ねこまるの AD フリーク

【Windows】EFS (Encrypting File System) の無効化の設定

AD CS

EFS (Encrypting File System) とは、Windows OS 標準で利用可能な機能で、ファイルやフォルダを暗号化してセキュリティ保護する機能です。

 

関連記事
【Windows】EFS (Encrypting File System) の仕組み

EFS (Encrypting File System) とは、Windows OS 標準で利用可能な機能で、ファイルやフォルダを暗号化してセキュリティ保護することができます。 EFS 暗号化ファイル システムでは、公開鍵暗号化方式と共通[…]

 

この機能を利用して、ファイルを暗号化して保護するとファイルに南京錠がかけられた状態のアイコンになります。

ファイルを操作するユーザーが、ファイルの EFS 暗号化に利用した証明書が登録された状態であれば正常にひらくことができます。
しかし、万一、EFS 暗号化に利用した証明書が損失してしまった場合、EFS 暗号化ファイルが開けなくなります。

以下の記事で紹介しているように、回復エージェント証明書を利用することで回復することもできます。

 

関連記事
【解決方法】回復エージェント証明書で EFS 暗号化を解除する手順

EFS 暗号化されたファイル(南京錠のアイコンが追加ついたファイル)を開こうとすると、以下のメッセージが表示されて開けないことがあります。 "アクセスが拒否されました" 南京錠のマークがついたファイルは、EFS という機能で暗号化さ[…]

 

しかしながら、環境によっては回復エージェント証明書が設定されていないこともあり、EFS 暗号化したファイルを回復できないこともあります。
この場合、回復する方法はないため、開けなくなったファイルは今後利用することができません。

多くの場合はユーザーの操作ミスによるものが多い問題ですが、大切な資料が損失しないように、そもそもユーザーに EFS 暗号化させる操作を行わせないようにしたいこともあるかと思います。
その場合、対象の Windows OS 端末にて、EFS の機能そのものを無効化してしまいます。

今回は、Windows OS で EFS の機能を無効化する方法を紹介します。

 

目次

方法①:レジストリ設定による EFS 暗号の無効化

Windows OS にて EFS の機能を無効にするには、レジストリ エディターにて、以下のレジストリを設定します。

キー: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
値: NtfsDisableEncryption
データ型: REG_DWORD
データ: 1

上記のレジストリを設定した後、設定を反映させるために OS を再起動します。

 

OS を再起動した後、EFS の機能は無効化されます。
ファイルのプロパティ画面から、ファイルの EFS 暗号化をしようとしても、EFS 暗号化するための設定である [内容を暗号化してデータをセキュリティで保護する] のオプションがグレーアウトして EFS 暗号化することができなくなります。

 

方法②:ポリシー設定による EFS 暗号の無効化

Windows OS にて EFS の機能を無効化は、ポリシーでも設定することができます。
グループ ポリシーもしくはローカル グループ ポリシーにて、以下のポリシーを設定します。

パス:[コンピュータの構成] – [ポリシー] – [Windows の設定] – [セキュリティの設定] – [公開キーのポリシー] – [ファイル システムの暗号化]

 

プロパティ画面にて、[許可しない] を設定して [適用] をクリックします。

 

ポリシーによる EFS の無効化については、OS を再起動しなくとも、ポリシーが適用されたタイミングにて EFS が無効化されます。

ポリシーにより EFS を無効化した時は、レジストリ設定の時の動作とは違ってプロパティ画面の [内容を暗号化してデータをセキュリティで保護する] のオプションはグレーアウトしません。

 

ただし、EFS 暗号化の機能は無効化されているので、[内容を暗号化してデータをセキュリティで保護する] のオプションのチェックボックスを有効にした状態で、プロパティ画面にて [適用] をクリックしても、以下のメッセージが表示されて、EFS 暗号化は行われません。

“このコンピューターではファイルの暗号化が無効になっています。”

 

EFS 無効化における注意点

Windows OS において、EFS の機能を無効化すると、ファイルやフォルダを無効化することができなくなります。

注意点として、EFS 無効化した後も、すでに EFS 暗号化されたファイルはフォルダは暗号化したままで残ります。
しかしながら、EFS 暗号化の機能自体を無効化してしまうので、暗号化されたファイルは開けなくなってしまいます。EFS 暗号化解除もできません。

そのため、EFS を無効化をする場合は、作業前に Windows OS  端末に EFS 暗号化されたファイルやフォルダが残存していないか確認し、存在する場合は事前に EFS 暗号化を解除しておきましょう。