- EFSDump ви позволява лесно да одитирате достъпа до EFS-криптирани файлове от командния ред. команди.
- Това е лек, лесен за употреба инструмент, съвместим със съвременните версии на Windows, идеален за професионалисти, които управляват сигурността в различни среди NTFS.
- Той интегрира мощни опции за преглед на потребителските разрешения и агенти за възстановяване, свързани със защитени файлове.
В тази статия ще обясня подробно какво е EFSDump, за какво се използва, как работи вътрешно и кога може да ви спаси живота в системната администрация. Независимо дали сте ИТ специалист, посветен на сигурността, или просто напреднал потребител, който иска да разбере всеки детайл от контрола на достъпа до EFS, ето най-изчерпателното и практично ръководство на испански, което интегрира цялата необходима информация от технически източници и предоставя ясни, структурирани съвети. Пригответе се да овладеете този инструмент и да поемете истински контрол върху защитата на вашите данни в Windows.
Какво е EFSDump и за какво се използва?
EFSDump е малка помощна програма за команден ред, разработена от Sysinternals, сега част от Microsoft, която е създадена с много проста цел: незабавно и автоматично да показва списъка с акаунти (потребители и агенти за възстановяване), които имат достъп до EFS-криптирани файлове на NTFS томове. Преди появата на EFSDump, ако искате да проверите EFS разрешенията за множество файлове или директории, трябваше да навигирате през Windows Explorer и да преминавате през раздела с разширени свойства на всеки файл един по един – ръчен, досаден и изключително податлив на грешки процес при работа с големи обеми данни.
Благодаря на EFSDъмп Можете да направите това бързо и групово директно от конзолата, филтрирайки по имена, разширения или дори прилагайки заместващи символи към пътища. Това е по същество прецизно и лесно решение за всяка задача за преглед или одит на достъпа до криптирани файлове в корпоративна или лична среда.
- Изтеглете от официалния портал на Microsoft SysinternalsБезплатно е и файлът за изтегляне е по-малък от 200 KB.
Контекст: EFS в Windows и неговите проблеми
от Windows 2000 беше въведен Шифроваща файлова система (EFS) в NTFS, което позволява на потребителите да защитят чувствителна информация от любопитни очи. Вътрешната работа на EFS е доста щателна: всеки криптиран файл интегрира в заглавката си това, което бихме могли да наречем „секретни полета“ (DDF и DRF), където ключове за криптиране на файлове (FEK) защитени с криптография с публичен ключ от всеки оторизиран потребител, и лагери за възстановяване свързани с агенти за възстановяване, определени от политиките на компанията.
Това означава, че Може да има повече от един потребител и повече от един агент с ефективен достъп до всеки криптиран файлНе е достатъчно един файл да е „зелен“ или вие да сте негов собственик: администратор може несъзнателно да предостави достъп на други потребители или услуги поради грешка или небрежност. Тук EFSDump се превръща в идеалния съюзник, като ви позволява да изброявате бързо всички валидни разрешителни свързани с всеки криптиран файл.
Каква информация предоставя EFSDump?
Когато тичаш EFSDъмп върху файл или набор от тях, получавате изчистване на списъка с всички потребители, сервизни акаунти и агенти за възстановяване, свързани с криптирането на този файлВътрешно, помощната програма извлича данни, използвайки специфичния API ПотребителиКъмШифрованФайл, което всъщност „чете между редовете“ на метаданните на заглавката на NTFS, за да разбере кой може да дешифрира съдържанието.
Следователно, инструментът ви предоставя информация като:
- Потребители с директен достъп до криптирания файл (тези, които първоначално са го криптирали или тези, на които е предоставен допълнителен достъп)
- Предварително дефинирани агенти за възстановяване (конфигурирано в локалната политика за сигурност или от системния администратор)
- Идентичност на всеки акаунт (име и, където е приложимо, идентификатор за сигурност или SID)
Това позволява както на системните администратори, така и на напредналите потребители откриване на неправилни конфигурации, нежелан достъп или потенциални уязвимости преди да е твърде късно.
Основни характеристики на EFSDump
- Лек и преносим: Не е необходима инсталация, просто изтеглете и стартирайте директно от конзолата.
- Съвместим със съвременни версии на Windows: Може да се използва от Windows Vista и Server 2008 нататък.
- Позволява ви да сканирате цели директории рекурсивно: Благодарение на параметъра -s, можете да одитирате цели структури от папки и подпапки, без да повтаряте команди.
- Поддръжка на заместващи символи: Улеснява избора на файлове по разширение (напр. всички криптирани .docx файлове в папка).
- Чист и лесно интерпретируем изход: Показва акаунти, SID и агенти за възстановяване по подреден начин за целите на одита или отчитането.
- Тих режим: Параметърът -q потиска съобщенията за грешки или предупрежденията, което е полезно за интегриране на EFSDump в автоматизирани скриптове.
Синтаксис и параметри на EFSDump
Използването на EFSDump е сравнително лесно, но както при всеки конзолен инструмент, е важно да овладеете синтаксиса му, за да извлечете максимума от него.
Общ формат на командата:
efsdump <archivo o directorio>- -sУказва на EFSDump да обработва всички файлове в поддиректориите рекурсивно.
- -qПотиска изписването на грешки (тих режим), идеално за масивни скриптове или когато не искаме конзолата да се запълва с повтарящи се съобщения.
- : Можете да укажете или името на конкретен файл или папка (за да проверите всички файлове в нея), или шаблон със заместващи символи.
Практически примери:
- За да изброите потребителите, които имат достъп до всички криптирани .docx файлове във вашата папка с документи:
efsdump C:\Users\MiUsuario\Documents\*.docx - За да проверите цяла папка и нейните подпапки:
efsdump -s C:\DataCifrada - За да изпълните командата без съобщения за грешки, идеално за скриптове:
efsdump -q -s C:\CarpetaSegura
Вътрешна работа и NTFS структури
EFSDump работи директно върху файлове, съхранявани на NTFS дялове, като се възползва от вътрешните полета в заглавката на всеки криптиран файл.
В NTFS всеки файл, защитен от EFS, включва две ключови структури:
- DDF (Полета за дешифриране на данни): Те съхраняват ключове за криптиране на файлове, криптирани с публичния ключ на всеки оторизиран потребител. Ето реалния списък с хора, които имат директен достъп до съдържанието, без да имат системния ключ.
- DRF (Полета за възстановяване на данни): Те включват криптирани FEK ключове, но този път с публичния ключ на агентите за възстановяване, т.е. акаунти, предварително определени от администратора за аварийни ситуации или възстановяване на данни.
Съвместимост и изисквания на EFSDump
Инструментът Създаден е от Марк Русинович, един от най-известните разработчици на Windows в света и основател на Sysinternals. Въпреки че първоначално е проектирана за Windows 2000, помощната програма остава напълно валидна и в много по-нови среди:
- Клиенти: Работи на Windows Vista и по-нови версии, включително текущи версии като Windows 10 и 11.
- Сървъри: Съвместим е с Windows Server 2008 и по-нови версии.
Не изисква инсталация, не променя системния регистър и не оставя никакви следи в системата: просто разархивирайте изпълнимия файл и отворете команден прозорец с разрешения за четене на файловете, които искате да одитирате. За да разберете други инструменти за анализ, можете също да прегледате Как да използвате Windbg.
Страстен писател за света на байтовете и технологиите като цяло. Обичам да споделям знанията си чрез писане и това е, което ще направя в този блог, ще ви покажа всички най-интересни неща за джаджи, софтуер, хардуер, технологични тенденции и много други. Моята цел е да ви помогна да се ориентирате в дигиталния свят по лесен и забавен начин.