復手順を使用できます。

回復を正しく実行するには

1. ユーザーからコンピュータの名前を確認します。ユーザーがコンピュータ名を知らない場合は、(コンピュータ名が変更されていなければ) ドライブ ラベル文字列から確認できます。

2. 適切な認証メカニズムを使用してユーザーの身元を確認します。

3. Active Directory のコンピュータ オブジェクトから BitLocker 回復パスワードを取得します。この作業は、Get-BitLockerRecoveryInfo.vbs スクリプト (「Configuring Active Directory to Back up Windows BitLocker Drive Encryption and Trusted Platform Module Recovery Information」ガイド (英語) に付属) を使用して行うことができます。または、次の手順に従って、BitLocker Recovery Password Viewer を使用します (インストールされている場合)。

   1. [Active Directory ユーザーとコンピュータ] スナップインを開きます。

   2. [Active Directory ユーザーとコンピュータ] スナップインで、コンピュータが含まれているコンテナを検索してクリックします。たとえば、[Computers] コンテナをクリックします。

   3. コンピュータ オブジェクトを右クリックして、[プロパティ] をクリックします。

   4. [プロパティ] ダイアログ ボックスの [BitLocker Recovery] タブをクリックして、該当するコンピュータに関連する BitLocker 回復パスワードを表示します。

4. コンピュータ名が不明の場合は、Get-BitLockerRecoveryInfoByID.vbs スクリプトを実行するときにパスワード ID を入力として使用すると、パスワードを取得できます。または、次の手順に従って BitLocker Recovery Password Viewer を使用します。

   1. [Active Directory ユーザーとコンピュータ] スナップインで、ドメイン コンテナを右クリックして、[Find BitLocker Recovery Password] をクリックします。

   2. [Find BitLocker Recovery Password] ダイアログボックスで、[Password ID (first 8 characters)] ボックスに 8 文字の回復パスワードを入力して、[Search] をクリックします。

5. 回復パスワードをユーザーに提供します。スタートアップ キーまたは PIN が指定されていない場合、あるいはユーザーが BitLocker をオフにしていない場合、コンピュータを再起動するたびにパスワードを入力する必要があります。

6. ユーザーが PIN またはスタートアップ キーを忘れることも紛失することもしていない場合、まずは、回復プロセスが発生した原因を特定するためにシステムをチェックする準備を整えます。TPM やブート ファイルの問題など、回復プロセスが必要になるような問題点を特定して、そういった問題点を適切に処理し、他のシステムに影響を及ぼさないようにすることが重要です。

回復プロセスが必要になった根本原因が特定されたら、ドライブの BitLocker 保護をリセットすることをお勧めします。回復プロセスの発生原因に応じて、次の方法のいずれかを選択してください。

• 回復パスワードをリセットします。この方法では、新しい回復パスワードを作成して以前のパスワードをすべて無効にします。

• PIN または USB スタートアップ キーをリセットします。この方法では、紛失した PIN または USB スタートアップ キーを置き換えます。[BitLocker ドライブ暗号化] コントロール パネルの [キーの管理] リンクを使用すると、紛失した PIN をリセットしたり、USB スタートアップ キーを複製することができます。

• TPM の検証測定をリセットします。この方法では、ブート ファイルを検証するために TPM が使用するスナップショットを更新します。検証プロセスが失敗した原因がわかっていて、この障害が深刻なものではない (たとえば、既知のユーザー BIOS の更新) と判断される場合のみ、TPM 測定をリセットしてください。そうでない場合は、コンピュータをフラット化して再構築することを検討してください。

BitLocker 修復ツールの使用

ハード ディスクの損傷が激しい場合は、BitLocker 修復ツール (マイクロソフト サポート技術情報 928201「BitLocker 修復ツールを使用して Windows Vista の暗号化されたボリュームからデータを回復する方法」から入手可能) を使用すると、暗号化されたデータにアクセスできます。このツールでは、ドライブの重要な部分を再構築して回復可能なデータを回収することができます。データの暗号化を解除するには、回復パスワードまたは回復キー パッケージが必要です。このツールは、Windows Vista を起動できない場合、または BitLocker 回復コンソールを使用できない場合に使用するために設計されています。回復パスワードを入力すると、このツールは、ボリュームからボリューム固有の暗号化キーを読み取ろうと試みます。ボリューム固有のキーが破損しているか読み取り不能の場合は、回復キー パッケージを直接使用する必要があります。このツールは基本的に、回復パスワードまたはキー パッケージを使用して、ユーザーがディスクをマウントしてそこからデータの回復を試みることができるようにします。回復ツールは、ディスクのデータが読み取り可能な場合にしか利用できないことに注意してください。ディスクの損傷が激しい場合、回復ツールで暗号化されたデータを読み取って解読することはできません。

BitLocker 修復ツールを実行するには、次のものが必要です。

• BitLocker で暗号化された元のボリューム。

• 暗号化されたボリュームのデータを保存できるだけの容量があるディスク ボリューム。このような場合、外付けハード ディスクを使用して情報を保存することをお勧めします。

• 破損したボリュームの BitLocker 回復情報が格納された USB フラッシュ ディスクまたはその他の類似のリムーバブル記憶装置。

• BitLocker 修復ツール自体。

BitLocker 修復ツールを実行する手順については、このセクションの前半に紹介した KB 記事を参照してください。

ページのトップへ

暗号化ファイル システムのシナリオ

EFS の回復プロセスは、ファイル暗号化キー (FEK) を保護するために使用されるキー マテリアルにアクセスできるかどうかにかかっています。このマテリアルとなるのは、ユーザーの EFS 証明書か、またはデータ回復エージェント (DRA) 証明書です。EFS からデータを回復する必要があるシナリオとして、主に次の 3 つが考えられます。

• ユーザーが暗号化してはいけないデータを暗号化した場合。このシナリオの場合、回復モデルは簡単です。該当するデータ項目の暗号化をオフにするだけです。

• ユーザーがキー マテリアルへのアクセス権を失った場合。

• 元のユーザー (または関連する証明書) が利用不可なときに組織がデータへのアクセスを復元する必要がある場合。

EFS の回復方法と問題点

ユーザーの秘密 EFS 暗号化キーが失われるか破損した場合、解読キーが復元されるまで EFS で保護されたファイルにアクセスすることはできなくなります。このセクションでは、計画、展開済みの元の回復方法に応じた、さまざまな EFS 回復シナリオについて紹介します。

EFS キーのインポート

EFS の秘密解読キーを紛失した場合、最も簡単な回復方法は、既知の正常なバックアップから EFS デジタル証明書 (および秘密キー) をインポートすることです。EFS キーのバックアップ方法については、前の章で説明しています。

注 :

回復プロセスを正常に行うためには、ユーザーの EFS キーのバックアップに EFS 秘密暗号化キーが含まれている必要があります。また、ユーザーはキーのエクスポート中に設定した保護パスワードを覚えている必要があります。

以前にエクスポートした EFS キーを再びインポートするには

1. EFS キーをインポートする必要のあるユーザーのアカウントを使用して、Windows にログオンします。

2. ユーザーがエクスポートされた EFS デジタル証明書と秘密キーのコピーにアクセスするのを許可します。エクスポートされたファイルの名前は、拡張子が .pfx です。

3. エクスポートされた EFS ファイルをダブルクリックします。

4. [証明書のインポート ウィザード] ダイアログボックスで、[次へ] をクリックします。

5. 必要に応じて、EFS デジタル証明書の保存場所と名前を入力し、[次へ] をクリックします。

6. EFS 証明書のエクスポート中に設定した保護パスワードを入力して、[次へ] をクリックします。

   

   図 3.1. 証明書のインポート ウィザードの認証パスワードを入力する画面

7. 証明書のインポート ウィザードで EFS 証明書を正しい既定のストアにインポートできるようにするには、[証明書の種類に基づいて、自動的に証明書ストアを選択する] ラジオ ボタンを選択して、[次へ] をクリックします。

   

   図 3.2. 証明書のインポート ウィザードの証明書ストアの場所を選択する画面

8. 最後の画面で、[完了] をクリックします。

この段階で、以前に EFS で保護されたファイルへのアクセスを試みます。アクセスに成功した場合は、ユーザーのバックアップ EFS キーを元の安全な場所に戻します。作成したコピーは削除して、ごみ箱を空にします。

データ回復エージェントの使用

もう 1 つの一般的な EFS 回復シナリオでは、EFS データ回復エージェント (DRA) を使用します。ファイルを暗号化する前に DRA を正しく構成している場合、そのファイルに対して DRA が自動的に使用されます。暗号化した後に、DRA を既存のファイルに追加することもできます。

データ回復エージェントを使用するには

1. DRA のユーザー アカウントを使用して Windows にログオンします。回復するファイルにアクセスできるコンピュータを使用する必要があります。

   注 :

   前のセクションの手順に従って EFS DRA デジタル証明書がインストールされていない場合、DRA によってインポートすることができます。

2. 回復するファイルまたはフォルダの場所にアクセスします。

3. エクスプローラまたは Cipher.exe /D コマンドを使用して、これらのファイルまたはフォルダから EFS 属性を削除します。

4. ログオフして、元のユーザーにログオンしてもらいます。

5. ユーザーは必要に応じて、ファイルの EFS 保護を再び有効にすることができます。Windows は、必要に応じて EFS 証明書を再び生成します。

アーカイブされたキーの回復

ユーザーの EFS デジタル証明書と秘密キーが参加している証明機関 (CA) によってアーカイブされた場合には、キー回復シナリオが適しています。このセクションでは、Windows Server® 2003 証明書サービスを使用して EFS キーを回復する手順について説明します。

注 :

キーの回復を可能にするには、EFS デジタル証明書の作成およびファイルとフォルダの暗号化に使用された EFS 証明書テンプレートが、キーをアーカイブするように構成されている必要があります。

キーを回復するには、次の 3 つの基本的な手順があります。

1. 証明書サービスの証明書マネージャが、キー アーカイブ ストアからユーザーの EFS デジタル証明書を取得します。

2. 証明書マネージャがユーザーの秘密キーを解読し、PFX ファイルに保存します。

3. ユーザーは PFX ファイルをインポートします。これで、ローカル コンピュータの証明書ストアに EFS デジタル証明書と秘密キーが再び追加されます。

回復プロセスは簡単ですが、ユーザーの EFS デジタル証明書のシリアル番号を特定し、証明書自体を回復するという 2 つの手順を途中で実行する必要があります。

ユーザーの EFS デジタル証明書のシリアル番号を特定する

キーを回復するためには、まず最初にユーザーの EFS デジタル証明書のシリアル番号を特定します。証明書サービスでは、アーカイブから取得する証明書を特定するためにこのシリアル番号が必要となります。

個別のユーザーの証明書のシリアル番号を特定するには

1. 証明書サービスの管理を許可されているユーザー アカウントで、Windows にログオンします。

2. 証明機関コンソールを開き、承認された証明書サービス サーバーに接続します。

3. [証明機関] ノードを展開して、[発行した証明書] ノードをクリックします。

4. [表示] メニューの [列の追加と削除] をクリックします。

5. [列の追加と削除] ダイアログ ボックスで、[利用可能な列] リストの [アーカイブされたキー] をクリックし、[追加] をクリックします。

6. キーを検索しやすくするため、[上へ移動] または [下へ移動] ボタンを使用して、列のリスト内で [アーカイブされたキー] フィールドを上または下に移動します。それから [OK] をクリックします。

7. [アーカイブされたキー] フィールドが表示されている列リストに現れて、どのキーがアーカイブされているかを示します。

8. 該当する EFS デジタル証明書を見つけます。EFS 証明書の発行日とアーカイブの日付が最も新しいことを確認します。その証明書のシリアル番号を書き留めます (回復プロセスで必要です)。

9. 証明機関コンソールを閉じます。

ユーザーの EFS 証明書とキーの回復

ユーザーの証明書のシリアル番号がわかれば、証明書サービス サーバーから実際の証明書と関連するキー マテリアルを回復できます。回復を実行するには、Certutil コマンド ライン ツールを使用して CA への照会を行い、キー回復エージェント (KRA) の証明書および証明書の信頼連鎖全体が含まれたユーザー証明書が格納された PKCS #7 ファイルを取得します。内部のコンテンツは暗号化された PKCS #7 構造で、KRA 証明書によって暗号化された秘密キーが含まれます。

暗号化された PKCS #7 出力ファイルの暗号化を解除するには、ログオンしたユーザーがキー回復エージェントであるか、1 人以上の KRA の、対象となる暗号化された出力ファイルに使用する秘密キーを持っている必要があります。証明書ストアからキーを回復する作業を実行しているユーザーが KRA ではない場合、暗号化された出力ファイルを KRA 秘密キーを持つユーザーに転送して、処理を続行してもらう必要があります。

ユーザーの証明書と秘密キーを回復するには

1. 証明書サービスの管理を許可されたユーザー アカウントで Windows にログオンします。

2. コマンド プロンプト ウィンドウを開きます。コマンド プロンプトで、次のように入力します。

   Certutil -getkey <number> <name>

   ここで、<number> は回復する証明書のシリアル番号、<name> は証明書を保存する出力ファイル名です。

   このコマンドにより、フォレスト内の使用可能なエンタープライズ CA から回復プロセスを実行する試みが行われます。フォレスト内のすべてのエンタープライズ CA ではなく、特定の CA を対象とする場合は、次の構文を使用します。

   Certutil -config <コンピュータ名\CA 名> -getkey <number> <name>

3. コマンド プロンプトで、次のコマンドを入力します。

   Certutil -recoverkey <file name> <filename.pfx> –p <password>

   ここで、<file name> は前の手順で作成された暗号化された出力ファイル、<filename.pfx> は PKCS #12 形式のユーザーの EFS 秘密キーの新しい出力ファイル名、<password> は作成された filename.pfx ファイルのパスワードです。

4. パスワードの入力を求めるダイアログが表示されたら、ファイルに適用する強力なパスワードを入力し、確認のため再入力します。

5. 回復プロセスのセキュリティを強化するため、指定したパスワードをユーザーに提供するときには、ファイル自体とは別のセキュリティ保護されたメカニズムを使用してください。

6. セキュリティ保護された配布メカニズムを使用してユーザーに PFX ファイルを配布します。

7. この章の初めにある「EFS キーのインポート」セクションで説明した指示をユーザーに伝えます。

オフライン回復エージェントを使用したデータの回復

データを回復する必要があり、使用するのがオフライン回復エージェントである場合、オフライン回復エージェント証明書を復元してから回復を実行する必要があります。このプロセスは簡単で、次の手順に従って実行できます。各手順の詳細については、このガイドの別の箇所で説明しています。

1. [Active Directory ユーザーとコンピュータ] MMC スナップインを使用して、回復エージェントが使用する Active Directory ユーザー アカウントを有効にし、そのアカウントで回復プロセスを実行するコンピュータにログオンできるようにします。

2. 回復エージェントのユーザー アカウントを使用して、回復イベントが実行されるコンピュータにログオンします。

3. 回復エージェント デジタル証明書と秘密キーをインポートします。

4. 必要なファイルとフォルダを回復します。

5. 回復エージェント証明書と秘密キーを削除するか再エクスポートします。証明書とキーを再エクスポートする場合は、ネットワークから証明書とキーを削除し、エクスポートした方のバージョンは安全な場所に保管します。

6. 回復プロセス用のユーザー アカウントを無効にします。

新しいコンピュータへの移行

ユーザーは、別のコンピュータに作業環境を移行することがよくあります。こういった移行は、ハードウェアの交換、コンピュータのアップグレード、業務変更など、さまざまな理由で発生します。別のコンピュータにユーザー データを移行するときに、EFS で保護されたデータに引き続きアクセスできるようにするためには、特別な手順を実行する必要があります。基本的なプロセスでは、次のタスクを実行する必要があります。

• EFS 証明書と関連するキー マテリアルを、古いコンピュータから新しいコンピュータに移行します。

• 必要に応じて、データ回復エージェント (DRA) 証明書を作成します。

• 暗号化されたファイルとその他のユーザー データを、新しいコンピュータに移行します。

• 暗号化されたファイルを開くことができるかどうかを確認します。

EFS 証明書の移行

EFS 証明書を移行する作業は、ユーザー データを別のコンピュータに移動する際には必要となる作業です。そのための方法は、使用している Windows オペレーティング システムによって異なります。

Windows Vista に移行する場合

マイクロソフトのユーザー状態移行ツール (USMT) バージョン 3.0 を使用すると、Windows XP ベースのコンピュータから Windows Vista を実行しているコンピュータに EFS 証明書を自動的に移行することができます。ただし、既定では (/efs オプションを使用しないと)、USMT が暗号化されたファイルを検出すると移行は失敗します。したがって、USMT ツールと一緒に /efs:copyraw フラグを使用して、暗号化されたファイルを移行する必要があります。その後、移行先のコンピュータで USMT を実行すると、暗号化されたファイルの EFS 証明書が自動的に移行します。以降のセクションで説明する手動による方法を使用して、Windows XP から Windows Vista に EFS データを移動することもできます。

Windows XP に移行する場合

暗号化されたファイルを Windows XP を実行しているコンピュータに移行するには、EFS 証明書も移行する必要があります。USMT を使用して証明書を移行する場合、移行処理の前後でユーザーの入力が必要となります。

次のいずれかの方法で、EFS 証明書を移行できます。

• Cipher.exe ツールを使用します。

• MMC の [証明書] スナップインを使用します。

Cipher.exe ツールを使用して EFS 証明書を移行する

コマンド ラインで Cipher.exe ツールを使用してユーザーの EFS 証明書をエクスポートし (この章の「EFS の回復方法と問題点」セクションを参照)、作成された PFX ファイルを新しいコンピュータにインポートすることができます。

Cipher.exe を使用してユーザーの証明書を移行するには

1. 証明書を所有するユーザーとしてログオンします。

2. コマンド プロンプト ウィンドウを開き、「Cipher /x: <efsfile> <filename>」と入力します。<filename> は拡張子なしのファイル名、<efsfile> は暗号化されたファイルへのパスです。Enter キーを押します。

   <efsfile> が指定されている場合、ファイルの暗号化に使用された現在のユーザーの証明書のバックアップが作成されます。指定されていない場合、ユーザーの現在の EFS 証明書とキーのバックアップが作成されます。Cipher.exe を実行すると、パスワードで保護された .pfx ファイルが指定した保存先に作成されます。Cipher.exe の詳細を確認するには、「cipher /?」と入力します。

   注 :

   このプロセスには、2 つの重要なセキュリティ上の懸案事項があります。第 1 に、PFX ファイルは、移行先のコンピュータからアクセス可能な場所 (共有フォルダやリムーバブル メディアなど) に保存する必要があります。第 2 に、このファイルは EFS で保護されたファイルと同じ場所には保存しないようにします。

ファイルをエクスポートしたら、ユーザーは、この後に説明する「新しいコンピュータに証明書をインポートするには」の手順に従って新しいコンピュータにファイルをインポートできます。

[証明書] スナップインを使用して EFS 証明書を移行する

[証明書] スナップインを使用してユーザーの証明書をエクスポートするには

1. 証明書を所有するユーザーとして移行元のコンピュータにログオンします。

2. Microsoft 管理コンソール (MMC) を開きます。MMC を開くには、[スタート]、[ファイル名を指定して実行] の順にクリックし、「mmc」と入力して Enter キーを押します。

3. [ファイル] メニューの [スナップインの追加と削除] をクリックします。

4. [スナップインの追加と削除] ダイアログ ボックスで、[追加] をクリックします。

5. 表示されたリストから [証明書] を選択し、[追加] をクリックして、[ユーザー アカウント] を選択します。

6. [完了] をクリックし、[閉じる] をクリックして、[OK] をクリックします。

7. 証明書 - 現在のユーザー\個人\証明書を参照します。

8. 移行する証明書を右クリックします。

9. [すべてのタスク] をクリックして、[エクスポート] をクリックします。

10. 証明書のエクスポート ウィザードの指示に従い、移行先のコンピュータからアクセス可能な場所 (フロッピー ディスクや共有フォルダなど) に証明書を保存します。画面が表示されたら、証明書と一緒に秘密キーをエクスポートすることを示した項目を指定します。

    プロセスが完了すると、エクスポートが正常に完了したことを示すメッセージが表示されます。

新しいコンピュータに証明書をインポートするには

1. 証明書を所有するユーザーとして新しいコンピュータにログオンします。

2. 上述の手順に従って MMC を開きます。

3. [ファイル] メニューの [スナップインの追加と削除] をクリックします。

4. [スナップインの追加と削除] ダイアログ ボックスで、[追加] をクリックします。

5. リストから [証明書] を選択し、[追加] をクリックして、[ユーザー アカウント] を選択します。

6. [完了] をクリックし、[閉じる] をクリックして、[OK] をクリックします。

7. 証明書 - 現在のユーザー\個人を参照します。

8. [個人] を右クリックします。

9. [すべてのタスク] をクリックして、[インポート] をクリックします。

10. 証明書のインポート ウィザードを使用して、エクスポートした証明書を参照します。証明書を参照する場合は、[ファイルの種類] ドロップダウン リスト ボックスから [Personal Information Exchange (*.pfx;*.p12)] を選択します。移行先のコンピュータから証明書をエクスポートするときに指定したパスワードを入力する必要があります。

    プロセスが完了すると、インポートが正常に完了したことを示すメッセージが表示されます。

DRA 証明書の作成

移行作業の一環として、「第 2 章 : 構成および展開タスク」で紹介した手順に従い、新しいコンピュータ (および関連する証明書) に正しい DRA 証明書のセットが関連付けられていることを確認する必要があります。

暗号化されたファイルを新しいコンピュータに移行する

証明書をエクスポートしたら、実際のファイルなど、その他のユーザー データを新しいコンピュータに移動することができます。

USMT を使用して暗号化されたデータを別のコンピュータに移動する場合は、/efs:copyraw フラグを指定して、USMT がソース ファイルから暗号化されたデータ ストリーム全体を読み取れるようにする必要があります。このフラグを指定しなかった場合、または他のツール (xcopy や robocopy など) を使用してファイルを移動した場合、ファイルはコピーされる前に移行元のコンピュータによって暗号化を解除されます。

移行したファイルのテスト

証明書とファイルを新しいコンピュータに移動し終えたら、次の 2 種類のテストを実行して、移行が正常に行われたことを確認する必要があります。

• ファイルの所有者のユーザー アカウントでファイルを開くことができるか確認します。

• エクスプローラで属性をチェックして、ファイルが暗号化されたままであることを確認します。暗号化されたファイルのアイコンは薄い緑色で表示されます。ファイルのプロパティダイアログを使用して、暗号化属性がオンになっていることを確認することもできます。

DRA 証明書の更新

次のような場合には、DRA 証明書を更新する必要があります。

• 組織が、ローカル DRA から集中管理された DRA インフラストラクチャに移行中の場合。

• 既存の DRA 証明書の有効期限が切れている (または近い将来に切れる) ため、集中管理された DRA のポリシーを更新する必要がある場合。

• 既存の DRA キー マテリアルが失われたか、誤った場所に保存されたか、侵害されたため、集中管理された DRA のポリシーを更新する必要がある場合。

DRA 証明書の更新に際しての考慮事項

DRA 証明書を更新するには、まず最初に、1 つ以上の新しい DRA キーペアと証明書を要求または作成する必要があります。現在の環境に応じて、次のいずれかの方法でこのタスクを完了できます。

• /R スイッチを付けて Cipher.exe を使用します。

• マイクロソフト証明書サービスが提供する Web またはプログラマティック インターフェイスを使用します。

• 既存のサードパーティ CA の要求メカニズムを使用します。

発行された証明書が DRA として使用できるように、適切な DRA テンプレートを使用して要求を行う必要があります。

新しい DRA 証明書を要求し、取得したら、更新する DRA 情報が含まれるすべてのコンピュータに適用する適切なグループ ポリシーに、その証明書をバインドする必要があります。使用するグループ ポリシー オブジェクトが、複数の組織単位、Active Directory ドメイン、および Active Directory フォレスト全体にわたって新しい DRA 証明書を正しく適用しているかどうかを確認します。既定では、新しい DRA 情報を配布するための土台として、Active Directory の既定のドメイン ポリシー GPO を使用できます。

新しい DRA 証明書を GPO に割り当てたら、既存の DRA 証明書を削除できます。ただし、削除した場合、既存の DRA 証明書を使用して作成されたファイルは回復できなくなります。DRA 証明書を削除する前に、暗号化されたファイルを回復できる使用可能なコピーが残されていることを確認してください。

DRA を変更しても、個々のコンピュータでグループ ポリシー設定を更新するまで有効にはなりません。次回のセキュリティ ポリシーの更新 (既定では 90 分ごとに行われます) まで待つか、影響するコンピュータで gpupdate /force コマンドを実行するか、または影響するコンピュータを再起動します。

秘密キーのセキュリティを強化するため、DRA キーペアと証明書をアーカイブする必要もあります。アーカイブした後は、証明書とキーペアをインポートしたユーザーの証明書ストアからキーペアと証明書を削除する必要があります。削除する場合は、エクスポート ウィザードの [正しくエクスポートされたときは秘密キーを削除する] チェック ボックスをオンにします。

DRA 情報が更新されたら、次のセクションで説明するように、対象コンピュータ上の EFS で保護されたファイルを更新できます。

新しい DRA またはユーザー証明書の対象ファイルを更新する

組織内で使用されている DRA を変更または更新した場合、以前の DRA によって保護されていたファイルも更新する必要があります。各ファイルを個別に開いて保存するという方法で、手動で更新を行うこともできますが、この方法は時間がかかる上にエラーの元でもあります。/U スイッチを付けた Cipher.exe コマンドを使用するという方法もあります。このコマンドを実行すると、ローカル ディスクが横断的に検索され、暗号化されたファイルが検出されるたびに DRA 情報が更新されます。

このプロセスの一部として、次の手順を組み込むこともできます。

• Cipher /U の出力をエラー ログに取得し、(ネットワーク共有などの) 一元化された場所に保存します。

• /I フラグを使用して Cipher.exe で強制的にエラーを無視することを検討します。このフラグを使用しない場合、Cipher /U コマンドによってロックされたファイルやビジー状態のファイルが検出されると、そのようなファイルを更新できないため更新プロセスは失敗します。

• コマンド ラインで Cipher /U を実行する代わりに、スクリプトを作成して更新を実行することもできます。そのようなスクリプトは終了するまでに時間がかかる可能性があるため、ログオン プロセス中の実行には適していない場合があります。しかし、ユーザーのコンピュータでの実行スケジュールを設定したり、都合の良いときに手動で起動するようにユーザーに指示したりすることができます。

ページのトップへ

関連情報

• Configuring Active Directory to Back up Windows BitLocker Drive Encryption and Trusted Platform Module Recovery Information (英語)

• Active Directory ユーザーとコンピュータ ツール用の BitLocker Recovery Password Viewer を使用して Windows Vista の回復パスワードを表示する方法

• BitLocker 修復ツールを使用して Windows Vista の暗号化されたボリュームからデータを回復する方法

ページのトップへ

目次

• 概要
• 第 1 章 : 計画に際しての考慮事項
• 第 2 章 : 構成および展開タスク
• 第 3 章 : 運用および回復のシナリオ

ページのトップへ