EFSDump: Què és, per a què serveix i com fer servir a fons aquesta eina de Sysinternals

Et preocupa qui pot accedir realment als teus fitxers xifrats a Windows? Si alguna vegada heu gestionat sistemes basats en NTFS o us heu preguntat com assegurar que les vostres dades confidencials no quedin exposades a usuaris no autoritzats, segur que heu sentit a parlar del Sistema de xifratge de fitxers o EFS (Encrypting File System), una de les funcions més potents però menys transparents de Windows. No obstant això, esbrinar quins usuaris tenen privilegis per llegir fitxers xifrats pot ser un autèntic maldecap si et limites a les eines gràfiques convencionals. Aquí és on entra en joc EFSDump, una utilitat específica de la suite Sysinternals que simplifica l'auditoria de permisos sobre fitxers protegits.

En aquest article et explicaré en detall què és EFSDump, per a què s'utilitza, com funciona internament i quan et pot salvar la vida en administració de sistemes. Bé siguis professional d'IT, et dediquis a la seguretat o simplement ets un usuari avançat que vol entendre fins a l'últim detall del control d'accessos a EFS, aquí tens la guia més completa i pràctica en espanyol, integrant tota la informació rellevant de fonts tècniques i aportant consells clars i estructurats. Prepara't per dominar aquesta eina i prendre el control real de la protecció de les teves dades a Windows.

Què és EFSDump i per a què serveix?

EFSDump és una petita utilitat de línia d'ordres desenvolupada per Sysinternals, ara parteix de Microsoft, que va néixer amb un objectiu molt simple: mostrar de manera immediata i automatitzada la llista de comptes (usuaris i agents de recuperació) que poden accedir a fitxers xifrats mitjançant EFS en volums NTFS. Abans de l'arribada d'EFSDump, si volies auditar permisos EFS en diversos fitxers o directoris, havies de bregar amb l'Explorador de Windows i navegar un per un per les fitxes de propietats avançades de cada fitxer, un procés manual, tediós i enormement propens a errors quan es tracta de grans volums d'informació.

Gràcies a EFSDump ho pots fer de forma ràpida i massiva directament des de la consola, filtrant per noms, extensions o fins i tot aplicant caràcters comodí a les rutes. És, en essència, una solució precisa i directa per a qualsevol tasca de revisió o auditoria daccessos a fitxers xifrats en entorns corporatius o personals.

Descarregar des del portal oficial de Microsoft Sysinternals. És gratuït i la descàrrega ocupa menys de 200 KB.

Context: EFS a Windows i la seva problemàtica

Des de Windows 2000 es va introduir el Sistema de xifratge de fitxers (EFS) a NTFS, permetent als usuaris protegir informació sensible de mirades alienes. El funcionament intern d'EFS és força meticulós: cada fitxer xifrat integra a la seva capçalera el que podríem anomenar «camps secrets» (DDF i DRF), on s'emmagatzemen els claus de xifratge de fitxer (FEK) protegides mitjançant criptografia de clau pública per cada usuari autoritzat, i els camps de recuperació associats als agents de recuperació designats per polítiques de lempresa.

Això vol dir que hi pot haver més d'un usuari i més d'un agent amb accés efectiu a cada fitxer xifrat. No n'hi ha prou que un fitxer estigui «en verd» o que tu siguis el propietari: un administrador pot, sense saber-ho, estar concedint accés a altres usuaris o serveis per error o descuit. Aquí és on EFSDump es converteix en l'aliat ideal en permetre llistar ràpidament tots els permisos efectius associats a cada fitxer xifrat.

Quina informació proporciona EFSDump?

quan executes EFSDump sobre un fitxer o un conjunt d'ells, obtens una llista clara de tots els usuaris, comptes de servei i agents de recuperació associats al xifratge d'aquest fitxer. Internament, la utilitat extreu dades usant l'API específica QueryUsersOnEncryptedFile, que és la que realment «llegeix entre línies» les metadades de capçalera NTFS per descobrir qui en pot desencriptar el contingut.

Per tant, l'eina us presenta informació com:

• Usuaris amb accés directe a l'arxiu xifrat (els qui ho han xifrat originalment o als quals se'ls ha concedit accés addicional)
• Agents de recuperació predefinits (configurats a la política local de seguretat o per l'administrador de sistemes)
• Identitat de cada compte (nom i, quan és rellevant, l'identificador de seguretat o SID)

Això permet tant a administradors de sistemes com a usuaris avançats detectar configuracions errònies, accessos no desitjats o possibles vulnerabilitats abans que sigui tard.

Característiques principals d'EFSDump

• Lleuger i portable: No necessiteu instal·lació, simplement es descarrega i executa directament des de la consola.
• Compatible amb versions modernes de Windows: Es pot utilitzar des de Windows Vista i Server 2008 en endavant.
• Permet examinar directoris complets de manera recursiva: Gràcies al seu paràmetre -s, pots auditar estructures senceres de carpetes i subcarpetes sense repetir ordres.
• Suport per a comodins: Facilita la selecció de fitxers per extensió (per exemple, tots els .docx xifrats d'una carpeta).
• Sortida neta i fàcilment interpretable: Mostra els comptes, els SIDs i els agents de recuperació de manera ordenada per poder documentar auditories o informes.
• Mode silenciós: El paràmetre -q suprimeix missatges d'error o advertiments, útil per integrar EFSDump a scripts automatitzats.

Sintaxi i paràmetres d'EFSDump

L'ús d'EFSDump és força directe però, com tota eina de consola, convé dominar bé la seva sintaxi per treure'n tot el profit.

Format general de l'ordre:

efsdump   <archivo o directorio>

• -s: Li diu a EFSDump que processi tots els fitxers en subdirectoris de forma recursiva.
• -q: Suprimeix la impressió d'errors (mode silenciós), ideal per a scripts massius o quan no volem que la consola s'ompli de missatges repetitius.
• : Podeu indicar tant el nom d'un fitxer concret com d'una carpeta (per auditar tots els fitxers dins) o bé un patró amb comodins.

Exemples pràctics:

• Per llistar els usuaris que poden accedir a tots els .docx xifrats de la teva carpeta de documents:

  efsdump C:\Users\MiUsuario\Documents\*.docx

• Per auditar tota una carpeta i subcarpetes:

  efsdump -s C:\DataCifrada

• Per llançar l'ordre sense missatges d'error, ideal per a scripting:

  efsdump -q -s C:\CarpetaSegura

Funcionament intern i estructures NTFS

EFSDump treballa directament sobre fitxers allotjats en particions NTFS, aprofitant els camps interns de la capçalera de cada fitxer xifrat.

A NTFS, cada fitxer protegit per EFS incorpora dues estructures clau:

• DDF (Data Decryption Fields): Emmagatzemen claus de xifratge de fitxers, encriptades amb la clau pública de cada usuari autoritzat. Aquí hi ha la llista real de persones que poden accedir directament al contingut, sense comptar amb la clau del sistema.
• DRF (Data Recovery Fields): Inclouen claus FEK encriptades, però aquesta vegada amb la clau pública dels agents de recuperació, és a dir, comptes predeterminats per l'administrador per a situacions d'emergència o recuperació de dades.

Compatibilitat i requisits d'EFSDump

l'eina va ser creada per Mark Russinovich, un dels desenvolupadors més coneguts del món Windows i fundador de Sysinternals.

• clients: Funciona al Windows Vista i posteriors, incloent versions actuals com Windows 10 i 11.
• Servidors: És compatible des del Windows Server 2008 i superiors.

No requereix instal·lació, no modifica el registre ni deixa traces al sistema: només cal descomprimir l'executable i obrir una finestra d'ordres amb permisos de lectura sobre els fitxers que vulguis auditar. Per entendre altres eines d'anàlisi, també podeu revisar com utilitzar Windbg.

Article relacionat:

Com utilitzar WinDbg per analitzar fitxers de bolcat i resoldre errors BSOD

Isaac

Redactor apassionat del món dels bytes i la tecnologia en general. M'encanta compartir els meus coneixements a través de l'escriptura, i això és el que faré en aquest bloc, mostrar tot el més interessant sobre gadgets, programari, maquinari, tendències tecnològiques, i més. El meu objectiu és ajudar-te a navegar pel món digital de forma senzilla i entretinguda.