Windows XPオペレーティングシステムでは、データ保護、特に暗号化ファイルシステム(EFS)の機能強化が多数行われています。この記事では、オフラインファイルに対する暗号化操作の詳細について説明し、システム設計者や管理者がWindows XPを使用してデータ回復とデータ保護の戦略を立てるための最善の方法を開発できるよう努めます。オフラインファイルに対する暗号化操作の実行
Windows 2000オペレーティングシステムには、オフラインファイルに対してキャッシュ処理を実行する機能(Client Side Cache Technology [CSC]とも呼ばれる)が導入されています。このIntelliMirror管理テクノロジにより、クライアントコンピュータとネットワークシステム間の接続が切断されている場合でも、ネットワークユーザーはネットワーク共有に基づいてファイル共有へのアクセス呼び出しを実装できます。たとえば、モバイルユーザーがオフラインの間に共有リソースを表示している場合でも、主に関連ファイルがクライアントに読み込まれているため、ターゲットファイルに対して参照、読み取り、および編集操作を実行できます。コンピュータのバッファメモリユーザーが後でサーバーに接続すると、システムは関連する変更についてサーバーと調整します。 Windows XPクライアントは、暗号化ファイルシステムを使用して、暗号化処理を受け入れるようにオフラインのファイルとフォルダを設定できます。一部の専門家は頻繁に出張しており、データのセキュリティを確保しながら定期的にオフラインで作業する必要があります。この機能は、そのようなユーザーにとって特に魅力的です。汎用データベース
ローカルコンピュータをベースとした汎用データベースを使用して、すべてのユーザーファイルの格納操作を実行し、正確なアクセス制御リスト(ACL)を介してアクセス呼び出しオブジェクトを上記のファイル範囲に制限できます。データベースは特別な方法で関連ファイルを表示することができます - データベースの構造とフォーマットを隠し、普通のフォルダの外観を見せることができます。他のユーザーファイルおよびフォルダは、他のユーザーには表示もアクセスもできません。オフラインファイルが暗号化されると、データベース全体がEFSコンピュータ証明書を使用して暗号化されます。個々のファイルとフォルダは復号化のために選択されません。このようにして、デフォルトで有効になっているローカライズされたEFS機能を使用して、オフラインファイルデータベース全体が悪意のある攻撃から保護されます。制限要因
オフラインファイルデータベースを暗号化することの本質的な制限は、オフラインで作業している間、ファイルとフォルダーが他の代替色でユーザーに表示されないことです。リモートサーバーはオンラインでファイルとフォルダの暗号化機能を選択的に適用することもあるため、オンラインとオフラインで暗号化されたファイルを表示すると、ユーザーには異なる効果があります。重要:CSCは通常SYSTEMプロセスとして実行されるため、すべてのユーザがアクセスコールを実装できます。それだけでなく、SYSTEMプロセスとしても実行されているか、または一時的にSYSTEMプロセスとして機能している他のプロセスもCSCへのアクセス呼び出しを行うことができます。これには、ローカルコンピュータに基づく管理者も含まれます。このため、機密データがオフラインフォルダに格納されている場合は常に、管理アクセスを特定のユーザーに制限し、SYSKEYを使用してオフライン攻撃から防御する必要があります。オフラインファイルでの暗号化操作の実行
ユーザーは、Windowsエクスプローラの[ツール]メニューの[フォルダオプション]コマンドを選択し、後続のダイアログボックスでフォルダオプションの設定を行うことができます。暗号化オフラインファイル機能をアクティブに設定します。説明:このオプションはWindows XP Professionalでのみ利用可能です。下記のようにオフラインファイルタブを選択してください。 [オフラインファイル]タブを選択します。
[オフラインファイルを有効にする]と[オフラインファイルを暗号化してデータを保護する]チェックボックスを両方ともオンにします。 OKをクリックしてください。オフラインファイルは、クライアントコンピュータのユーザーに提供される秘密キーと証明書を使用してローカルキャッシュに読み込まれるときに暗号化されます。重要:ローミングユーザーの設定に保存されているファイルを暗号化しないでください。ログインプロセス中にロードされると、そのファイルをシステムで開くことができないためです。