第 2 章 : 構成および展開タスク
公開日: 2007年9月14日
Microsoft® BitLocker™ ドライブ暗号化 (以下「BitLocker」) および暗号化ファイル システム (以下「EFS」) の展開を開始する前に、多数の予備的な構成タスクを実施して環境を整えておく必要があります。この章で説明するタスクを実施すれば、Active Directory® ディレクトリ サービスとネットワークの準備を整え、クライアント コンピュータで BitLocker と EFS を展開する際に役立ちます。
EFS と BitLocker はどちらも、複数のコンピュータに一貫した構成を適用できる Active Directory の利点を活かした機能です。それぞれのテクノロジで使用できる設定は多少異なります。ただし、どちらのテクノロジも Active Directory グループ ポリシー オブジェクト (以下「GPO」) によって制御可能なため、コンピュータの場所、使用目的、使用者に応じて適切な保護をコンピュータに適用するためには、Active Directory をどのように設計したらよいか検討する必要があります。
この章では、次のタスクについて説明します。
BitLocker の構成を選択して機密データを保護する。
Active Directory グループ ポリシー制御を使用して、BitLocker キーのバックアップ方法、セットアップ、ディスク暗号化、および Trusted Platform Module (TPM) との連携を制御する。
Active Directory を使用して EFS 暗号化を制御し、証明書を管理する。
選択した構成で BitLocker を使用するため、クライアント コンピュータの環境を整える。
クライアント コンピュータで BitLocker を有効にする。
ドメインに参加しているコンピュータで EFS を使用するため、Microsoft 暗号化ファイル システム アシスタント (以下「EFS アシスタント」) を構成する。
管理用テンプレートをインポートして、使用できる管理ツールを EFS 用にカスタマイズする。
EFS のデータ回復エージェントを構成する。
トピック
インフラストラクチャの準備タスク
コンピュータ単位の構成タスク
関連情報
インフラストラクチャの準備タスク
BitLocker と EFS はどちらも、組織の環境に展開する前にインフラストラクチャの準備を整える必要があります。このセクションで説明するタスクは、通常は最初の展開の前に 1 回実施すればよく、繰り返し行う必要はまずありません。
BitLocker のためのインフラストラクチャの準備
BitLocker の場合、インフラストラクチャの準備を整えるには次の 2 つの手順を実行する必要があります。
グループ ポリシーによる BitLocker のオプションの構成
Windows Vista™ では、クライアント コンピュータの BitLocker の可用性と動作を制御できるように、多数の制御設定が用意されています。標準の Windows Server® GPO 管理ツールセットと Windows Vista の管理用テンプレートを使用して Active Directory GPO を作成し、これらの設定を制御します (これらのツールの詳細については、Windows Server 2003 のオンライン ヘルプを参照してください)。
GPO は個々のコンピュータに適用することも、Active Directory サイト、ドメイン、および組織単位 (OU) に適用することもできるため、組織内のコンピュータに対する BitLocker の設定の割り当て方法は、きわめて柔軟に決定できます。次のようなことを行うことができます。
ローカル コンピュータの GPO を変更して個々のコンピュータに設定を割り当てることができます。
類似した機能のコンピュータを OU でグループ化して、特定の BitLocker の設定をその OU にのみ割り当てることができます。たとえば、すべてのモバイル PC を対象とした OU や、特定の部署に属するか特定の職務に従事している従業員のモバイル PC のみを対象とした OU を別個に作成できます。
ドメイン内またはフォレスト内のすべてのコンピュータに、BitLocker のポリシーを広範に適用できます。この方法を用いると、Windows Vista ベースのコンピュータで全社的な暗号化の実装を容易に行うことができます。他のバージョンの Windows を実行しているコンピュータでは、BitLocker 固有の設定は無効になります。
Active Directory のキー ストレージの準備
TPM 所有者のパスワードと BitLocker のボリューム回復データを Active Directory に保存できるようにするには、次の手順を実行する必要があります。次の手順を実行するには、BitLocker クライアントにアクセス可能なすべてのドメイン コントローラで、Windows Server 2003 Service Pack 1 (SP1) 以降が動作している必要があります。
Active Directory スキーマを拡張します。
BitLocker および TPM の回復情報スキーマ オブジェクトで権限を設定します。
Active Directory による BitLocker キー情報のバックアップが有効になるように GPO を構成します。
Active Directory による TPM 所有者パスワードのバックアップが有効になるように GPO を構成します。
「Windows BitLocker ドライブ暗号化およびトラステッド プラットフォーム モジュールの回復情報をバックアップするように、Active Directory を構成する」 を参照してください。
上述の手順が完了すると、組織内の他のユーザーに回復アクセスを委任することができます。
回復アクセスを委任するには
アクセスを委任する相手のユーザー アカウントが含まれる Active Directory セキュリティ グループを作成するか特定します。
アクセスを委任するコンピュータが属するドメインまたは組織単位 (OU) の随意アクセス制御リスト (ACL) に、アクセス制御エントリ (ACE) を追加します。ACE によって、BitLocker の回復情報オブジェクト、キー パッケージ、およびコンピュータ オブジェクトに対する "アクセス制御" および "プロパティ表示" が許可される必要があります。
TPM 情報を復旧できるようにするには、同じ手順で TPM 所有者情報オブジェクトに対する "アクセス制御" および "プロパティ表示" が許可されるようにします。
このプロセスの一部として、TPM および BitLocker の回復情報に対するアクセスを 2 つの異なるユーザー グループに許可することを検討できます。この方法を採用した場合、回復情報にアクセスする業務に関して職務の分離を維持できます。
EFS のためのインフラストラクチャの準備
効果的に EFS を使用するには、インフラストラクチャの準備に関する次のタスクを完了する必要があります。
Active Directory の準備を整え、グループ ポリシー オブジェクトを作成します。
データ回復エージェントを管理、構成します。
キー回復エージェントを管理、構成します。
Active Directory の準備を整え、グループ ポリシー オブジェクトを作成する
このセクションでは、EFS をサポートする Active Directory 環境を準備するために必要な構成タスクについて説明します。次のタスクを実行しない場合、Windows XP または Windows Vista を実行している個々のクライアント コンピュータで EFS を使用することはできますが、EFS の機能を集中管理することはできません。
EFS の暗号化設定の制御
Windows Vista と Windows XP では、クライアント コンピュータの EFS の可用性と動作を制御できる広範な設定が用意されています。標準の Windows Server GPO 管理ツールセットを使用して Active Directory GPO を作成し、これらの設定を管理します (これらのツールの詳細については、Windows Server 2003 のオンライン ヘルプを参照してください)。
GPO は個々のコンピュータに適用することも、Active Directory サイト、ドメイン、および OU に適用することもできるため、組織内のコンピュータに対する EFS の設定の割り当て方法は、きわめて柔軟に決定できます。次のようなことを行うことができます。
ローカル コンピュータの GPO を変更して個々のコンピュータに設定を割り当てることができます。
類似した機能のコンピュータを OU でグループ化して、特定の EFS の設定をその OU にのみ割り当てることができます。たとえば、すべてのモバイル PC を対象とした OU とか、特定の部署に属するか特定の職務に従事している従業員のモバイル PC のみを対象とした OU を別個に作成できます。
ドメイン内またはフォレスト内のすべてのコンピュータに、EFS のポリシーを広範に適用できます。この方法を EFS アシスタントと併用した場合、Windows XP および Windows Vista ベースのコンピュータで全社的な暗号化の実装を容易に行うことができます。
Windows Vista と Windows XP 共通の EFS 設定
Active Directory GPO テンプレートを使用して、いくつかの EFS 関連の設定を制御できます。制御できる設定を次の表に挙げます。詳細については、『Windows XP セキュリティ ガイド』および『Windows Vista セキュリティ ガイド』を参照してください。
表 2.1. Active Directory GPO テンプレートによる EFS 関連の設定
| EFS の有効化 |
Windows XP、Windows Vista |
許可 |
| ドキュメントの暗号化 |
Windows Vista |
オフ |
| スマート カードを必須とする |
Windows Vista |
オフ |
| スマート カードからキャッシュ可能なユーザー キーを作成する |
Windows Vista |
オフ |
| ページファイルの暗号化 |
Windows Vista |
オフ |
| 証明書の自動登録 |
Windows XP、Windows Vista |
オン |
| 自己署名入りの証明書のキー サイズ |
Windows Vista |
2048 ビット |
| 自動証明書要求の EFS テンプレート |
Windows Vista |
なし |
**EFS を有効/無効にする**
EFS をスタンドアロンで使用するとキーを紛失する (したがって暗号化したファイルにアクセスできなくなる) おそれがあるため、エンタープライズ証明機関 (以下「CA」) とドメインベースの EFS を実装するまでは EFS を無効にしておくことを選択する組織もあります。EFS の使用を有効または無効にするには、GPO の暗号化ファイル システム オブジェクトのプロパティで、**\[暗号化ファイル システム (EFS) を使用するファイルの暗号化を許可する\]** チェック ボックスの設定を変更します。暗号化ファイル システム オブジェクトは、次のパスにあります。**コンピュータの構成\\Windows の設定\\セキュリティの設定\\公開キーのポリシー**
GPO を使用して EFS を無効にした組織は、EFS を有効にするためには GPO を変更する必要があります。ローカル ポリシーまたはレジストリの変更によって EFS を無効にした場合は、ローカル ポリシーを削除するか、レジストリ エディタを使用して EFS を有効にする必要があります。レジストリで EFS を有効にするには、**HKLM\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\EFS** キーのレジストリで、「**EfsConfiguration**」という名前の DWORD 値を検索します。EFS を無効にするにはこの値を 1 に変更し、有効にするには 0 に変更します。この変更が適用されるのはローカル コンピュータに限られ、ドメイン内の他のコンピュータには適用されないので注意してください。
**その他の暗号化アルゴリズムのサポート**
計画の段階で、米連邦政府情報処理規格 (FIPS) 140-1 に準拠した EFS の展開を決定している場合は、Active Directory のローカル ポリシーまたはグループ ポリシーの **\[システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う\]** オプションを変更して FIPS を有効にする必要があります。このオプションは、次のパスにあります。**コンピュータの構成\\Windows の設定\\セキュリティの設定\\ローカル ポリシー\\セキュリティ オプション**
FIPS への準拠目的以外の理由で別の暗号化アルゴリズムを使用する必要がある場合は、対象のクライアント コンピュータのグループ ポリシーを使用して、**HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\EFS**
###### Windows Vista 固有の EFS オプション
多くの新しいグループ ポリシー オプションが Windows Vista に追加されているので、管理者はこれらを使用して EFS に対する組織のポリシーを定義し、実装できます。そのようなオプションとして、たとえば、EFS でスマート カードを必須とする機能、ページ ファイルの暗号化を強制する機能、EFS の最小のキー長を定める機能、ユーザーのドキュメント フォルダの暗号化を強制する機能などがあります (下の図を参照)。これらのオプションにアクセスするには、GPO の暗号化ファイル システム オブジェクトを編集します。このオブジェクトは次のパスにあります。**コンピュータの構成\\Windows の設定\\セキュリティの設定\\公開キーのポリシー**
.gif)
**図 2.1. Windows Vista の暗号化ファイル システム プロパティのオプション**
###### 証明書の自動登録の管理
Windows XP Professional および Windows Vista では、ログオンしたユーザーが自動的に "ユーザーの種類" 証明書に登録されるように設定できます。ユーザー証明書の自動登録は手早く簡単に行われ、これによって Active Directory 環境内で公開キー基盤 (PKI) アプリケーション (スマート カード ログオン、EFS、SSL、S/MIME など) を使用できるようになります。通常、PKI の展開には多額のコストがかかりますが、ユーザーの自動登録によってコストを最小限に抑えることができます。証明書の自動登録を有効にするには、Active Directory で適切な証明書テンプレートを作成する必要があります。Microsoft 管理コンソール (MMC) の \[証明書テンプレート\] スナップインを使用して、適切な証明書テンプレートを追加します。詳細については、「[Certificate Autoenrollment in Windows XP](https://www.microsoft.com/technet/prodtechnol/winxppro/maintain/certenrl.mspx)」(英語) の記事を参照してください。
##### データ回復エージェントを管理、構成する
EFS を使用する場合、組織はデータ回復エージェント (以下「DRA」) を少なくとも 1 つは定義することをお勧めします。DRA として通常のネットワーク管理者のアカウントが使用される場合もありますが、マイクロソフトでは、回復作業専用のアカウントを使用することをお勧めしています。組織のポリシーまたは法的要件によっては、監査やアクセス分離といった新たな要件が指定されている場合もあります。こうした要件を満たすには、異なるグループ、組織、業務、またはその他の組織ネットワーク区画ごとに、別々の DRA を定義する必要があります。
DRA 管理に含まれるタスクには次のものがあります。詳細は以降のサブセクションで説明します。
- DRA ユーザー アカウントの作成
- DRA のセキュリティ グループの作成と設定
- DRA 証明書を発行するように CA を構成
- DRA 証明書の要求
- EFS DRA 証明書の要求の承認
- データの回復ポリシーの定義 (計画の手順については第 1 章を参照)
- ポリシーに割り当てる証明書のエクスポート
- データ回復エージェントの定義
###### DRA ユーザー アカウントを作成する
DRA ユーザー アカウントを管理するにあたって最善の方法は、データ回復作業のみに使用するユーザー アカウントを別途作成することです。このようにしておけば、権限を持つユーザーが不適切にデータを回復するリスクを軽減できます。専用の DRA ユーザー アカウントは、通常のアカウントとしてまず作成し、これに回復の権限を付与します。
**DRA ユーザー アカウントを作成するには**
1. \[Active Directory ユーザーとコンピュータ\] を開きます。
2. コンソール ツリーで、ユーザー アカウントを追加するフォルダを右クリックします (Active Directory ユーザーとコンピュータ\\ドメイン ノード\\フォルダ)。
3. **\[新規作成\]** を選択し、 **\[ユーザー\]** をクリックします。
4. アカウントに名前を付けます。個人のユーザー名は使わず、「HR DRA」や「Engineering DRA」など、役割でアカウントを識別できるような名前を付けます。
5. **\[ユーザー ログオン名\]** にログオン名を入力し、ドロップダウン リストで UPN 接尾辞をクリックして、**\[次へ\]**
6. **\[パスワード\]** および **\[パスワードの確認入力\]** でユーザーのパスワードを入力し、適切なパスワード オプションを選択します。
7. **\[OK\]** をクリックします。
8. 新たに作成する DRA ごとに、手順 3 ~ 7 を繰り返します。
###### DRA のセキュリティ グループを作成する
使用する DRA のグループごとに、Active Directory セキュリティ グループを作成することをお勧めします。こうしておくと、組織内のさまざまな部門にいるデータ回復権限を持つユーザーを効果的に管理できます。
**DRA のセキュリティ グループを作成するには**
1. \[Active Directory ユーザーとコンピュータ\] を開きます。
2. **\[ユーザー\]** を右クリックして **\[新規作成\]**、**\[グループ\]** の順にクリックし、「**Domain Recovery Agents**」(またはその他の適切な名前) と入力して **\[OK\]**
3. **\[Users\]** OU の下にある **\[Domain Recovery Agents\]** を右クリックし、**\[プロパティ\]** をクリックして、**\[メンバ\]** タブをクリックします。このグループに追加するユーザーを選択して、**\[OK\]**
4. 新たに作成する DRA グループごとに、手順 2 ~ 3 を繰り返します。
###### DRA 証明書を発行するように CA を構成する
EFS 回復用のキー利用フラグを含むテンプレートを使用して、証明書を発行するように CA を構成する必要があります。以下の手順は、EFS DRA デジタル証明書を発行するように Microsoft 証明書サービスを構成する方法を説明したものです。EFS DRA 証明書を発行する目的で互換性のある他の CA を使用することもできますが、このガイドでは、サードパーティ CA サービスを使用する場合の手順については説明していません。
**EFS 回復証明書を発行するように証明書サービスを構成するには**
1. 証明書サービスの管理を許可されているユーザー アカウントで、Windows にログオンします。
2. 承認済み証明書サービス サーバーで証明機関コンソールを開きます。実行するには、**\[スタート\]** をクリックし、**\[すべてのプログラム\]** - **\[管理ツール\]** - **\[証明機関\]** を選択します。
3. 証明機関サーバー オブジェクトを展開してコンポーネントを表示します。
4. **\[証明書テンプレート\]** ノードを右クリックして **\[管理\]** を選択し、証明書テンプレート コンソール (次の図を参照) を開きます。
.gif)
**図 2.2. 証明機関コンソールの証明書テンプレート**
5. EFS 回復エージェント証明書の発行に使用されるデジタル証明書では、既定の 1024 ビットのキー サイズを変更することはできません。コピーはビルトイン テンプレートから作成し、その結果作成された EFS 回復エージェントの証明書テンプレートのコピーは、適切に構成される必要があります。
**\[EFS 回復エージェント\]** 証明書テンプレートを右クリックし、**\[テンプレートの複製\]** を選択します。
6. 新しい証明書テンプレートに新しい名前 (「**Updated EFS Recovery Agent**」など) を割り当て、標準のテンプレートと区別できるようにします。
7. **\[要求処理\]** タブをクリックし、キーの長さを必要に応じて 2048 ビット以上に設定します。
8. **\[セキュリティ\]** タブをクリックし、EFS 回復エージェントにするユーザー アカウントに **\[読み取り\]** および **\[登録\]** の権限を設定します。
9. **\[OK\]** をクリックします。
10. 元の EFS 回復エージェント証明書テンプレートの \[プロパティ\] ダイアログ ボックスを開いて **\[セキュリティ\]** タブをクリックし、すべてのユーザーの登録権限を "拒否"に設定します。**\[OK\]**
11. 証明機関コンソールに切り替え、**\[証明書テンプレート\]** オブジェクトを右クリックし、**\[新規\]** - **\[発行する証明書テンプレート\]** を選択します。
12. 新しい強力な EFS 回復エージェント証明書を選択して、**\[OK\]** をクリックします。
13. 証明機関コンソールを閉じます。
14. 既存のすべての EFS 回復エージェントが、新しい強力な EFS 回復エージェント証明書テンプレートを使用して新しいデジタル証明書を要求するようにします。
15. 新しい EFS 回復エージェント証明書を承認して発行します。
16. 新しい EFS 回復エージェントの秘密キー (.PFX 拡張子を持つファイル) が 2 か所以上の安全な場所にアーカイブまたはバックアップされていることを確認したら、回復作業が必要なときまでローカル コンピュータから秘密キーを削除します。
**注 :** EFS DRA および KRA 証明書はすべて、新たに構成された証明書から発行する必要があります。さもないと、キーの長さは元のままになります。
以前に標準のテンプレートを使用して EFS および EFS 回復エージェントを展開したことのある組織では、脆弱な EFS 回復エージェントで既に暗号化されているファイルを、新しい強力な EFS 回復エージェント証明書で暗号化する必要があります。このプロセスは、個々のファイルの変更時に、ファイルごとに自動的に実施されます。
EFS では、ローカル ドライブにあるすべての暗号化ファイルを一度に更新することもできます。それには、コマンド プロンプトを開いて「**Cipher.exe /U**」と入力し、Enter キーを押します。
暗号化ファイルがすべて新しい EFS 回復エージェント証明書で再暗号化され、元の脆弱な EFS 回復エージェント キーのコピーが 2 か所以上の安全な場所にバックアップされていることを確認したら、証明機関コンソールの証明書テンプレート オブジェクトで元の回復キーを削除できます。
###### 個々のユーザーに対して DRA 証明書を要求する
ドメイン内で複数の回復エージェントが必要とされる環境、または法的な理由や組織のポリシーにより回復エージェントとドメイン管理者を別に置く必要がある環境では、一定数のユーザーを回復エージェントとして特定しておく必要があります。このようなユーザーには、ファイル回復証明書を発行する必要があります。
証明書を発行するには次の手順が必要です。
- エンタープライズ CA を使用できる必要があります。
- エンタープライズ CA のポリシーによって、指定されたユーザー (エージェント) がファイル回復証明書を要求して入手することを許可されている必要があります。
- ユーザーごとに、ファイル回復証明書を要求する必要があります。
このプロセスは、証明書の自動登録を有効にすることで自動化できます。手動で実行する場合は、次の手順に従います。
**EFS 回復エージェント証明書を作成するには**
1. **\[スタート\]** - **\[ファイル名を指定して実行\]** をクリックし、**mmc** と入力して **\[OK\]** をクリックします。
2. **\[ファイル\]** メニューの **\[スナップインの追加と削除\]** を選択し、**\[追加\]** をクリックします。
3. **\[証明書\]** をダブルクリックし、**\[ユーザー アカウント\]** を選択し、**\[完了\]**、**\[閉じる\]**、**\[OK\]** をクリックします。
4. **\[証明書 - 現在のユーザー\]** の横にあるプラス (**+**) 記号をクリックして、フォルダを展開します。
5. 左ウィンドウ枠の **\[個人\]** を右クリックし、**\[すべてのタスク\]** をクリック、**\[新しい証明書の要求\]** をクリックして、証明書の要求ウィザードを開始します。
6. ウィザードの最初のページは説明です。**\[次へ\]** をクリックし、続けます。
7. 証明書テンプレートが表示されます。**\[EFS 回復エージェント\]** を選択し、 **\[次へ\]**をクリックします。
8. 他の人にこの証明書を識別してもらうために、フレンドリ名を入力し、必要に応じて説明を入力します。**\[次へ\]** をクリックし、証明書の要求のために、**\[完了\]** をクリックします。
9. **\[OK\]** をクリックします。
ドメイン全体に適用される EFS 回復ポリシーを作成するには、以前に作成した EFS 回復エージェント証明書を .CER 形式にエクスポートする必要があります。
###### EFS DRA 証明書の要求を承認する
EFS DRA 証明書の要求は通常、証明書サービスで手動で承認される必要があります。
**Microsoft 証明書サービス サーバーに送信された DRA 要求を確認して承認するには**
1. 証明書サービスでデジタル証明書要求の承認を許可されたユーザー アカウントで、Windows にログオンします。
2. 承認済み証明書サービス サーバーで証明機関コンソールを開きます。実行するには、**\[スタート\]** をクリックし、**\[すべてのプログラム\]** - **\[管理ツール\]** - **\[証明機関\]** を選択します。
3. 証明機関サーバーを展開してコンポーネントを表示します。
4. **\[保留中の要求\]** をクリックします。承認待ちの保留中の要求は、右ウィンドウ枠に表示されます。
5. 適切な保留中の EFS 回復エージェント証明書要求を検索し、目的のものを右クリックして **\[発行\]** を選択します。終了したら、証明機関コンソールを閉じます。
.gif)**注 :**
管理者の承認を必要とする証明書テンプレートを使用して証明書を手動で要求した場合、その要求は失敗することがあります。そのような場合には、テンプレートを編集して管理者の承認要件を削除するか、別のテンプレートを使用して新しい要求を作成する必要があります。
###### ポリシーに割り当てる証明書をエクスポートする
DRA 証明書を個々のユーザーに割り当てたら、その証明書をエクスポートし、グループ ポリシー オブジェクトに添付して回復ポリシーとして割り当てられるようにします。
**GPO に割り当てる証明書をエクスポートするには**
1. 証明書コンソールで、**\[個人\]** フォルダを展開します。
2. 右ウィドウ枠で、作成した証明書を右クリックし、**\[すべてのタスク\]** をクリックし、**\[エクスポート\]** をクリックします。 **\[次へ\]** をクリックしてエクスポート プロセスを開始します。
3. **\[いいえ、秘密キーをエクスポートしません\]** チェックボックスを選択して、**\[次へ\]** をクリックします。
4. ファイル形式は既定の .cer のままにして、**\[次へ\]** をクリックします。
5. ファイル パスと名前を入力して、**\[次へ\]** をクリックします。
6. エクスポートをするために、**\[完了\]** をクリックし、**\[OK\]** をクリックします。
7. 証明書コンソールを閉じます。
###### データ回復エージェントを定義する
DRA を定義するには、グループ ポリシー オブジェクト内の公開キー ポリシー オブジェクトを変更し、DRA を追加して、その DRA に DRA の証明書をリンクします。これを実行するには、.CER 形式の DRA 証明書が必要です。
**DRA を定義するには**
1. **\[スタート\]** - **\[ファイル名を指定して実行\]** をクリックし、**mmc**と入力して、**\[OK\]** をクリックします。
2. **\[ファイル\]** メニューから **\[スナップインの追加と削除\]** をクリックします。
3. **\[追加\]** をクリックし、下にスクロールして、**\[グループ ポリシー\]** をダブルクリックします。
4. DRA ポリシーを影響を受けるコンピュータに適用するために使用しているグループ ポリシー オブジェクトを選択して、**\[OK\]** をクリックします。
5. 対象の GPO の横にあるプラス (**+**) 記号をクリックして、ツリーを展開します。**\[コンピュータの構成\]**、**\[Windows の設定\]**、**\[セキュリティの設定\]**、**\[公開キーのポリシー\]** の順に展開して、 **\[ファイル システムの暗号化\]** をクリックします。
6. **\[ファイル システムの暗号化\]** を右クリックして、**\[データ回復エージェントの追加\]** をクリックします。
7. **回復エージェントの追加**ウィザードで、**\[次へ\]** をクリックし、**\[フォルダの参照\]** をクリックして Administrator の **Documents and Settings** フォルダに移動します。**DRA.CER** ファイルをダブルクリックし、**\[次へ\]** をクリックして、**\[完了\]** をクリックします。
##### キー回復エージェントを管理、構成する
EFS の展開に必要な次の実装タスクは、キー回復エージェント (以下「KRA」) アカウントおよびインフラストラクチャのセットアップです。
###### キーをアーカイブできるように証明書サービスを構成する
Windows Server 2003 証明書サービス ソリューションを使用する場合、自動的にキーがアーカイブされるように CA を構成できます。キーのアーカイブの自動化は、Windows Server 2003 以降のサーバー エディションでのみ可能です。キーのアーカイブの自動化を構成するには、次のタスクを実行する必要があります。各タスクの詳細については、以降のサブセクションで説明します。
- キー回復エージェント証明書の有効化
- キー回復エージェント証明書の要求と発行
- 証明書要求の承認
- 証明書サービスでのキー回復エージェントの構成
- 新たに発行された証明書のアーカイブを可能にするアーカイブ機能フラグが含まれるように、デジタル証明書テンプレートを構成
**キー回復エージェント証明書を有効にする**
キー回復エージェント証明書要求を可能にするには、最初に証明書サービスでその要求を有効にする必要があります。
**KRA 証明書要求を可能にするには**
1. キー回復エージェントとなる、1 つまたはそれ以上のユーザー アカウントを選択します。
2. 証明書サービスの管理を許可されているユーザー アカウントで、Windows にログオンします。
3. 証明機関コンソールを開き (**\[スタート\]**、**\[すべてのプログラム\]**、**\[管理ツール\]**、**\[証明機関\]** の順にクリック)、承認された証明書サービス サーバーに接続します。
4. **\[証明機関\]**ノードを展開して、**\[証明書テンプレート\]** オブジェクトを右クリックし、**\[管理\]** を選択して証明書テンプレート コンソールを開きます。
5. **\[キー回復エージェント\]** 証明書テンプレートを右クリックし、**\[プロパティ\]** を選択します。
6. **\[セキュリティ\]** タブをクリックし、KRA に指定するユーザー アカウント (手順 1 で選択) に **\[読み取り\]** および **\[登録\]** の権限を設定します。
7. **\[要求処理\]** タブで、**\[キーの最小サイズ\]** が 2048 ビット以上に設定されていることを確認します。
.gif)**注 :**
現在マイクロソフトでは、すべての DRA および KRA 回復キーを 2048 ビット以上にすることを推奨しています。
8. **\[OK\]** をクリックします。
9. 1024 ビット以下のキーを既に作成して使用している場合、サイズの長いキーを新たに作成して脆弱なキーと置き換える必要があります。**\[キー回復エージェント\]** 証明書テンプレートを右クリックして、**\[証明書保持者をすべて再登録する\]** オプションを選択します。
10. 証明機関のコンソールに切り替え、**\[証明書テンプレート\]** オブジェクトを右クリックし、**\[新規\]** を選択して、**\[発行する証明書テンプレート\]** を選択します。
11. **\[キー回復エージェント証明書\]** を選択して、**\[OK\]** をクリックします。
12. 証明書テンプレートと証明機関のコンソールを閉じます。
**キー回復エージェント証明書を要求して発行する**
指定したアカウントを KRA として使用できるようにしたら、そのアカウントのユーザーに KRA が有効な証明書を発行する必要があります。
.gif)**注 :**
キー回復エージェント証明書を要求するには、証明書コンソール、Web 登録 (有効にする必要あり)、手動の証明書要求ファイルなど、さまざまな方法を使用できます。このガイドでは、証明書コンソールを使用する方法を説明します。
**KRA が有効な証明書を発行するには**
1. KRA ユーザー アカウント ログオンとパスワードを使用して、Windows にログオンします。
2. **\[スタート\]**、**\[ファイル名を指定して実行\]** の順にクリックし、「**MMC.EXE**」と入力して Enter キーを押します。ユーザー アカウント制御の確認メッセージが表示されたら、**\[続行\]** をクリックします。
3. **\[ファイル\]** メニューから **\[スナップインの追加と削除\]** を選択します。
4. **\[証明書\]** スナップインを選択して、**\[追加\]** をクリックします。
5. プロンプトが表示されたら、**\[ユーザー アカウント\]** を選択して、**\[完了\]** をクリックして、**\[OK\]** をクリックします。
6. **\[証明書 – 現在のユーザー\]** オブジェクトを展開し、**\[個人\]** オブジェクトをクリックします。
7. **\[個人\]** を右クリックし、**\[すべてのタスク\]** を選択し、**\[新しい証明書の要求\]** をクリックします。
8. 証明書の要求ウィザードで、**\[次へ\]** をクリックします。
9. **\[証明書の種類\]** ダイアログ ボックスで、**\[キー回復エージェント\]** を選択して、**\[次へ\]** をクリックします。
10. フレンドリ名 (「**My Key Recovery Agent Certificate**」など) と説明を入力したら **\[次へ\]** をクリックし、**\[完了\]** をクリックします。
11. 作業がすべて終了したら、証明書コンソールを閉じます。
12. Windows からログアウトします。
キー回復エージェント証明書を受け取ることを承認されているすべてのユーザーに対して、手順 1 ~ 12 を繰り返します。
**証明書要求を承認する**
KRA 証明書は通常、証明書サービスで手動で承認される必要があります。
**KRA 証明書要求を承認するには**
1. 証明書サービスでデジタル証明書要求の承認を許可されたユーザー アカウントで、Windows にログオンします。
2. 証明機関コンソールを開き、承認された証明書サービス サーバーに接続します。
3. **\[証明機関\]** ノードを展開し、**\[保留中の要求\]** をクリックします。右ウィンドウ枠に承認待ちの保留中の要求が表示されます。
4. 承認する KRA 証明書要求を選択します。
5. それぞれの KRA 要求を右クリックして、**\[発行\]** を選択します。
6. 証明機関コンソールを閉じます。
**証明書サービスでキー回復エージェントを構成する**
各キー回復エージェントは、証明書サービスに追加する必要があります。
**KRA を証明書サービスに追加するには**
1. 証明書サービスの管理を許可されているユーザー アカウントで、Windows にログオンします。
2. 証明機関コンソールを開き、承認された証明書サービス サーバーに接続します。
3. サーバー オブジェクトを右クリックして、**\[プロパティ\]** を選択します。
4. **\[回復エージェント\]** タブをクリックします (次のスクリーンショットを参照)。
.gif)
**図 2.3. 証明機関コンソールに表示されたサーバー オブジェクトの \[回復エージェント\] タブ**
5. **\[使用する回復エージェントの数\]** ボックスに、アーカイブされたキーを暗号化するときに使用するキー回復エージェントの数を入力します。この値は、1 以上にする必要があります。また、この値が有効な回復エージェント証明書の数を超えた場合、キーのアーカイブを必須とする新しい登録要求は失敗します。
6. **\[追加\]** をクリックして、1 つまたは複数の既に承認された KRA を追加します。次に、**\[OK\]** をクリックします。
7. 証明書サービスを再起動するメッセージが表示されたら、**\[はい\]** を選択します。新しいキー回復エージェントは証明書サービスが再起動されれるまで読み込まれません。
8. 作業がすべて終了したら、証明機関コンソールを閉じます。
**キーのアーカイブを可能にする新しい EFS 証明書テンプレートを作成する**
EFS デジタル証明書をユーザーに発行する際に使用されるデジタル証明書は、自動的にキーがアーカイブされるように構成する必要があります。このオプションは、ビルトインの基本 EFS 証明書テンプレートでは有効にできません。ビルトイン テンプレートをコピーし、EFS 証明書テンプレートのコピーで自動的なキー アーカイブを有効にする必要があります。
**自動的にキーがアーカイブされるようにデジタル証明書を構成するには**
1. 証明書サービスの管理を許可されているユーザー アカウントで、Windows にログオンします。
2. 証明機関コンソールを開き、承認された証明書サービス サーバーに接続します。
3. **\[証明機関\]** ノードを展開し、**\[証明書テンプレート\]** ノードを右クリックして、**\[管理\]** を選択して証明書テンプレートのコンソールを開きます。
4. **\[基本 EFS\]** 証明書テンプレートを右クリックして、**\[テンプレートの複製\]** を選択します。
5. 新しい証明書テンプレートに新しい名前 (「Updated Basic EFS」など) を割り当て、標準のテンプレートと区別できるようにします。
6. **\[要求処理\]** タブをクリックして、**\[サブジェクトの秘密キーをアーカイブする\]** チェック ボックスをオンにします (次のスクリーンショットを参照)。
.gif)
**図 2.4. 証明機関コンソールに表示された新しいテンプレートのダイアログのプロパティ**
7. 必要なキーの長さ (2048 ビットなど) を設定します。
8. **\[セキュリティ\]** タブをクリックし、EFS に関与させるユーザー アカウントに **\[読み取り\]** および **\[登録\]** の権限を設定します。
9. 必要に応じて、自動登録や有効期間など、その他の証明書テンプレート オプションを設定します。
10. 基の **\[基本 EFS\]** テンプレートで、**\[セキュリティ\]** タブをクリックして、登録の権限を **\[拒否\]** に設定している新しいアクセス制御エントリを作成します。
.gif)**注 :**
発行される EFS 証明書はすべて、新たに構成された証明書から発行する必要があります。さもないと、キーは自動的にアーカイブされません。
11. **\[OK\]** をクリックして、証明機関のコンソールを終了します。
##### オフライン回復エージェントの作成と使用
KRA と DRA はオフラインで使用するように構成し、回復作業が必要になったときにだけ有効にすることを強くお勧めします。オフライン回復エージェントを作成するには、おおよそ次の 4 つの手順が必要です。
1. 回復作業時にのみ使用する新しいユーザー アカウントを作成します。
2. DRA または KRA デジタル証明書を要求して生成し、新しいアカウントに割り当てます。
3. 証明書と秘密キーをエクスポートし、ネットワークから削除して、安全な場所に保管します。
4. 回復ユーザー アカウントを無効にして、必要になるまで使用できないようにします。
手順 1 と 2 については、このガイドの別のセクションで既に説明しています。手順 4 は、Windows アカウントの標準的な保守タスクです。しかし手順 3 に関しては、多少追加の説明が必要です。
###### 回復証明書のエクスポートと削除
オフラインで使用する回復証明書をエクスポートおよび削除するには、次の手順に従います。
**回復証明書をエクスポートおよび削除するには**
1. キーをエクスポートする回復ユーザー アカウントで、Windows にログオンします。
2. **\[スタート\]**、**\[ファイル名を指定して実行\]** の順にクリックし、「**MMC.EXE**」と入力して Enter キーを押します。ユーザー アカウント制御の確認メッセージが表示されたら、**\[続行\]** をクリックします。
3. **\[ファイル\]** メニューから、**\[スナップインの追加と削除\]** をクリックします。
4. **\[証明書\]** スナップイン を選択して、**\[追加\]** ボタンをクリックします。
5. プロンプトが表示された場合は、**\[ユーザー アカウント\]** ラジオ ボタンを選択して、**\[完了\]** ボタンをクリックして、**\[OK\]** をクリックします。
6. **\[証明書 – 現在のユーザー\]** オブジェクトを展開し、**\[個人\]** を展開して、**\[証明書\]** をクリックします。
7. 回復する出維持たる証明書を探します。どの証明書を使用しているか不明な場合、**\[目的\]** フィールドで、**\[ファイルの回復\]** または **\[キーの回復\]** を行うデジタル証明書を探します。
8. 回復証明書を右クリックし、**\[すべてのタスク\]** をクリックして、 **\[エクスポート\]** をクリックして、証明書のエクスポートのウィザードを開始します。
9. **\[次へ\]** ボタンをクリックします。
10. **\[はい、秘密キーをエクスポートします\]** チェックボックスを選択して、**\[次へ\]** をクリックします。
11. **\[正しくエクスポートされたときは秘密キーを削除する\]** チェックボックスを選択して、**\[次へ\]** をクリックします。
.gif)
**図 2.5. 証明書のエクスポート ウィザードの \[エクスポート ファイルの形式\] 画面**
12. 保護パスワードを 2 回入力して、**\[次へ\]**
13. **\[参照\]**
14. 回復キーおよび証明書のバックアップ ファイル名を入力します。キーの再インポートを簡単にできるように、ファイルの拡張子は .PFX のままにしておきます。
15. **\[保存\]\[次へ\]\[完了\]\[OK\]**
16. 作成されたバックアップ ファイルを別の場所にコピーして、必要がなければ現在の場所から削除します。EFS デジタル証明書またはファイルを削除した後は、必ずごみ箱を空にしてください。
17. 回復デジタル証明書とキーのバックアップを、2 か所以上の安全な場所に保管します。
.gif)**注 :**
回復証明書の秘密キーをエクスポートする場合、回復証明書の公開キー (FEK の暗号化に使用) はコンピュータに残しておく必要があります。公開キーを削除すると、EFS で保護されているファイルやキーの暗号化または回復に必要な回復エージェントを有効にできなくなります。
[](#mainsection)[ページのトップへ](#mainsection)
### コンピュータ単位の構成タスク
ここまでインフラストラクチャの構成タスクについて説明してきましたが、それ以外に個々のコンピュータ上でも構成タスクを実行する必要があります。
#### コンピュータ単位の構成タスク (BitLocker の場合)
コンピュータ上で BitLocker を構成するには、次のタスクを実行する必要があります。
- コンピュータが BitLocker を実行する要件を満たしていることを確認
- TPM が存在する場合は TPM の有効化および初期化
- BitLocker の有効化
##### TPM をサポートするように BIOS を更新する
計画の段階で、BitLocker を使用するコンピュータを特定し、その中で TPM v1.2 以降のハードウェアおよび互換性のある BIOS を備えたコンピュータがどれだけあるかを割り出しておきます。BitLocker を使用するためのコンピュータ単位の構成タスクとして、まず、BitLocker を使用するコンピュータの BIOS を更新します。
個々のコンピュータの BIOS を更新する具体的な手順は、製造元によって異なります。BIOS ファームウェアの更新プログラムは、メディアに収録された状態で新しいコンピュータに同梱されて出荷されることが多く、通常は OEM またはマザーボード ベンダーの Web サイトから入手できます。モバイル コンピュータでは一般的に、製造元が提供する BIOS イメージからブート可能な CD または USB ディスクを作成する必要があります。これを使用して、コンピュータを電源コンセントに接続したままでコンピュータを起動します。このプロセスでは、更新を行うために各コンピュータに物理的に接触することがどうしても必要になります。ベンダーが提供する手順に従って BIOS ファームウェアを更新し、更新プログラムを適用したらコンピュータを再起動します。
.gif)**注 :**
ソフトウェアの更新やパフォーマンスの向上といった多くの理由から、参加するすべてのコンピュータに最新の BIOS ファームウェアが適用されていることが重要です。Windows Vista で TPM または BitLocker を有効にする前に、最新バージョンのファームウェアがインストールされていることを確認してください。
##### 安定したブート パスの確認
BitLocker および TPM は、総称して TPM *プラットフォーム検証プロファイル* (PVP) と呼ばれる一連のチェックを実行することで、コンピュータの起動から Windows Vista の起動プロセスが終了するまでブート パスの整合性を確保します。BitLoker をインストールした後に起動プロセスが大きく変更された場合、PVP の結果は異なるものになり、整合性の変化が通知されます。整合性に変化が生じた場合、BitLocker によりオペレーティング システム ボリュームのロック解除が拒否され、別の回復手段も使用できなくなる場合があります。
そのため、BitLocker を有効にする前に、ハードウェアおよびソフトウェアのブート パスが完全に構成され安定した状態にあることを確認してください。特に、BitLocker を有効にする各コンピュータでは、次の設定/装備が必要です。
- 正しいブート デバイスに対応した BIOS 構成
- ファームウェアがインストールされた ROM 採用のオプション デバイス
- 構成済みの Wake-on-LAN イベント
- 構成済みの Windows ブート構成データ (BCD)
ローカル コンピュータ ポリシーおよび Active Directory グループ ポリシーを使用して、起動プロセス中に TPM が使用するブート コンポーネント (*プラットフォーム構成レジスタ* (PCR) と呼ばれる) を構成できます。大部分のアプリケーションでは、PCR の既定の設定で十分なセキュリティの効果があるので、PCR を変更することはお勧めしません。
BitLocker をインストールした後では、対応する PCR を備えたどのコンポーネントを変更する場合にも、回復パスワードが要求されます。PCR の変更例としては、BIOS の更新、ROM 対応のブート デバイスの追加、マスタ ブート レコード (MBR)、パーティション テーブル、低レベルのブート セクタ データ、ブート構成データ、またはブート マネージャの変更、新たにデュアルブートを実現するための別のオペレーティング システムのインストールなどが挙げられます。
.gif)**注 :**
Windows Vista のマスタ ブート レコード (MBR)、ブート セクタ コード、およびブート マネージャでは、整合性が強固に保護されており、BitLocker に適しています。マイクロソフトでは、サードパーティ製のブート ローダーを使用しないように強くお勧めします。BitLocker を有効にした後で新しいブート ローダーを追加すると、復元処理が開始されます。BitLocker を有効にする前にブート ローダーを取り替えた場合、BitLocker は安全なブート環境を維持できなくなります。
##### TPM を有効にする
TPM と併用する形での BitLocker の展開を計画している場合は、各クライアント コンピュータで TPM を有効にする必要があります。Windows Vista の要件を満たしていると認定されているコンピュータの場合、BitLocker のセットアップ プロセスの途中で TPM を有効にできる BIOS バージョンが使用されています。これ以外の場合、TPM を有効にするためには、通常はそのコンピュータの BIOS セットアップおよび構成プログラムを使用する必要があります。一般的に、コンピュータのハードウェア起動プロセス中に特定の組み合わせのキーを押せばこのプログラムを起動できます。TPM のオプションは多くの場合、構成画面の **\[詳細設定\]** または **\[周辺機器の構成\]** にありますが、標準として決められた場所はありません。オプションが無効になっている場合、**\[有効にする\]** を選択し、新しい BIOS 設定を保存して終了し、必要な場合は再起動します。再起動すると、TPM が装備されたコンピュータの多くでは、TPM を有効にするかどうかを確認する画面 (次のスクリーンショットを参照) が表示されます。
.gif)
**図 2.6. TPM の確認ダイアログの例**
##### Windows Vista で TPM を初期化する
TPM を BitLocker と併用する場合、Windows Vista が TPM の所有権を取得できるようにして、TPM チップを初期化する必要があります。TPM 所有者情報は、TPM MMC スナップイン (tpm.msc) で参照できます。
各コンピュータで、一度 TPM を初期化する必要があります。コンピュータが複数のオペレーティング システムを起動するように構成されている場合、オペレーティング システムごとに BitLocker を一度有効にする必要があります。つまり、Windows Vista がマルチ ブート構成になっている 1 台のコンピュータを使用している場合、インストールされている Windows Vista ごとに BitLocker を有効にします。
通常の場合、BitLocker セットアップ ウィザードで、TPM の初期化プロセスは自動的に実行されます。しかし、必要であれば手動で TPM を初期化することができます。
**Windows Vista 画面から TPM を初期化するには**
1. TPM チップが BIOS で有効になっていることを確認します。
2. TPM 管理パスワードで適切なストレージまたはプリンタを使用できることを確認します。
3. コンピュータのローカル管理者権限を持つアカウントで、Windows Vista にログオンします。
4. MMC の \[Trusted Platform Module\] スナップインを起動します。それには、検索ボックスに「**TPM.MSC**」と入力してEnter キーを押します。
5. **\[続行\]** をクリックします。TPM コンソールが表示されます。
6. Windows Vista で TPM チップが認識されない場合は、問題のトラブルシュートを実施します。TPM の有効化が正常に完了してからこの手順を再開します。
7. **\[操作\]**ペインで、**\[TPM を初期化\]** オプションをクリックします。
8. **\[TPM 所有者パスワードを作成します\]** ダイアログ ボックスで、TPM 所有者パスワードの作成を要求されます。このパスワードは、BitLocker の領域外となる TPM の管理タスクでのみ必要となります。
パスワードは、ウィザードで自動的に作成することも (推奨)、手動で作成することもできます。手動でパスワードを作成する場合は、8 文字以上のパスワードを作成する必要があります。TPM 所有者パスワードは、設定後にいつでも変更できます (変更するには現在のパスワードを知っている必要があります)。
9. パスワードは、USB フラッシュ メモリ デバイスなどのリムーバブル メディア、またはファイル、デスクトップ、ネットワークなどの有効な保管場所に保存できます。接続されたローカル プリンタまたはネットワーク プリンタでパスワードを印刷することもできます。Windows Vista では、TPM パスワードは .TPM ファイル拡張子を持つ XML 形式のファイルとして保存されます。既定では、ファイル名としてコンピュータの名前が付けられます。TPM 所有者パスワードは、2 か所以上の安全な場所に保管してください。
10. パスワードを入力して、保存または印刷が完了すると、TPM の初期化が開始されます。TPM の初期化のステータスを示す進捗状況ダイアログが表示されます。
11. 初期化が終了したら、Windows Vista は完了のダイアログを表示します。**\[閉じる\]** をクリックして初期化のプロセスを終了します。
**manage-bde.wsf** スクリプトを実行する方法でも、Windows Vista 画面から TPM を初期化して所有権を取得できます。
**cscript manage-bde.wsf -tpm -takeownership -***<パスワード>*
このコマンドを実行することによって TPM の所有権が取得され、TPM 所有者パスワードが特定の値に設定されます。
状況に応じて、提供されている WMI インターフェイスを使用して TPM を制御する、独自のスクリプトを作成することもできます。
##### BitLocker を有効にする
BitLocker を有効にする方法は 2 つあります。以下で説明する手順を使用して手動で有効にするか、Windows 展開ウィザードを使用します。Windows 展開ウィザードを使用して BitLocker を有効にする方法の詳細については、Business Desktop Deployment ツールキットの「Lite Touch Installation Guide」セクションにある「[Running the Windows Deployment Wizard](https://go.microsoft.com/fwlink/?linkid=78820)」(英語) を参照してください。
.gif)**注 :**
グループ ポリシー設定によって、エンド ユーザーが構成できる BitLocker の機能が制御されます。したがって、インターフェイスの内容は下のスクリーンショットとは異なる場合があります。
**手動で BitLocker を有効にするには**
1. \[コントロール パネル\] を開いて、**\[セキュリティ\]** をダブルクリックします。
2. **\[BitLocker ドライブ暗号化\]** をダブルクリックします。ユーザー アカウント制御が表示されたら、**\[続行\]** をクリックします。
.gif)
**図 2.7. \[コントロール パネル\] 内の \[BitLocker ドライブ暗号化\] 画面**
3. **\[BitLocker をオンにする\]** オプションをクリックします。
4. 次の図のような、BitLocker 回復パスワードの保存場所または印刷を選択できるダイアログが表示される場合があります。BitLocker 回復パスワードの保存を選択した場合、48 文字の BitLocker 回復パスワードは、BitLocker Password ID という名前のテキスト ファイルに保存されます。回復パスワードを USB フラッシュ メモリ ドライブに保存した場合、256 ビットの回復キーが隠しファイル (拡張子は .BEK) として保存されます。ファイルの保管場所は、USB フラッシュ メモリ ドライブ以外にも任意に選択できます。または、回復パスワードを印刷することもできます。下のスクリーンショットは、回復パスワードを USB フラッシュ メモリ ドライブの特定のフォルダに保存しているところを示しています。
.gif)
**図 2.8. BitLocker 回復パスワードのオプション**
5. 回復パスワードは、1 か所以上の安全な場所に保管してください。この BitLocker 回復キーを紛失した場合、データにアクセスできなくなります。BitLocker 回復パスワードが正常に保存されない限り、BitLocker を有効にする操作を続行することはできません。
.gif)**注 :**
回復パスワードはテキスト ファイル内にプレーンテキストで記述されます。したがって、不正なアクセスから保護する必要があります。
BitLocker 回復パスワードを 1 回以上保存したら、**\[次へ\]** ボタンをクリックします。
6. **\[ボリュームの暗号化\]** ダイアログ ボックスで **\[Bitlocker システム チェックを実行する\]** オプションを選択して、ブート パスが信頼できるものであり、BitLocker の保護機能が検索可能であることを確認します。この手順は必須ではありませんが、実行することを強くお勧めします。障害が存在する場合、警告が表示され、BitLocker 暗号化の処理は自動的に行われなくなります。
7. **\[続行\]** ボタンをクリックします。システム チェックを実行しないを選択した場合、**\[暗号化\]** をクリックして、ボリュームの暗号を開始できます。
8. システム チェックを実行した場合は、USB フラッシュ メモリ メディアが挿入されていることを確認して (BitLocker 回復パスワードの保存先として選択している場合)、コンピュータを再起動するように求めるメッセージが表示されます。
9. 再起動中に、Windows Vista は USB キーに保存されている BitLocker 回復パスワードを検索して確認します。次に、処理が正常に完了したことを示すメッセージが、プレブート テキスト ダイアログ ボックスに表示されます。
10. Windows Vista が再起動されると BitLocker はブート ボリュームの暗号化を開始し、進捗状況をパーセンテージで示すメッセージ (次のスクリーンショットを参照) が表示されます。
.gif)
**図 2.9. BitLocker 暗号化の進捗状況を示すメッセージ**
オペレーティング システム ボリュームの最初の暗号化には、わずかに時間を要します。暗号化が行われている間も、ユーザーはコンピュータで作業を続けることができます。
##### BitLocker の構成およびインストールの確認
BitLocker によるオペレーティング システム ボリュームの暗号化が完了したら、ディスク管理コンソールを使用してステータスを確認できます (次のスクリーンショットを参照)。暗号化されたボリュームには、「BitLocker で暗号化済み」という語句が表示されます。
.gif)
**図 2.10. ディスク管理コンソール**
Active Directory を使用して回復キーを保管している場合は、回復情報が Active Directory に正常に保存されていることを確認してください。そのためには、BitLocker Recovery Password Viewer (マイクロソフト サポート技術情報 928202「[Active Directory ユーザーとコンピュータ ツール用の BitLocker Recovery Password Viewer を使用して Windows Vista の回復パスワードを表示する方法](https://support.microsoft.com/kb/928202)」から入手可能) を入手してインストールし、このビューアを使用して回復情報が 1 台または複数のコンピュータで利用できることを確認します。BitLocker Recovery Password Viewer を利用すれば、権限を持つヘルプ デスクまたはサポート担当者が必要に応じて回復情報を取得できるようにするためのプロセスも簡単になります (パスワード回復に関するポリシーの問題の詳細については、[「Windows BitLocker ドライブ暗号化およびトラステッド プラットフォーム モジュールの回復情報をバックアップするように、Active Directory を構成する 」](https://technet.microsoft.com/ja-jp/library/3dbad515-5a32-4330-ad6f-d1fb6dfcdd41(v=TechNet.10))を参照してください)。
#### コンピュータ単位の構成タスク (EFS の場合)
EFS を使用する場合、コンピュータごとに比較的少数の構成タスクを実行する必要があります。初めて EFS を展開する場合、実行する必要があるタスクは、対象のコンピュータで保護するファイルまたはフォルダを暗号化する作業だけです。
##### ファイルおよびフォルダの暗号化
対象のコンピュータで EFS が有効になったら、組織内のユーザーは各自のコンピュータ上のファイルおよびフォルダの暗号化を開始できます。このツールキットに付属する EFS アシスタントを使用すれば、暗号化ポリシーを作成できます。または、Windows で利用可能な 2 つのインターフェイスのいずれかを使用して EFS 暗号化を有効にする方法をユーザーに教えてください。
###### エクスプローラを使用する場合
**エクスプローラを使用してファイルまたはフォルダの暗号化の状態を変更するには**
1. ファイルまたはフォルダを右クリックして、**\[プロパティ\]** をクリックします。
2. **\[全般\]** タブで、**\[詳細設定\]** ボタンをクリックして、**\[内容を暗号化してデータをセキュリティで保護する\]** チェックボックスを選択します。
3. **\[OK\]** を 2 回クリックして、ファイルが暗号化されたことを確認します。
.gif)
**図 2.11. エクスプローラの \[属性の詳細\] ダイアログ**
フォルダ内の個々のファイルを初めて暗号化するときには、そのファイルのみを暗号化するのか、または親フォルダ全体を暗号化するのかを確認するダイアログが表示されます。後者の場合、フォルダ全体ならびにそのすべての子ファイルおよびサブフォルダに対して EFS が有効になります。
.gif)
**図 2.12. エクスプローラの \[暗号化に関する警告\] ダイアログ**
###### Cipher.exe を使用する場合
**Cipher.exe** コマンド ライン ツールを使用してファイルおよびフォルダの暗号化を行うこともできます。そのためには、コマンド プロンプトで暗号化するファイルまたはフォルダがあるディレクトリに移動します。ディレクトリ全体およびその中に含まれるすべてのファイルとフォルダを暗号化するには、「**Cipher.exe /e**」と入力して Enter キーを押します。暗号化するファイルまたはフォルダを複数指定することもできます。そのためには、**/e** スイッチの後ろに名前を含めます。
###### 共有ファイルの暗号化
**共有ファイルにユーザーを追加するには**
1. **\[プロパティ\]** をクリックします。
2. **\[全般\]** タブで、**\[詳細設定\]** ボタンをクリックして、**\[詳細\]** ボタンをクリックします。
EFS デジタル証明書を持つその他のユーザーが表示されます。
3. 追加する 1 人または複数のユーザーを選択して、**\[OK\]** をクリックします。
4. **\[OK\]** を 2 回クリックしてエクスプローラに戻ります。
.gif)**注 :**
Windows Vista では、**Cipher.exe** コマンドに **/adduser** パラメータを付けて実行する方法を使用しても、EFS で保護されたファイルに他のユーザーを追加することができます。
###### ファイルまたはフォルダの暗号化の状態の確認
特定のファイルまたはフォルダが暗号化されているかどうか不明な場合、それを確認する方法はいくつかあります。そのうちの 2 は視覚的に識別することが可能な方法で、1 つはエクスプローラを、1 つは **Cipher.exe** を使用します。
**エクスプローラ**
エクスプローラでは、EFS で暗号化されたファイルおよびフォルダは緑色のフォントで表示されるか (次のスクリーンショットを参照)、またはファイル属性に "E" の文字が表示されます。
.gif)
**図 2.13. エクスプローラ内の EFS で暗号化されたファイル**
緑色で強調表示される機能は Windows XP Professional およびそれ以降のバージョンの Windows 固有の機能で、既定でオンになっています。Windows XP でこの機能をオンまたはオフにするには、**\[フォルダ オプション\]** をクリックして、**\[暗号化や圧縮された NTFS ファイルをカラーで表示する\]** 属性のチェックボックスを選択または解除します。
Windows Vista でこの設定にアクセスするには、エクスプローラを開き、**\[整理\]** メニューの **\[フォルダと検索のオプション\]** をクリックし、**\[表示\]** タブをクリックして **\[暗号化や圧縮された NTFS ファイルをカラーで表示する\]** チェックボックスを選択または解除します。
Windows XP Professional でこの設定にアクセスするには、エクスプローラを開き、**\[ツール\]** メニューの **\[フォルダ オプション\]** をクリックして、 次に **\[表示\]** タブをクリックします。
Windows のバージョンによっては、エクスプローラでファイルまたはフォルダの属性がそのまますぐに表示されないようになっている場合があります。ファイルの表示方法が **\[詳細\]** 表示になっていることを確認してください。それでもファイルまたはフォルダの属性が表示されない場合は、属性表示を **\[詳細\]** 表示に追加する必要があります。それには、**\[詳細\]** 表示の任意の列見出しを右クリックし、**\[その他\]** をクリックして、**\[属性\]** を選択します。
**Cipher.exe**
**Cipher.exe** コマンド ライン ユーティリティを使用して、EFS で保護されているファイルの表示、暗号化、暗号化解除を行うこともできます (その他のオプションもあります)。ファイルの EFS の状態を確認するには、Windows のコマンド プロンプトを開き、目的のファイルまたはフォルダの場所に移動し、コマンド ライン パラメータを何も付けずに「**Cipher.exe**」と入力して Enter キーを押します。Cipher ユーティリティによって、暗号化されていないファイルまたはフォルダの横には "**U**" の文字が表示され、暗号化されているファイルまたはフォルダの横には "**E**" が表示されます。
[](#mainsection)[ページのトップへ](#mainsection)
### 関連情報
- [Configuring Active Directory to Back up Windows BitLocker Drive Encryption and Trusted Platform Module Recovery Information (英語)](https://go.microsoft.com/fwlink/?linkid=67438)
- [Certificate Autoenrollment in Windows XP (英語)](https://www.microsoft.com/technet/prodtechnol/winxppro/maintain/certenrl.mspx)
- [Running the Windows Deployment Wizard (英語)](https://go.microsoft.com/fwlink/?linkid=78820)
- [Active Directory ユーザーとコンピュータ ツール用の BitLocker Recovery Password Viewer を使用して Windows Vista の回復パスワードを表示する方法](https://support.microsoft.com/kb/928202)
[](#mainsection)[ページのトップへ](#mainsection)
##### 目次
- [概要](https://www.microsoft.com/japan/technet/security/guidance/clientsecurity/dataencryption/planandimplement/default.mspx)
- [第 1 章 : 計画に際しての考慮事項](https://technet.microsoft.com/ja-jp/library/54de4f8c-d962-4744-b2da-99f7ad7953df(v=TechNet.10))
- 第 2 章 : 構成および展開タスク
- [第 3 章 : 運用および回復のシナリオ](https://technet.microsoft.com/ja-jp/library/01754723-3e94-4bec-8284-02e2a4e91593(v=TechNet.10))
**ダウンロード**
[Data Encryption Toolkit for Mobile PCs を入手する (英語)](https://go.microsoft.com/fwlink/?linkid=81666)
[](#mainsection)[ページのトップへ](#mainsection)