暗号化ファイルシステム（ EFS ）

EFSは、一般の

（ EFS ）をファイルシステムの暗号化、ユーザー、およびNTFSフォーマットのボリューム上のすべてのデータドライブのファイルやフォルダを暗号化することができます。 NTFSの場合は、これらのファイルやフォルダへのアクセスを制御は、 NTFSフォーマットのボリューム上のファイルやフォルダのアクセス許可を設定することができます。 EFSでは、さらに、これらのファイルとフォルダのセキュリティを強化するファイルやフォルダを暗号化することができます。許可されていない場合でも一人が誤って設定ファイルとNTFSアクセス許可は、ファイルやフォルダを管理するためのフォルダにアクセスするために暗号化されるだろう！のファイルは、権限のあるユーザーを指定された回復エージェントの所有者だけが暗号化されたファイルを復号化することができます。この方法では、 EFSを不正アクセスから企業の機密データを保護します。

EFSでは、強力な暗号化を確保するため、業界標準のアルゴリズムと公開鍵暗号技術を利用しています。そのため、常に暗号化されているファイルの機密性があります。にもかかわらず、ログオン認証とNTFSアクセス許可の対象とされているファイルの機密データの保護、セキュリティの追加層を追加するにはEFSを使用することができます。これは、ハッカーたちは、データファイルの位置のEFS暗号化のために確保されているコンピュータのデータを格納するために完全なアクセスを確保するだろう。許可されていない人が暗号化されたファイルを開くことができないと思います。

Windows Server 2003のEFSでは、さらに、 Windows 2000でのEFSの機能を向上させます。 EFSを利用しているユーザは、ファイル共有やWebフォルダの暗号化されたファイルを他のユーザーと共有することができます。グループポリシーとコマンドラインツールを使用し、 EFSの機能を設定することができます。 EFSは、ポータブルコンピュータ上でも、機密データのセキュリティ保護に適しています。これもデータが共有されているコンピュータは、複数のユーザーがセキュリティを確保するために動作します。

EFSの動作方法

NTFSのEFSを実際にしっかりと、そのファイルの暗号化と復号化のプロセスは、ユーザに意識される統合されています 。としてデータをディスクから読み取られ、このことはどのような場合、ユーザーがファイルを保存すると、 EFSは、データとしては、データをディスクに書かれている暗号化ファイルを開くときには、 EFSので復号化されています。ユーザーは基本的にこのプロセスの、知らないし、任意の行動を取るのEFS暗号化と復号化を開始する必要はない。ファイルの暗号化機能も提供することができますが、これらのプログラムは完全にユーザに意識されていないサードパーティの技術の可能性があります。これらのプログラムでは、責任をユーザーには、暗号化プログラムを活用することを覚えて置かれると思います。これは、セキュリティプロセスに弱い、とつながる可能性敏感、機密データのセキュリティ上の脆弱性を作成する可能性がある。

EFSの暗号化と復号化のデータに、暗号化機能を提供するために暗号化アプリケーションプログラミングインターフェイス（ CryptoAPIを）アーキテクチャキーを使用しています。にもかかわらず（カナダ）の証明書は、この要件はエンタープライズ証明機関を使用することができます。カナダ存在していないときは、 EFSの標識は、そのファイルの暗号化と証明書を使用することができます。この機能のために、 EFSのは、ドメインのメンバであるコンピュータ上で、スタンドアロンのコンピュータ上で機能することができます。

データの暗号化と復号化には、 EFSを使用する鍵は、公開鍵と秘密鍵のペア、およびファイルごとに暗号化キーです。 EFSは、ファイルの暗号化キー（ FEK ）は、対称暗号化は、データを暗号化する鍵となりますが生成されます。ファイルの暗号化キー（ FEK ）次の非対称暗号化は、ユーザーの公開鍵を使っての方法で暗号化されます。非対称暗号化を実際に強力な安全保障のための公開鍵と秘密鍵のペアを使用します。 FEKの暗号化し、暗号化されたファイルが格納されています。ファイルを必要とするときは、 FEKを復号化復号化する必要があります。は、ユーザーの秘密鍵は、 FEKを復号化するために使用されています。は、 FEKクリックし、ファイルのデータを復号化するために使用されています。

EFSの主な特徴

EFSでは、デフォルトで有効になっている。ユーザは、自分の公開鍵と秘密鍵のペアを必要と許可EFSを使用してください。
EFSの仕事には、回復エージェントの証明書が必要です。これは、証明書がない場合は1つ生成されます。
EFSのファイルのみが使用されているNTFSファイルシステムを暗号化することができます。
暗号化ファイルとフォルダのアクセス許可には影響を与えている
あなたが暗号化されたファイルを共有する複数のユーザーを認証することができます
いつのEFSでは、ファイルを別のファイルシステムに移動すると、暗号化が削除されます。
する場合には暗号化されたフォルダにファイルを移動すると、ファイルを元の形式のままになります。のいずれか、または暗号化、暗号化されたまま。
ときに、暗号化されたフォルダにファイルをコピーすると、ファイルが暗号化されます。
フォルダを暗号化するときは、その特定のフォルダ内のすべての一時ファイルも暗号化されます。
暗号化、ファイルの属性としては、表示されているため、ファイルの属性の残りの部分が表示されます。
EFSでは、暗号化して、リモートコンピュータ上のファイルを復号化
また、オフラインファイルのEFSで暗号化することができます
ファイルをWebフォルダに保存することができます暗号化されます
EFSは、以前は暗号化用のデータ暗号化規格拡張（ DESX ）を利用。暗号化アルゴリズムのWindows Server 2003では、トリプルDES （ 3DES ）、次世代のセキュリティを強化するとEFSを利用することができます。
暗号化されたファイルをバックアップすることができます。
前に暗号化することができます任意の圧縮されたファイルやフォルダを解凍する必要がある
システムファイルやフォルダを暗号化することはできません。
ファイルまたはフォルダを移動ユーザープロファイルに暗号化することはできません

EFSを利用するコンポーネントの

EFSでは、その機能を実行するには、以下のコンポーネントを使用します：

EFSのサービス ：ローカルプロシージャコールを介して、 EFSのドライバでは、 EFSのサービスは通信（のLPC ）ポート。 EFSのサービスとは、 Microsoft暗号化アプリケーションプログラミングインターフェイス（ CryptoAPIを）は、 EFSのサービスでは、 CryptoAPIをファイルから暗号化キーを受信通信します。これは、データ復号化フィールド（ DDFs ）、データ回復フィールド（ DRFs ）を生成するためにこれらのキーを使用しています。ファイルの暗号化キー（ FEK ）は、ファイルのデータを活用されている。 EFSのサービスは、 EFSのドライバには、 EFSでは、ファイルシステムのランタイムライブラリ（ FSRTL ）を通じて、 FEK 、 DRF 、 DDF渡します。
EFSのドライバ ：このドライバの要求は、 EFSのサービスからのEFS暗号化キー、 DDFsとDRFsファイル。次に、これらのリレーは、 EFSをFSRTL 。
EFSでは 、 ファイルシステムのランタイムライブラリ（ FSRTL ） ： FSRTLのEFS EFSのドライバでは、存在し、 1つのコンポーネントとしては、 EFSのドライバで動作します。 NTFSの2つの間の通信メカニズムとして使用されているコントロールをコールします。 EFSのFSRTLは、暗号化復号化、データがディスクから読み込まれるファイルやディスクに書き込むファイルシステムの機能回復などのセットを行っている。
マイクロソフト暗号化アプリケーションプログラミングインターフェイス（ CryptoAPIを） ： CryptoAPIをEFSの暗号化機能のために活用されている。 CryptoAPIを、鍵交換操作を暗号化、復号化、ハッシュ、デジタル署名と検証して、鍵管理、安全なストレージをサポートしています。

どのようにファイルが暗号化され、復号化

前述したように、 EFSのファイルとフォルダの内容を確保するための公開鍵と共通鍵暗号化を利用しています。公開鍵暗号アルゴリズムの暗号化と復号化のための非対称鍵を使用しています。これは、秘密鍵と公開鍵活用されているということは、鍵暗号化と復号化データへの活用とは異なっています。秘密鍵は、鍵の所有者が保管されています。公開鍵は、ネットワーク上で利用することができます。

ときにデータが暗号化されると、 EFSは、ファイルを暗号化するためのユニークなFEKが生成されます。次に、 FEKは、ユーザーの証明書の公開鍵を使って暗号化します。 EFSを使用してFEKの暗号化を保証するために、スピーディーに発生します。ユーザーの秘密鍵は、 FEKを復号化するために活用されています。

そのプロセスは以下の通りは、ユーザーがファイルを暗号化する場合に発生します：

このファイルは、 EFSのサービスで開かれる
次のファイルのデータストリームにコピーされますが、システムの一時ディレクトリにあるファイルを一時的に平文
EFSでは、独自のFEKが生成されます。
DESXまたは3DESのいずれかのFEKを介してファイルを暗号化するために活用されている。
は、データ復号化フィールド（ DDF ）が作成されています。にDDFのFEKは、ユーザーの公開鍵による暗号化を保持します。
ここでは、回復エージェントのグループポリシーは、データ回復フィールド（ DRFs ）によって定義されているが作成されます。
暗号化されたデータは、 DDF 、 DRFのファイルに格納されます。
プレーンテキストの一時的なシステムの一時ディレクトリにあるファイルは削除されています。

そのプロセスは以下の通りですが発生したときにファイルを復号化：

NTFSの暗号化されて、実際にし、ファイルを識別して、 EFSのドライバにを通じて復号化のための要求を提出します。
EFSのドライバは次の取得は、データ復号化フィールド（ DDF ）と、 EFSのサービスに送信します。
EFSのサービスは、ユーザーの秘密鍵を取得します。これにDDFを復号化する鍵を使用します。
かつては、 EFSのサービスにDDF FEKを取得し、復号化には、 EFSのドライバへのFEKを送信します。
EFSのドライバは、 FEKは、 EFSのサービスから受信したファイルのデータを復号化し利用しています。
EFSのドライバをNTFSには、復号化データを渡します。

EFSの証明書

とすぐに、ユーザーがフォルダまたはファイルの暗号化を可能に、 EFSの証明書かどうかをチェックしている企業は、ユーザーの個人証明書ストアに格納されます。 EFSは、ユーザーのリクエストには、証明書のときには、証明機関（ CA ）からの個人証明書ストアに証明書を見つけることができません。エンタープライズCAですがない場合は、ユーザーのEFSの収入は、自己署名証明書を作成してください。ユーザーのEFS証明書のEFS暗号化する場合、 FEKを復号化のニーズにアクセスされています。 EFSのEFS証明書を更新するには失効している。

エンタープライズCAから証明書を取得している証明書を使用してActive Directoryに格納されているテンプレート。証明書は、ユーザーやコンピュータに発行することができます証明書の種類の属性の詳細テンプレート。 EFSの証明書をサポートしているユーザー、管理者、および基本的なEFSをされているテンプレート。企業。のCA （ ACL ）の際に証明書の要求を承認すべきかどうかを確かめる必要があるアクセス制御リストを利用します。従ってユーザーは、証明書の証明書が発行するテンプレートを登録する権限を持つ必要があります。 Domain AdminsグループとDomain Usersグループのメンバーは、このアクセス許可している。スナップインで、ユーザーの証明書を要求する証明書を使用することができます。

以下に、 CAから証明書を介して証明書を要求するための手順を使用してスナップインを

証明書スナップインをオープンに
個人用フォルダを展開に進みます。
右クリックして証明書として、ショートカットメニューから新しい証明書の要求すべてのタスクを選択する
は、新しい証明書の要求ウィザードが起動します。
証明書の種類は、画面上の基本的なEFSのオプションを選択します。 [ Next ]をクリック
フレンドリ名と説明のための情報を提供する。 [ Next ]をクリック
をクリックしてウィザードを終了します。
新しい証明書は、証明書]フォルダに格納されます。

あなたがスナップインすでに証明書があるかどうかを確認するには、証明書を使用することができます

進んでは、証明書スナップインを開き、移動するには、ユーザーアカウントをセットで
を展開し、個人用フォルダ
右クリックして証明書の証明書が存在するかどうかを表示するには

暗号化/復号化のEFSを使用してファイルを

個々のファイルではなく、それを可能にフォルダのEFS暗号化を有効にすることをお勧めします。これにより、個々のファイルの保存時にファイルを暗号化する必要はありません。

下のフォルダを暗号化するための手順を使用して

マイコンピュータを開いて
右クリックし、 [フォルダを暗号化したいし、ショートカットメニューから[プロパティ]を選択します。
ときにフォルダのプロパティ]ダイアログボックスで、 [全般]タブの[詳細設定]ボタンを開きます。
[詳細属性]ダイアログボックスが表示されます。
の圧縮や暗号化では、内容を暗号化し、データを有効にする]チェックボックスを確保するための[属性の詳細]ダイアログボックスのセクションの属性。
クリックすると、フォルダの暗号化を有効にするすべてのファイルをそのフォルダに含まれてします。
追加のメッセージは、フォルダのサブフォルダとファイルを暗号化しているなどのダイアログボックスに表示されます。のメッセージかどうかの設定は、フォルダへのフォルダのサブフォルダとファイルのみ、またはにも適用する必要がありますかどうかを確認するように求められます。
もしこのフォルダにのみ変更を適用]オプションを選択すると、次のようになります：

ファイルは既にすべてのサブフォルダに格納したフォルダを元の状態のままになる
ファイルは暗号化される場合は、フォルダ内に作成
ファイルをそのフォルダにすると他のユーザーが暗号化されるコピー
ファイルの作成、コピー、またはサブフォルダに移動を元の状態のままになる。

場合は、オプションやファイルは、次の場合に発生します、このフォルダ、サブフォルダに適用する変更を選択してください：

すでにそのフォルダに保存ファイルの書き込み権限がある場合は、すべてのサブフォルダが暗号化されます。
ファイルには、サブフォルダに移動またはコピーされた暗号化され、あなたや他のユーザーが作成したかどうか

以下のフォルダを復号化するための手順を実行します

右クリックし、 [フォルダを復号化したいし、ショートカットメニューから[プロパティ]を選択します。
ときにフォルダのプロパティ]ダイアログボックスで、 [全般]タブの[詳細設定]ボタンを開きます
ときは、 [属性の詳細]ダイアログボックスで、明確な内容を暗号化し、データを確保するためのチェックボックスが表示されます。

オフラインファイルを暗号化する方法

マイコンピュータを開いて
[ツール]メニューを使用するアイテムは、 [フォルダオプション]を選択する
には、オフラインファイル]タブを使用します：

オフラインファイルを有効にする
オフラインファイルを暗号化

[ OK ]をクリック

EFSでは、どのように暗号化の状態を表示するには

マイコンピュータを開いて
[ツール]メニューを使用するアイテムは、 [フォルダオプション]を選択する
[表示]タブをクリックします
や色を表示する]チェックボックスで圧縮されたNTFSファイルを暗号化を有効にします。
[ OK ]をクリック
暗号化されたフォルダおよびファイル名が緑色で表示されます。

どのようにEFSを有効にするには、ショートカットメニューのオプション

EFSのオプションの場合、ショートカットメニューの有効になっている、ユーザーは単に右クリックし、 [フォルダにしているかを暗号化したり、フォルダまたはファイルを復号化します。

を指定して実行]ダイアログボックスで[スタート]を実行し、 Regedit.exeを入力してください。 [ OK ]をクリック
レジストリエディタが開きます
次のサブキーを見つけます：

します。 HKEY_LOCAL_MACHINE \ SOFTWARE \マイクロソフト\のWindows \ CurrentVersion \ Explorerの\詳細

[編集]メニューを使用して[ DWORD値の新規を選択する
値の名前をEncryptionContextMenuを指定するために、進んで、 1値のデータ。
レジストリの変更がすぐに効果的です。

cipher.exeどのように使用するには、ビューを作成するか、またはフォルダやファイルの暗号化を変更する

Cipher.exeは、フォルダやファイルを暗号化すると復号化に使用できるコマンドラインツールです。のスイッチで暗号化のコマンドを使用して、フォルダを暗号化の状態を表示し、そのフォルダ内にあるファイルです。

は、暗号化コマンドの構文とそのスイッチを、下記のとおりです：

cipher [{/e|/d}][/s:Folder][/a][/i][/f][/q][/h][/k][/u [/n]] Fのcipher [{/e|/d}][/s:Folder][/a][/i][/f][/q][/h][/k][/u [/n]]から cipher [{/e|/d}][/s:Folder][/a][/i][/f][/q][/h][/k][/u [/n]]

/eは、特定のフォルダを暗号化、およびファイルの暗号化が追加されます
/d dのは、特定のフォルダを復号化します。暗号化属性は、フォルダから削除されます。
/s:Folder 、フォルダとサブフォルダを示すために活用する必要がありますが使用される
/a 、現在のディレクトリ内のファイルを暗号化するために使用
/iは、現在のプロセスにもかかわらず、エラーが存在し続ける必要がありますを示すために使用されます。
/f fを、定義されたすべてのファイルとフォルダの暗号化や復号化を強制的に使用される
/q qを、重要な情報のみを一覧表示
/hは、隠し属性とシステム属性があるファイルの一覧
/k 、特定のユーザーは、コマンドを実行するための新しいFEKを生成
/uユーザのū 、更新プログラムは、 FEK 、回復エージェントのキーを押します。 / nスイッチを使用
/n 、更新されてから鍵を停止する。 / uスイッチを使用

どのように暗号化されたファイルに複数のユーザーアクセスを承認するには

暗号化されたファイルに複数のユーザーがアクセスを許可する前に、次の検討：

ファイル共有、 Webフォルダまたはリモートセッションは、ネットワークで共有するのEFSファイルに権限のあるユーザーが必要となります。
ユーザーは、 EFS証明書が必要EFSのファイルへのアクセスを承認している
ファイルを復号化する際にユーザを承認すると、ユーザーは自動的にファイルにアクセスして追加のユーザを認証することができます

以下は、 EFSを共有するための手順を使用して追加のユーザーとファイルを

マイコンピュータを開いて
暗号化されたファイルを右クリックし、ショートカットメニューから[プロパティ]を選択します。
ときは、 [属性の詳細]ダイアログボックスで、 [詳細]ボタンを開きます
暗号化の詳細]ダイアログボックスが開きます。
をクリックして[ユーザーの選択]ダイアログボックスを開いて追加します。
これは、ローカルコンピュータ、またはActive Directoryからユーザーを追加することができます。
クリックすると、ユーザーの証明書は、ローカルコンピュータからユーザーを追加します。 [ OK ]をクリック
ユーザーを検索]ボタンをクリックしてActive Directory内のユーザーを検索します。
をクリックして閲覧するときに、ユーザー、連絡先を検索するユーザーとグループ]ダイアログボックス（秒）を見つけて開きます。
をクリックしてフォルダまたはドメインは、各ジャンルでコンテナ]ダイアログボックスを検索する必要があります。
ユーザを選択してください（ s ）として[ OK ]をクリック

ファイルの回復エージェント

データを回復することが重要であることを従業員が自分の秘密鍵をわきまえない、またはすべてのファイルを復号化せずに、組織のままとなります。これは、回復エージェントが重要になります。そのためには、暗号化されたデータの回復エージェントのEFSを活用する政策が存在しなければなりません。 EFSでは、暗号化されたときに自動的にデータ回復エージェントのポリシーが存在しないデフォルトの回復エージェントアカウントを使用しています。 Domain Adminsグループのメンバーには、回復エージェントアカウントを使用するには、アカウントを指定することができます。ローカルポリシーをスタンドアロンのコンピュータにデータ回復エージェントのアカウントを指定するために使用することができます。これらのアカウントは通常、管理者アカウントがあります。 DRA証明書は、コンピュータの証明書ストアには、ユーザーは、 EFS回復政策の範囲に含まれているドメインのコンピュータにアクセスする保存されている。このため、各ドメインのコンピュータがDRAの公開鍵にアクセスすることが可能になります。暗号化されたファイルは、データ回復フィールドが順番にファイルを暗号化されたFEKを保持されています。 DRAは、 EFS回復の政策の範囲内の秘密鍵の利用を介して、暗号化されたファイルを復号化することができます。
場合はファイルを復号化できるようにしたいなら、複数のユーザーのEFS回復ポリシーにより、複数のドラスを定義する必要があります。たった一人の場合、ファイルを復号化することができます一般的に、より安全なファイルです。欠点は、そのファイルは復元されます。

以下は、ローカルコンピュータの回復エージェントを追加するには、手順を実行します

[スタート]を実行し、 MMCを指定して実行]ダイアログボックスに入力してください。 [ OK ]をクリック
追加/削除スナップインの[ファイル]メニューから選択し、 [追加]をクリックします。
スタンドアロンスナップインの追加時にダイアログボックスで、選択が表示されるグループポリシーオブジェクトエディタを起動します。 [追加]をクリックします。
は、ローカルコンピュータを選択していることを確認します。 [ OK ]をクリック
左側のペインで、 [ローカルコンピュータポリシー] 、 [コンピュータの構成] 、 [ Windowsの設定、セキュリティの設定]を展開し、公開鍵の設定に進んでください。
暗号化ファイルシステムを右クリックして、ショートカットメニューから[プロパティ]を選択します。
チェックボックスの場合は、ファイルの暗号化ファイルシステム（ EFS ）を使用して暗号化するために、ユーザーのコンピュータ上で実行されている許可EFSを有効になっている。 [ OK ]をクリック
暗号化ファイルシステムを右クリックし、ショートカットメニューから[データ回復エージェントの追加]を選択します。
回復エージェントの追加ウィザードが起動します。
証明書は、回復しているユーザーのためのユーザ名を提供します。 [ Next ]をクリック
回復エージェントの選択]画面で、フォルダを参照する/ディレクトリのユーザーを指定します。
[ Next ]をクリックします。 [完了]をクリックします。

DRS削除するには、以下の手順を実行します

は、左のペインで、 [ローカルコンピュータポリシー] 、 [コンピュータの構成] 、 [ Windowsの設定、セキュリティ設定は、公開キーのポリシー]を展開に進んで、暗号化ファイルシステムのグループポリシーを使用する
、 DRAは、削除したい証明書を選択し、削除してください。

エクスポートする方法およびEFSとDRA証明書と秘密鍵をインポートする

リムーバブルメディアには、ユーザーのEFS証明書と秘密鍵をエクスポートし、暗号化されたファイルへのアクセスを確保することができます。

下に取り外し可能な媒体への証明書をエクスポートするための手順を使用して

証明書にアクセスするために進んでスナップイン
を展開し、個人用フォルダをダブルクリックして証明書
を見つけて右クリックし、エクスポートしたい証明書、およびすべてのタスクを選択し、ショートカットメニューからエクスポートする。
はい、秘密キーをエクスポート]を選択します。
後に輸出されている現在のいずれかのコンピュータから秘密鍵を削除することを選択するか、コンピュータ上に残すことを選択することができます。オプションを選択した後、お客様のニーズに合った、 [次へ]
エクスポートした秘密鍵の保護のためのパスワードを提供する。 [ Next ]をクリック
エクスポートした証明書と秘密鍵の名前を提供します。
[ Next ]をクリックします。 [完了]をクリックします。

下の証明書をインポートする手順を使用して

証明書にアクセスするために進んでスナップイン
し、右クリックして証明書をクリックし、ショートカットメニューからのインポートすべてのタスクを選択すると、個人用フォルダを展開します。
インポートする必要がある証明書ファイルを入力します。
ファイルを開くには、適切なパスワードを提供する
場所は、証明書にインポートする必要がありますを指定します。

どのようにキーとファイルのセキュリティを強化する

EFSを利用する場合は、 DESXアルゴリズムを交換することで、より強力な3DESのアルゴリズムでセキュリティを強化することができます。暗号技術は、システムのグループポリシーのIPセキュリティおよびEFSを有効にするための暗号化に3DESの設定を使用することができます。ただし、 \ソフトウェア\マイクロソフト\てWindows NT \ CurrentVersion \ EFSは、レジストリエディタを介してのみ3DESの暗号化キーのEFSを有効にするには、適切なレジストリは、 HKEY_LOCAL_MACHINEの設定を変更することができます。

また、スタートアップとは、コンピュータ上に存在する機密情報のマスタキーを保護するためにキーを使用することができます。の起動キーsyskeyも呼ばれています。起動キーは自動的には、ドメインのメンバであるコンピュータ用に作成されています。手動では、スタンドアロンのコンピュータのためのスタートアップキーを作成する必要があります。

起動キーは、以下の機密情報の保護：

マスタキー：これらのキーは秘密鍵を保護するために活用されています。
保護キー：これらのユーザーアカウントのパスワードの鍵をしているActive Directoryのいずれか、またはローカルセキュリティアカウントマネージャ（ SAM ）のレジストリキーを保存
あなたのLSAの秘密鍵の保護
管理者アカウントのパスワード保護のための鍵

起動キーをした後、起動時に行われますが有効になっているの手順は以下の通り：

このシステムは、起動キーを取得
次に、マスタキーの復号化に活用されている保護
このキーにして、ユーザーアカウントの暗号化キーを入手して活用されている。
暗号化キーのレジストリキーは、ユーザーアカウントのActive Directory 、またはローカルセキュリティアカウントマネージャ（ SAM ）のパスワード情報を復号化するために活用されています。

EFSでは、 3DESの下での暗号化を有効にする手順だけを使用

レジストリエディタを開きます
は、 HKEY_LOCAL_MACHINE \ソフトウェア\マイクロソフト\のWindows NT \ CurrentVersion \ EFSのレジストリサブキー。
をクリックし、 [ DWORD値の新規作成編集]メニューを使用して
AlgorithmID値の名前を挿入し、値のデータを0x6603
3DESは、これらの値を有効にする
コンピュータを再起動する

3DESの下にグループポリシーを使用して有効にする手順を実行します

は、左のペインで、 [コンピュータの構成] 、 [ Windowsの設定、セキュリティの設定]で、 [ローカルポリシー]を展開に進んで、セキュリティオプションのグループポリシーを使用する。
をダブルクリックしてシステム暗号化：暗号化ポリシーのFIPS準拠アルゴリズムを使う。
選択を有効にする
[ OK ]をクリック

起動キーを有効にするには、以下の手順を実行します

コマンドラインでsyskeyを入力してください
クリックして暗号化を有効に進んでください。
[ OK ]をクリック
キーのためのオプションを選択します。このシステムは、ローカルに保存されているパスワード生成オプションは、デフォルトのオプションです。
[ OK ]をクリックしてコンピュータを再起動します。

オプションは、以下のキーを変更するには、スタートアップの手順を実行します

コマンドラインでsyskeyを入力してください
更新をクリックして進んでください。
パスワードを続行するか、別のキーを変更するオプションを選択する
[ OK ]をクリックします。は、コンピュータを再起動します。

EFSを無効にする方法に

コンピュータのEFSを無効にすることができますまたはドメインのいずれか。レジストリエディタを使用してEFSを無効にするには、次の手順を実行します

レジストリエディタを開きます
は、 HKEY_LOCAL_MACHINE \ソフトウェア\マイクロソフト\のWindows NT \ CurrentVersion \ EFSのレジストリサブキー。
をクリックし、 [ DWORD値の新規作成編集]メニューを使用して
EfsConfiguration値の名前を挿入するために、 1値のデータを
これらのEFSを無効値
コンピュータを再起動する

EFSのベストプラクティス

EFSのためのいくつかのベストプラクティスを以下に要約されます：

常に暗号化フォルダには、個々のないファイルを選択します 。単純なフォルダの暗号化ファイルの暗号化管理を容易にします。すべてのファイルの位置、または、暗号化されたフォルダ内に作成を自動的に暗号化される注意してください。
あなたのEFSとDRA証明書を管理するために/秘密鍵のMicrosoft証明書サービスを使用することができます
ユーザやリムーバブルメディアに秘密鍵は、それらのEFSの証明書をエクスポートするには安全な場所には、メディアを格納します。
お試しください指定された回復エージェントの数が少ない。回復エージェントの数が少なく、それを管理するためには、シンプルであり、彼らが誤ってファイルを復号化されていないことを確認します。
また、回復のアカウントの秘密鍵をエクスポートして、安全な場所に安全です。
あなたは、ドメインのメンバである各コンピュータ上の機密データを暗号化するために努力する必要があります。
さらに、ユーザーの秘密キーのセキュリティを強化する、スタンドアロンのコンピュータ上でのスタートアップキーを有効にします。
は、 [マイドキュメント]フォルダの場合には、ユーザーが同じコンピュータに接続する暗号化されることを確認します。
ローカルに保存する文書の保護を確保するため、オフラインファイルを暗号化する必要があります。
EFSを使ってログインサーバーメッセージブロック（ SMB ）を使用して、ファイルを安全に送信される/ネットワーク経由で受信したために支援しています。
また、ネットワーク上での動きとしては、 IPSecのデータを暗号化するために使用することができます

ブックマークの暗号化ファイルシステム（ EFS ）