EFSDump: Co to je, k čemu to je a jak tento nástroj Sysinternals používat podrobně.

Poslední aktualizace: 06/06/2025
Autor: Isaac
  • EFSDump umožňuje snadno auditovat přístup k souborům šifrovaným pomocí EFS z příkazového řádku. příkazy.
  • Je to lehký a snadno použitelný nástroj, který je kompatibilní s moderními verzemi Windows, ideální pro profesionály, kteří spravují bezpečnost v prostředích NTFS.
  • Integruje výkonné možnosti pro kontrolu uživatelských oprávnění a agenty pro obnovení propojené s chráněnými soubory.

výpis Máte obavy, kdo má ve Windows skutečně přístup k vašim zašifrovaným souborům? Pokud jste někdy spravovali systémy založené na systému souborů NTFS nebo jste přemýšleli, jak zajistit, aby vaše citlivá data nebyla vystavena neoprávněným uživatelům, pravděpodobně jste slyšeli o systému šifrování souborů (EFS), jedné z nejvýkonnějších, ale nejméně transparentních funkcí systému Windows. Zjištění, kteří uživatelé mají oprávnění ke čtení šifrovaných souborů, však může být skutečnou komplikací, pokud jste omezeni na běžné grafické nástroje. A právě zde přichází na řadu tato funkce. EFSDump, což je nástroj specifický pro sadu Sysinternals, který zjednodušuje auditování oprávnění k chráněným souborům.

V tomto článku podrobně vysvětlím, co je EFSDump, k čemu se používá, jak interně funguje a kdy vám může zachránit život při správě systému. Ať už jste IT profesionál, specializujete se na bezpečnost, nebo jen pokročilý uživatel, který chce porozumět každému detailu řízení přístupu EFS, zde je nejkomplexnější a nejpraktičtější průvodce ve španělštině, který integruje všechny relevantní informace z technických zdrojů a poskytuje jasné a strukturované rady. Připravte se na zvládnutí tohoto nástroje a převezměte skutečnou kontrolu nad ochranou svých dat ve Windows.

Co je EFSDump a k čemu se používá?

EFSDump je malý nástroj příkazového řádku vyvinutý společností Sysinternals, nyní součástí Microsoftu, který vznikl s velmi jednoduchým cílem: okamžitě a automaticky zobrazit seznam účtů (uživatelů a agentů pro obnovení), které mají přístup k souborům šifrovaným pomocí EFS na svazcích NTFS. Před příchodem EFSDump jste museli, pokud jste chtěli auditovat oprávnění EFS u více souborů nebo adresářů, procházet Průzkumníkem Windows a postupně procházet záložku pokročilých vlastností každého souboru – což byl manuální, zdlouhavý a extrémně chybově náchylný proces při práci s velkými objemy dat.

  Toto je 5 kroků, jak si uspořádat svůj finanční život

Přes EFSDump Můžete to provést rychle a hromadně přímo z konzole, filtrovat podle názvů, přípon nebo dokonce použít zástupné znaky k cestám. V podstatě se jedná o přesné a přímočaré řešení pro jakoukoli kontrolu nebo audit přístupu k šifrovaným souborům v podnikovém nebo osobním prostředí.

Stáhněte si z oficiálního portálu Microsoft SysinternalsJe to zdarma a soubor ke stažení je menší než 200 KB.

Kontext: EFS ve Windows a jeho problémy

z Windows 2000 byl představen Šifrovací souborový systém (EFS) v NTFS, což uživatelům umožňuje chránit citlivé informace před zvědavými zraky. Vnitřní fungování EFS je poměrně pečlivé: každý šifrovaný soubor integruje do své hlavičky to, co bychom mohli nazvat „tajnými poli“ (DDF a DRF), kde klíče pro šifrování souborů (FEK) chráněno kryptografií s veřejným klíčem každým oprávněným uživatelem a zotavovací tábory spojené s agenty pro vymáhání určenými firemními zásadami.

To znamená, že Ke každému šifrovanému souboru může mít efektivní přístup více než jeden uživatel a více než jeden agent.Nestačí, aby byl soubor „zelený“ nebo aby jste byli jeho vlastníkem: správce může nevědomky omylem či nedbalostí udělit přístup jiným uživatelům nebo službám. A právě zde se EFSDump stává ideálním spojencem, protože vám umožňuje vypsat rychle všechna platná povolení spojené s každým zašifrovaným souborem.

Jaké informace poskytuje EFSDump?

Když běžíš EFSDump na souboru nebo jejich sadě získáte vymazat seznam všech uživatelů, servisních účtů a agentů pro obnovení spojených se šifrováním daného souboruInterně utilita extrahuje data pomocí specifického API UživateléDotazyNaZašifrovanýSoubor, což je to, co ve skutečnosti „čte mezi řádky“ metadat záhlaví NTFS, aby zjistilo, kdo může obsah dešifrovat.

Nástroj vám proto poskytuje informace, jako například:

  • Uživatelé s přímým přístupem k zašifrovanému souboru (ti, kteří jej původně zašifrovali, nebo ti, kterým byl udělen dodatečný přístup)
  • Předdefinovaní agenti pro obnovu (nakonfigurováno v místních bezpečnostních zásadách nebo správcem systému)
  • Identita každého účtu (jméno a případně bezpečnostní identifikátor nebo SID)
  Naučte se číst zprávy na Facebooku, aniž byste je viděli

To umožňuje jak správcům systému, tak pokročilým uživatelům detekovat chybné konfigurace, nežádoucí přístup nebo potenciální zranitelnosti než bude příliš pozdě.

Hlavní vlastnosti EFSDump

  • Lehký a přenosný: Není nutná žádná instalace, stačí stáhnout a spustit přímo z konzole.
  • Kompatibilní s moderními verzemi Windows: Lze jej používat od systémů Windows Vista a Server 2008 a novějších.
  • Umožňuje rekurzivně prohledávat celé adresáře: Díky parametru -s můžete auditovat celé struktury složek a podsložek bez opakování příkazů.
  • Podpora zástupných znaků: Usnadňuje výběr souborů podle přípony (např. všechny šifrované soubory .docx ve složce).
  • Čistý a snadno interpretovatelný výstup: Zobrazuje účty, SID a agenty pro obnovení uspořádaným způsobem pro účely auditu nebo vytváření sestav.
  • Tichý mód: Parametr -q potlačuje chybové zprávy nebo varování, což je užitečné pro integraci EFSDump do automatizovaných skriptů.

Syntaxe a parametry EFSDump

Používání EFSDump je poměrně jednoduché, ale stejně jako u jakéhokoli konzolového nástroje je důležité zvládnout jeho syntaxi, abyste z něj vytěžili maximum.

Obecný formát příkazu:

efsdump   <archivo o directorio>
  • -sŘíká EFSDump, aby rekurzivně zpracoval všechny soubory v podadresářích.
  • -qPotlačuje výpis chyb (tichý režim), ideální pro rozsáhlé skripty nebo když nechceme, aby se konzole zaplňovala opakujícími se zprávami.
  • : Můžete zadat buď název konkrétního souboru nebo složky (pro audit všech souborů v ní), nebo vzor se zástupnými znaky.

Praktické příklady:

  • Chcete-li zobrazit seznam uživatelů, kteří mají přístup ke všem šifrovaným souborům .docx ve složce dokumentů: 
    efsdump C:\Users\MiUsuario\Documents\*.docx
  • Audit celé složky a jejích podsložek: 
    efsdump -s C:\DataCifrada
  • Pro spuštění příkazu bez chybových hlášení, ideální pro skriptování: 
    efsdump -q -s C:\CarpetaSegura

Vnitřní provoz a struktury NTFS

EFSDump pracuje přímo se soubory uloženými na oddílech NTFS a využívá interní pole v záhlaví každého zašifrovaného souboru.

V systému NTFS obsahuje každý soubor chráněný systémem EFS dvě klíčové struktury:

  • DDF (pole pro dešifrování dat): Ukládají šifrovací klíče souborů, zašifrované veřejným klíčem každého autorizovaného uživatele. Zde je skutečný seznam lidí, kteří mají přímý přístup k obsahu, aniž by měli systémový klíč.
  • DRF (Pole pro obnovu dat): Zahrnují šifrované FEK klíče, ale tentokrát s veřejným klíčem agentů pro obnovu, tj. účtů předem určených správcem pro nouzové situace nebo obnovu dat.
  Kompletní průvodce obnovou předchozích verzí souborů na OneDrivu

Kompatibilita a požadavky EFSDump

Nástroj Vytvořil ho Mark Russinovich, jeden z nejznámějších vývojářů Windows na světě a zakladatel společnosti Sysinternals. Ačkoli byl tento nástroj původně navržen pro Windows 2000, je stále plně funkční i v mnohem novějších prostředích:

  • Zákazníci: Funguje na Windows Vista a novějších verzích, včetně aktuálních verzí, jako jsou Windows 10 a 11.
  • Servery: Je kompatibilní se systémem Windows Server 2008 a vyšším.

Nevyžaduje instalaci, neupravuje registr a nezanechává v systému žádné stopy: stačí rozbalit spustitelný soubor a otevřít příkazové okno s oprávněními ke čtení souborů, které chcete auditovat. Chcete-li se seznámit s dalšími analytickými nástroji, můžete si také prohlédnout Jak používat Windbg.

windbg
Související článek:
Jak použít WinDbg k analýze souborů s výpisem a vyřešení chyb BSOD