アドバイザー佐野:それでは早速検証を行ないたいと思います。今回の検証環境と項目は以下のとおりです。
■検証環境 テスト用ファイルサーバ :Windows Server 2003 テスト用クライアントPC :Windows XP Service Pack 2 暗号化を実施するフォルダ :TESTフォルダ (EveryoneフルコントロールNTFSアクセス権を設定、 test001.txt を保存) :マイドキュメント フォルダ ユーザーアカウント :YujiT、HikariO、Administrator ■検証項目 1. TESTフォルダに、PC上から直接暗号化を実施する、 2. マイドキュメントフォルダに、ログオンスクリプトを使用して 一斉に暗号化を実施する。
アドバイザー佐野:まず、PC上から直接暗号化を実施して見ましょう。検証機に、YujiTでログオンしてください。エクスプローラで「TEST」フォルダを選択、右クリックして[プロパティ]を開き、さらに「詳細設定]をクリックします(図1)。
 |
|---|
| 図1●詳細設定から暗号化設定を行なう(画像クリックで拡大) |
プチアド:[属性の詳細]画面が表示されました。ええっと、[圧縮属性または暗号化属性]のところに[内容を暗号化してデータをセキュリティで保護する]という項目があります。もしかして、ここにチェックをいれて、[OK]をクリックする?
アドバイザー佐野:そうです。[OK]をクリックすると、もとの[プロパティ]の画面に戻りますから、ここでも[OK]をクリック。「属性変更の確認」という画面が表示されたら(図2)、「このフォルダ、およびサブフォルダとファイルに変更を適用する」を選択し、またまた[OK]をクリックします。プロパティを閉じたら、「TEST」フォルダの名前が緑色で表示されていることを確認します(図3)。
 |
|---|
| 図2●属性変更の確認 |
 |
|---|
| 図3●フォルダ名が緑色で表示されているのを確認(画像クリックで拡大) |
プチアド:中身の「test.txt」は、と。おお、こちらもファイル名が緑色に変更されています。超簡単! HikariOでログオンし直して、「test.txt」にアクセスすると……お、中身を確認することはできませんね(図4)。さてと、次はログオンスクリプトで一斉に暗号化を実装する方法ですね…スクリプト…苦手なんだよなぁ。
 |
|---|
| 図4●別のユーザーはファイルの中身を確認できない |
アドバイザー佐野:スクリプトといっても、EFS暗号化はコマンドラインツール「cipher」でも実施可能なので、暗号化の実行と、その結果をテキスト(.txt)ファイルに作成するようにバッチファイルを作成すればいいですよ。「cipher」のスイッチ類は、例によってコマンドラインリファレンスを参考にしてくださいね!
プチアド:ふんふんふん♪ 1行だけのバッチファイルなら楽勝、楽勝。はい、できました!
■バッチファイル cipher /e /a /i /s:"%userprofile%\my documents" >"%userprofile% \log.txt"(実際には1行)
アドバイザー佐野:とりあえず作ったバッチファイルを「EFS.bat」としてデスクトップに保存しておきましょう。あとは、ユーザーがログインしたときにこれが配布されるようグループポリシーを設定します。グループポリシー管理コンソール(GPMC)の使い方は、もう分かっていますね?
プチアド:はい! それじゃ、GPMCを起動して、対象となるグループポリシーオブジェクト(GPO)で[編集]を選択して、と( Case4「 グループポリシーで安心環境」参照 )。
アドバイザー佐野:ログオンスクリプトの設定場所は、[ユーザーの構成]-[Windowsの設定]-[スクリプト]-[ログオン]です。ダブルクリックして、[プロパティ]を開き、[追加]ボタンをクリックしてください(図5)。
 |
|---|
| 図5●ログオンスクリプトの設定場所 |
プチアド:[スクリプトの追加]画面が開きました。ここに、さっきのスクリプト名を入れれば
アドバイザー佐野:ちょっと待って! スクリプトは、格納場所が決まっているのです。
プチアド:へぇぇ…って、さっき適当に「デスクトップ」に保存しちゃった! それなら最初からその「正しい格納場所」に保存しておけばよかった。
アドバイザー佐野:保存場所は、ログオンスクリプトなら、「%SystemRoot%\SYSVOL\sysvol\
 |
|---|
| 図6●ログオンスクリプトの保存場所(画像クリックで拡大) |
プチアド:ああ、なーるほど。格納場所を一生懸命探さなくても、ここにカット&ペーストすればいいのか。
アドバイザー佐野:では、EFS.batを選択、[開く]をクリックします(図7)。先ほどの[ログオンのプロパティ]画面で、EFS.batが追加されていることを確認したら、[OK]ボタンをクリックします。GPMCで、グループポリシーのシミュレーションを実施し、今設定したバッチファイルが[スクリプト]に登録されていることを確認します(図8)。
 |
|---|
| 図7●前述のスクリプトを選択する |
 |
|---|
| 図8●スクリプトが登録されていることを確認する(画像クリックで拡大) |
プチアド:ありました! それでは早速テストPCからHikariO でテストドメインにログオンしてみます! おお、HikariO の「マイドキュメント」のフォルダ名の色が変わっています(図9)。作成したログファイル(log.txt)は――さ、佐野さん、なにかエラーが出ていますが。
 |
|---|
| 図9●暗号化を設定したフォルダが緑色で表示されていることを確認 |
新しいファイルを暗号化するようにディレクトリ C:\Documents and Settings\HikariO\My Documents を設定しています [OK] C:\Documents and Settings\HikariO\My Documents\ のファイルを暗号化 しています desktop.ini [エラー] My Music [OK] My Pictures [OK] C:\Documents and Settings\HikariO\My Documents\My Music\ のファイル を暗号化しています Desktop.ini [エラー] Sample Music.lnk [OK] C:\Documents and Settings\HikariO\My Documents\My Pictures\ の ファイルを暗号化しています Desktop.ini [エラー] Sample Pictures.lnk [OK] 4 ディレクトリ内の 5 ファイル [またはディレクトリ] が暗号化されました。 ファイルをプレーンテキストから暗号化テキストに変換すると、 ディスク ボリュームに古いプレーンテキストの部分が残る場合があります。 変換がすべて完了してから、コマンド CIPHER /W:ディレクトリを使って ディスクをクリーンアップすることをお勧めします。
アドバイザー佐野:どれどれ? desktop.iniですね。これは、システムファイルなので暗号化されません。システムファイルが暗号化されたら、OSそのものがちゃんと動かなくなっちゃうかもしれないですからね。
プチアド:ということは……どうやら暗号化は成功しているようですね! ちょっとまてよ。OSを再インストールした場合などは、証明書がなくなってしまって、今度は逆に誰もそのデータを読めない、という事態になるのではないでしょうか。
アドバイザー佐野:そうですね。再インストールなどで暗号化を実行した証明書をなくしてしまうと復号化ができなくなります。もちろん、暗号化を実行した以外のユーザーは、暗号化したファイルを開くことができません。そこで、次回はこのような非常時でもファイルを復号化する方法の検証、1. ユーザー自身の証明書のインポート、2. 回復エージェントの設定について説明していきましょう。
 |  |
|---|
 |
||||
 |
 |
 |
|
 |
 |
||||
佐野 央のプチ管理者は本日も大忙し
【アスキービジネス 新刊ムック】
【ASCII.jp SaaS・ASP】