EFS 暗号化ファイルシステム運用のキモ

On Windows ActiveDirectory 運用

モバイルPCの紛失対策のため、EFSの運用周りについて調べたり人に聞いたりしたのでまとめ

運用のキモは3つ

  • 回復エージェントの鍵はcipherで作成する
  • 回復担当者は上記鍵を自分の証明書ストアに格納して回復できるようにする
  • ファイルサーバ上にはEFSが作成できないようにレジストリをいじる

なぜ、「回復エージェントの鍵はcipherで作成する」必要があるか

証明書サービスにより自動で発行される証明書は有効期限が2年しかない
しかも、自動更新はできない
てことは、2年後の更新を忘れると大変なことに


それに対して、cipherで作成した証明書の有効期限は100年w
そのころどうなってるかは知らんが、俺が困ることはないw

なぜ「回復担当者は上記鍵を自分の証明書ストアに格納して回復できるようにする」必要があるか

回復担当者とは、暗号化したユーザアカウントを間違って消してしまったりして複合化できなくなったときに颯爽と登場して複合化してくれるオタスケマンなんだけど、デフォルトではAdministratorだけ登録されている

ここに回復担当者として任命された人のIDを登録すると、その人が退職したり異動したりして担当者じゃなくなっても、それまでの間に暗号化されたモノにはその人の公開鍵がついたまま残ってしまう

というわけで、回復担当者のために新たに証明書を作成するよりも、Administrator用の証明書をその人の証明書ストアに入れておく方がベター

異動する場合は証明書ストアから回復用証明書を削除すればいいだけ

なぜ「ファイルサーバ上にはEFSが作成できないようにレジストリをいじる」必要があるか

共有やNTFSのアクセス権と連動しないから

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFSに、新規でEfsConfigurationというキーをREG_DWORDで作成し、値を1に設定する