次の方法で共有

Windows で回復エージェントの暗号化ファイル システム (EFS) 秘密キーをバックアップする

この記事では、回復エージェントの暗号化ファイル システム (EFS) 秘密キーをコンピューター上にバックアップする方法について説明します。

元の KB 番号: 241201

まとめ

ローカル コンピューターにある EFS 秘密キーのコピーが失われた場合にデータを回復するには、回復エージェントの秘密キーを使用します。 この記事では、証明書のエクスポート ウィザードを使用して、ワークグループのメンバーであるコンピューター、および Windows Server 2003 ベース、Windows 2000 ベース、Windows Server 2008 ベース、または Windows Server 2008 R2 ベースのドメイン コントローラーから回復エージェントの秘密キーをエクスポートする方法について説明します。

はじめに

この記事では、Windows Server 2003、Windows 2000、Windows XP、Windows Vista、Windows 7、Windows Server 2008、および Windows Server 2008 R2 の回復エージェント暗号化ファイル システム (EFS) 秘密キーをバックアップする方法について説明します。 ローカル コンピューターにある EFS 秘密キーのコピーが失われた場合に、回復エージェントの秘密キーを使用してデータを回復できます。

EFS を使用してデータ ファイルを暗号化し、不正アクセスを防ぐことができます。 EFS は、ファイルを暗号化するために動的に生成される暗号化キーを使用します。 ファイル暗号化キー (FEK) は EFS 公開キーで暗号化され、データ復号化フィールド (DDF) という名前の EFS 属性としてファイルに追加されます。 FEK を復号化するには、公開キーと秘密キーのペアから対応する EFS 秘密キーが必要です。 FEK の暗号化を解除した後、FEK を使用してファイルの暗号化を解除できます。

EFS 秘密キーが失われた場合は、回復エージェントを使用して暗号化されたファイルを回復できます。 ファイルが暗号化されるたびに、FEK も Recovery エージェントの公開キーで暗号化されます。 暗号化された FEK は、データ回復フィールド (DRF) の EFS 公開キーで暗号化されたコピーを使用してファイルにアタッチされます。 復旧エージェントの秘密キーを使用する場合は、FEK の暗号化を解除してから、ファイルの暗号化を解除できます。

既定では、Microsoft Windows 2000 Professional を実行しているコンピューターがワークグループのメンバーであるか、Microsoft Windows NT 4.0 ドメインのメンバーである場合、コンピューターに最初にログオンするローカル管理者が既定の回復エージェントとして指定されます。 既定では、Windows XP または Windows 2000 を実行しているコンピューターが Windows Server 2003 ドメインまたは Windows 2000 ドメインのメンバーである場合、ドメイン内の最初のドメイン コントローラーの組み込み管理者アカウントが既定の回復エージェントとして指定されます。

Windows XP を実行していて、ワークグループのメンバーであるコンピューターには、既定の回復エージェントがありません。 ローカル回復エージェントを手動で作成する必要があります。

重要

秘密キーをフロッピー ディスクまたはその他のリムーバブル メディアにエクスポートしたら、フロッピー ディスクまたはメディアを安全な場所に保存します。 誰かが EFS 秘密キーにアクセスすると、そのユーザーは暗号化されたデータにアクセスできます。

ワークグループのメンバーであるコンピューターから回復エージェントの秘密キーをエクスポートする

ワークグループのメンバーであるコンピューターから回復エージェントの秘密キーをエクスポートするには、次の手順に従います。

  1. 回復エージェントのローカル ユーザー アカウントを使用してコンピューターにログオンします。

  2. [スタート] をクリックし、[実行] をクリックし、「mmc」と入力して、[OK] をクリックします。

  3. [ファイル] メニューの [スナップインの追加と削除] をクリックします。 次に、Windows Server 2003、Windows XP、または Windows 2000 の [追加] をクリックします。 または、Windows Vista、Windows 7、Windows Server 2008、または Windows Server 2008 R2 の [ OK をクリックします。

  4. [Available スタンドアロン スナップインで、Certificatesをクリックし、[追加] をクリック

  5. [ユーザー アカウントをクリックし、次に [Finish] をクリックします。

  6. [ Close] をクリックし、Windows Server 2003、Windows XP、または Windows 2000 の [ OK をクリックします。 または、Windows Vista、Windows 7、Windows Server 2008、または Windows Server 2008 R2 の [ OK をクリックします。

  7. Certificates - Current User をダブルクリックし、Personal をダブルクリックし、certificates ダブルクリックします。

  8. Intended Purposes 列に "File Recovery" (引用符なし) という単語が表示されている証明書を見つけます。

  9. 手順 8 で確認した証明書を右クリックし、[ すべてのタスク] をポイントし、[ Export] をクリックします。 証明書のエクスポート ウィザードが起動します。

  10. 次へ をクリックします。

  11. [ Yes] をクリックし、秘密キーをエクスポートし、[次へ ] をクリック

  12. [ 個人情報交換 - PKCS #12 (.PFX)。

    Note

    有効な強力な保護 (IE 5.0、NT 4.0 SP4 以上が必要チェック ボックスをオンにして、秘密キーを承認されていないアクセスから保護することを強くお勧めします。

    エクスポートが成功した場合に秘密キーを削除する] チェック ボックスをオンにするとコンピューターから秘密キーが削除され、暗号化されたファイルの暗号化を解除できなくなります。

  13. 次へ をクリックします。

  14. パスワードを指定し、[次へ] をクリック

  15. 証明書と秘密キーをエクスポートするファイル名と場所を指定し、[次へ ] をクリック

    Note

    ファイルをディスクまたはリムーバブル メディア デバイスにバックアップしてから、バックアップの物理的なセキュリティを確認できる場所に保存することをお勧めします。

  16. [証明書のエクスポート ウィザードの完了] ページに表示される設定を確認し、[ Finish] をクリックします。

ドメイン回復エージェントの秘密キーをエクスポートする

ドメイン内の最初のドメイン コントローラーには、ドメインの既定の回復エージェントの公開証明書と秘密キーを含む組み込みの管理者プロファイルが含まれています。 パブリック証明書は既定のドメイン ポリシーにインポートされ、グループ ポリシーを使用してドメイン クライアントに適用されます。 管理者プロファイルまたは最初のドメイン コントローラーが使用できなくなった場合、暗号化されたファイルの暗号化解除に使用される秘密キーは失われ、その回復エージェントを介してファイルを回復することはできません。

暗号化されたデータ回復ポリシーを見つけるには、グループ ポリシー オブジェクト エディター スナップインで既定のドメイン ポリシーを開き、 Computer 構成を展開し、 Windows 設定を展開し、 セキュリティ設定を展開し、 公開キー ポリシーを展開します。

ドメイン回復エージェントの秘密キーをエクスポートするには、次の手順に従います。

  1. ドメインで昇格された最初のドメイン コントローラーを見つけます。

  2. 組み込みの管理者アカウントを使用してドメイン コントローラーにログオンします。

  3. [スタート] をクリックし、[実行] をクリックし、「mmc」と入力して、[OK] をクリックします。

  4. [ファイル] メニューの [スナップインの追加と削除] をクリックします。 次に、Windows Server 2003 または Windows 2000 の [追加] をクリックします。 または、Windows Server 2008 または Windows Server 2008 R2 で OK をクリックします。

  5. [Available スタンドアロン スナップインで、Certificatesをクリックし、[追加] をクリック

  6. [ユーザー アカウントをクリックし、次に [Finish] をクリックします。

  7. [ Close] をクリックし、Windows Server 2003 または Windows 2000 の [ OK をクリックします。 または、Windows Server 2008 または Windows Server 2008 R2 で OK をクリックします。

  8. Certificates - Current User をダブルクリックし、Personal をダブルクリックし、certificates ダブルクリックします。

  9. Intended Purposes 列に "File Recovery" (引用符なし) という単語が表示されている証明書を見つけます。

  10. 手順 9 で確認した証明書を右クリックし、[ すべてのタスク] をポイントし、[ Export] をクリックします。 証明書のエクスポート ウィザードが起動します。

  11. 次へ をクリックします。

  12. [ Yes] をクリックし、秘密キーをエクスポートし、[次へ ] をクリック

  13. [ 個人情報交換 - PKCS #12 (.PFX)。

    Note

    有効な強力な保護 (IE 5.0、NT 4.0 SP4 以上が必要をクリックして、秘密キーを承認されていないアクセスから保護することを強くお勧めします。

    [ エクスポートが成功した場合に秘密キーを削除する ] チェック ボックスをオンにすると、秘密キーがドメイン コントローラーから削除されます。 ベスト プラクティスとして、このオプションを使用することをお勧めします。 回復エージェントの秘密キーは、ファイルを回復するために必要な場合にのみインストールします。 それ以外の場合は、セキュリティを維持するために、復旧エージェントの秘密キーをエクスポートしてからオフラインに保存します。

  14. 次へ をクリックします。

  15. パスワードを指定し、[次へ] をクリック

  16. 証明書と秘密キーをエクスポートするファイル名と場所を指定し、[次へ ] をクリック

    Note

    ファイルをディスクまたはリムーバブル メディア デバイスにバックアップしてから、バックアップの物理的なセキュリティを確認できる場所に保存することをお勧めします。

  17. [証明書のエクスポート ウィザードの完了] ページに表示される設定を確認し、[ Finish] をクリックします。