データ回復エージェントを作成する [Win10]

EFS(暗号化ファイルシステム)で使うデータ回復エージェントを作成して運用対象の回復ポリシーに追加する方法。Windows 10 Proを使用。あくまで個人的なメモ。

EFSで暗号化されたファイルは原則それを作成・更新したユーザーでしかアクセスできない。他のユーザーの証明書(PFXファイル)をインポートすれば、ファイル・フォルダー個々に対して複数のユーザーで共有するよう設定できる。

何かしらの理由で暗号化を行ったユーザーを使用できなくなった場合でも、そのユーザーの証明書(PFXファイル)のバックアップがあれば、それをインポートすることで暗号化ファイルにアクセスすることができる。ただ、管理するユーザーやコンピューターが複数になると煩雑になってくる。

そこで、回復エージェントを作成して運用先の回復ポリシーで回復エージェントを追加することで、既定で暗号化ファイルに回復証明書の公開鍵暗号化FEKを埋め込むように設定する。

回復エージェントを作成する

Windows Serverのドメイン環境ではグループポリシーの設定（ローカルコンピューターポリシー\コンピューターの構成\Windows の設定\セキュリティの設定\公開キーのポリシー\暗号化ファイルシステム）から回復エージェントを作成できる。スタンドアロンのWindowsクライアントでは、回復エージェントの作成はコマンドプロンプトでのみサポートされている。

回復エージェントを作成するにはcipher /r:保存ファイル名コマンドを使用する。このコマンドも自己署名証明書を作成するcipher /kコマンドと同様に、/ecc:Nスイッチ（Nはキーサイズ）を付けることでECC（楕円曲線暗号）アルゴリズムによるキー・証明書を発行できる。

C:\Users\aktst>cipher /r:aktst_recovagent
.PFX ファイルを保護するためのパスワードを入力してください:
確認のためにパスワードを再入力してください:


.CER ファイルが正しく作成されました。
.PFX ファイルが正しく作成されました。

C:\Users\aktst>

コマンドを実行すると回復証明書のCERファイル（公開鍵）とPFXファイル（秘密鍵）が作成される。CERファイルは回復ポリシーを運用する（=暗号化する）コンピューターで使用する。PFXファイルは回復ポリシーを適用した環境で作成された暗号化ファイルにアクセス（回復）する際にインポートして使用する。そのため、こちらは厳重に保管する必要がある。

回復エージェントを適用する

回復ポリシーを運用するコンピューターにCERファイルを持ってくる。

スタートメニューの検索ボックス(Cortana)に「secpol.msc」と入力。あるいはコントロールパネル→システムとセキュリティ→管理ツール を開いて、ローカルセキュリティーポリシーを開く。

公開キーのポリシー→暗号化ファイルシステムを開く。右クリックして「データ回復エージェントの追加」を選択。

そこに先ほど持ってきたCERファイルを指定する。

以後アクセス・更新された暗号化ファイルには回復エージェントが適用される。

参考サイト

• データを回復する - MSDN ライブラリ
• Windows Server ～ 暗号化ファイルシステムに関して : あるサーバーエンジニアの練習場
• Encrypting File System in Windows 7 - Utilize Windows
• How IT Works: Encrypting File System