今更ながら気が付いたNTFSの「暗号化ファイルシステム（EFS）」の仕様変更：山市良のうぃんどうず日記（225）

今回は、20年以上も前、Windows 2000のときから存在するNTFSファイルシステムの「暗号化ファイルシステム（EFS）」について、今の状況を少し取り上げます。はっきりしない部分もありますが、はっきりしている部分については、その情報源をお伝えします。

[山市良，テクニカルライター]

山市良のうぃんどうず日記

2023年1月後半、わが家のPCにWindows 11が来た、けど引っ込んでもらった

　ところで、わが家には仕事用、家庭＆教育用に複数台のPCとサーバ機があります。懐の都合上、最新モデルというわけにもいかず、購入してからかなり経過したPCも多く、「Windows 11」にアップグレード可能なPCは1年ほど前に新調したメインのデスクトップPCの1台だけです。そのPCに、2022年1月後半、ようやくWindows 11がWindows Update経由でダウンロードしてインストールできるようになったとのお知らせが来ました。

　知らせが来るのは分かっていたのですが、「今はWindows 10の使用を継続します」をクリックして通知には引っ込んでもらい、当面はこのまま「Windows 10」で過ごすことにしました。

• ものぐさ筆者、14年ぶりにPCをリプレースするってよ（本連載 第170回）

　実は、わが家には現在、この春から社会人になる子どもの新しいWindows 11ノートPCの購入とセットアップを代行するため、Windows 11の物理環境がいつでも利用できる状態です（コロナ禍の関係もあって、後1カ月ほど、わが家に置かれる予定）。一時的にとはいえ、自由にできるWindows 11の物理環境がある上、今しばらくWindows 10の物理環境を残しておかなければならない理由があるので、すぐにはアップグレードしません。

　Windows 10の物理環境が必要な理由は、Windows 10までのWindowsテクノロジーに関する仕事が仕掛かり中で、後数カ月は複数バージョンのWindowsを、物理環境と仮想環境で利用可能にしておく必要があるからです。

　そして、つい最近、（Windows 10までの）最新とされるドキュメントで、NTFSファイルシステムで古くから（「Windows 2000」以降）サポートされている「暗号化ファイルシステム（Encrypting File System：EFS）」に関する記述に少し戸惑ったことがありました。説明されていることと実際の動作が異なるのです。

暗号化ファイルは、ネットワーク共有にコピーできる場合とできない場合がある？

　問題のドキュメントには、EFSで暗号化されたファイルは、NTFSの代替データストリームをサポートしていないネットワーク共有に、それがNTFSボリューム上の共有であっても、コピーすることはできないと書いてありました。

　「Windowsエクスプローラー」でコピーした場合は、コピーが中断されてダイアログボックスが表示され、「このファイルを暗号化なしでコピーしますか？」と問われ、「はい」をクリックすると、暗号化が解除された状態でコピーされ、「COPY」コマンドなどでコピーした場合は、エラーメッセージ「指定されたファイルを暗号化できませんでした」で失敗すると書いてあります（ドキュメントは英語）。

　EFSは、Windows 2000で登場したときから、NTFSボリューム上のSMB（Server Message Block）プロトコルのファイル共有でも利用できるようになっていたと記憶しています。そのためのActive Directoryに統合されたサービス（「データ回復エージェント」など）もあります。

　「Windows Server 2012 R2」の「ワークフォルダー」は、HTTPS経由でEFSで暗号化された同期フォルダを提供できます。NTFSボリューム上の共有であってもコピーできないとは、ユーザーIDを確認できないActive Directoryのないワークグループ環境や、その他の共有プロトコルによる共有のことだと想像しました。

　ところが、実際にWindows 10クライアントとWindows Serverのワークグループ環境でやってみると、中断されることなく、コピーできてしまいました。ただし、できない場合もあるので何か条件があるようです。

　いろいろと試してみたところ、「Windows 8」および「Windows Server 2012」以降では、ワークグループ環境でもサーバのビルトインAdministratorの資格情報で接続すれば、暗号化されたままコピーできるようです（画面1）。