EFS (Encrypting File System) で利用される “EFS 回復エージェント証明書” とは、開けなくなった EFS 暗号化されたファイルを回復させるための証明書です。
ドメイン環境を構築した際に、100 年の有効期間をもつ EFS 回復エージェント証明書は自動で作成されます。
また、Default Domain Policy のポリシーを利用して、全てのドメイン端末に EFS 証明書を配布します。
既定で作成される EFS 回復エージェント証明書を紛失してしまった場合、EFS 暗号化されたファイルを回復できなくなります。
ただし、回復エージェント証明書は複数定義することができますので、
今回は、EFS 回復エージェント証明書を作成して、ドメイン内に配布する手順を紹介します。
EFS回復エージェント証明書の作成
1) 任意の Windows OS の端末にログオンします。
2) 回復エージェント証明書の保存先となるフォルダを作成します。(例: C:\tmp)
3) コマンド プロンプトを起動します。
4) コマンド プロンプト上で、以下のコマンドを実行します。
cipher /r:C:\<フォルダ名>\<ファイル名(拡張子なし)>
実行例:
cipher /r:C:\tmp\cert
5) プロンプト上にパスワードの入力を求められますので、EFS 回復エージェント証明書をインストール時に必要となるパスワードを入力します。
6) オプションに指定したフォルダに回復エージェント証明書が作成されていることを確認します。
7) 秘密キーなしの CER の証明書ファイルをグループ ポリシーで配布します。
秘密キー付きの PFX ファイルは、回復エージェント証明書として利用できるので、第三者に入手されない安全な場所で保存しておきます。
グループ ポリシーで回復エージェント証明書を配布
ドメイン端末に回復エージェント証明書の設定を配布します。
設定を配布する対象の端末に適用される GPO にて、設定を行います。
1) ドメイン コントローラーに管理者権限をもつユーザーにログオンします。
2) 配布する回復エージェント証明書のエクスポート ファイルを用意して、任意のフォルダに保存します。
3) スタートボタンより、[Windows 管理ツール] より [グループ ポリシーの管理] を開き、回復エージェント証明書をドメイン環境に配布する際に使用する GPO を右クリックして [編集] をクリックします。
4) グループ ポリシー管理エディターの画面の左ペインより、[コンピューターの構成] – [ポリシー] – [Windows の設定] – [セキュリティの設定] – [公開キーのポリシー] – [暗号化ファイル システム] を右クリックして [データ回復エージェントの追加] をクリックします。
5) [回復エージェントの追加ウィザードの開始] にて、[次へ] をクリックします。
6) [回復エージェントを選択してください] にて、[フォルダーの参照] をクリックします。
7) 対象の回復エージェント証明書のファイルを選択して、[開く] をクリックします。
8) “この証明書をインストールしますか” と表示されたら、[はい] をクリックします。
9) [回復エージェント] の項目に、対象の回復エージェント証明書が追加されているのを確認したら [次へ] をクリックします。
10) [回復エージェントの追加ウィザードの完了] にて、[完了] をクリックします。
11) グループ ポリシー管理エディターにて、[暗号化ファイル システム] に回復エージェント証明書が追加されていることを確認します。
グループ ポリシーにて回復エージェント証明書の設定をした後、その設定をすぐに端末に反映させるためには、gpupdate /force コマンドを実行します。
ポリシーの設定を行った後は、回復エージェント証明書のヘッダ(DRF)が追加されるのは新たに EFS 暗号化したファイルのみではありません。
既存の EF 暗号化ファイルについても、EFS 証明書が存在しており正常に開ける(復号できる)状態であれば、ファイルを開いたタイミングでなどで新しい回復エージェント設定が反映されます。(DRF のヘッダーが追加されます。)