EFSDump: Hvad det er, hvad det bruges til, og hvordan man bruger dette Sysinternals-værktøj i dybden.

Bekymret for, hvem der rent faktisk kan få adgang til dine krypterede filer i Windows? Hvis du nogensinde har håndteret NTFS-baserede systemer eller spekuleret på, hvordan du sikrer, at dine følsomme data ikke udsættes for uautoriserede brugere, har du sandsynligvis hørt om Encrypting File System (EFS), en af ​​de mest kraftfulde, men mindst transparente funktioner i Windows. Det kan dog være en reel hovedpine at finde ud af, hvilke brugere der har rettigheder til at læse krypterede filer, hvis du er begrænset til konventionelle grafiske værktøjer. Det er her, det kommer ind i billedet. EFSDump, et værktøj specifikt til Sysinternals-pakken, der forenkler revisionstilladelser på beskyttede filer.

I denne artikel vil jeg forklare i detaljer, hvad EFSDump er, hvad det bruges til, hvordan det fungerer internt, og hvornår det kan redde dit liv i systemadministrationen. Uanset om du er IT-professionel, dedikeret til sikkerhed eller blot en avanceret bruger, der ønsker at forstå alle detaljer i EFS-adgangskontrol, er her den mest omfattende og praktiske guide på spansk, der integrerer alle relevante oplysninger fra tekniske kilder og giver klar, struktureret rådgivning. Gør dig klar til at mestre dette værktøj og få reel kontrol over din databeskyttelse i Windows.

Hvad er EFSDump, og hvad bruges det til?

EFSDump er et lille kommandolinjeværktøj udviklet af Sysinternals, nu en del af Microsoft, som blev født med et meget simpelt mål: øjeblikkeligt og automatisk at vise listen over konti (brugere og gendannelsesagenter), der kan få adgang til EFS-krypterede filer på NTFS-volumener. Før EFSDump kom, skulle man, hvis man ville revidere EFS-tilladelser på flere filer eller mapper, navigere gennem Windows Stifinder og navigere gennem hver fils faneblad med avancerede egenskaber én efter én – en manuel, kedelig og ekstremt fejlbehæftet proces, når man håndterer store datamængder.

Gennem EFSDump Du kan gøre dette hurtigt og samlet direkte fra konsollen, filtrere efter navne, filtypenavne eller endda anvende jokertegn på stier. Det er i bund og grund en præcis og ligetil løsning til enhver gennemgang eller revision af krypteret filadgang i virksomheds- eller personlige miljøer.

Download fra den officielle portal for Microsoft SysinternalsDet er gratis, og downloadfilen er under 200 KB.

Kontekst: EFS i Windows og dets problemer

fra Windows 2000 blev introduceret Krypterende filsystem (EFS) i NTFS, hvilket giver brugerne mulighed for at beskytte følsomme oplysninger mod nysgerrige øjne. EFS' indre funktioner er ret omhyggelige: hver krypteret fil integrerer i sin header, hvad vi kunne kalde "hemmelige felter" (DDF og DRF), hvor filkrypteringsnøgler (FEK) beskyttet af offentlig nøglekryptografi af hver autoriseret bruger, og genopretningslejre forbundet med geninddrivelsesagenter udpeget i virksomhedens politikker.

Det betyder det Der kan være mere end én bruger og mere end én agent med effektiv adgang til hver krypteret filDet er ikke nok, at en fil er "grøn", eller at du er ejeren: en administrator kan ubevidst give adgang til andre brugere eller tjenester ved en fejltagelse eller uforsigtighed. Det er her, EFSDump bliver den ideelle allierede ved at give dig mulighed for at liste hurtigt alle gældende tilladelser knyttet til hver krypteret fil.

Hvilke oplysninger giver EFSDump?

Når du løber EFSDump på en fil eller et sæt af dem, får du en en tydelig liste over alle brugere, servicekonti og gendannelsesagenter, der er knyttet til krypteringen af ​​den pågældende filInternt udtrækker værktøjet data ved hjælp af den specifikke API ForespørgselBrugerePåKrypteretFil, hvilket faktisk er det, der "læser mellem linjerne" i NTFS-headermetadataene for at finde ud af, hvem der kan dekryptere indholdet.

Derfor præsenterer værktøjet dig for oplysninger som:

• Brugere med direkte adgang til den krypterede fil (dem, der oprindeligt krypterede det, eller dem, der har fået yderligere adgang)
• Foruddefinerede gendannelsesagenter (konfigureret i lokal sikkerhedspolitik eller af systemadministratoren)
• Identiteten af ​​hver konto (navn og, hvor det er relevant, sikkerhedsidentifikator eller SID)

Dette giver både systemadministratorer og avancerede brugere mulighed for opdage fejlkonfigurationer, uønsket adgang eller potentielle sårbarheder inden det er for sent.

Hovedfunktioner i EFSDump

• Let og bærbar: Ingen installation kræves, bare download og kør direkte fra konsollen.
• Kompatibel med moderne versioner af Windows: Den kan bruges fra Windows Vista og Server 2008 og fremefter.
• Giver dig mulighed for at scanne hele mapper rekursivt: Takket være parameteren -s kan du revidere hele mappe- og undermappestrukturer uden at gentage kommandoer.
• Wildcard-understøttelse: Gør det nemt at vælge filer efter filtypenavn (f.eks. alle krypterede .docx-filer i en mappe).
• Rent og letforståeligt output: Viser konti, SID'er og gendannelsesagenter på en ordnet måde til revisions- eller rapporteringsformål.
• Lydløs: Parameteren -q undertrykker fejlmeddelelser eller advarsler, hvilket er nyttigt til at integrere EFSDump i automatiserede scripts.

EFSDump-syntaks og parametre

Det er ret ligetil at bruge EFSDump, men ligesom med ethvert konsolværktøj er det vigtigt at mestre dets syntaks for at få mest muligt ud af det.

Generelt format for kommandoen:

efsdump   <archivo o directorio>

• -sFortæller EFSDump at behandle alle filer i undermapper rekursivt.
• -qUndertrykker fejludskrivning (lydløs tilstand), ideel til massive scripts eller når vi ikke ønsker, at konsollen skal være fyldt med gentagne meddelelser.
• : Du kan angive enten navnet på en bestemt fil eller en mappe (for at kontrollere alle filer i den) eller et mønster med jokertegn.

Praktiske eksempler:

• Sådan viser du de brugere, der har adgang til alle krypterede .docx-filer i din dokumentmappe:

  efsdump C:\Users\MiUsuario\Documents\*.docx

• Sådan gennemgår du en hel mappe og dens undermapper:

  efsdump -s C:\DataCifrada

• For at køre kommandoen uden fejlmeddelelser, ideelt til scripting:

  efsdump -q -s C:\CarpetaSegura

Intern drift og NTFS-strukturer

EFSDump arbejder direkte på filer gemt på NTFS-partitioner og udnytter de interne felter i headeren på hver krypteret fil.

I NTFS indeholder hver EFS-beskyttet fil to nøglestrukturer:

• DDF (Datadekrypteringsfelter): De gemmer filkrypteringsnøgler, krypteret med hver autoriseret brugers offentlige nøgle. Her er den faktiske liste over personer, der har direkte adgang til indholdet uden at have systemnøglen.
• DRF (Data Recovery Fields): De inkluderer krypterede FEK-nøgler, men denne gang med den offentlige nøgle fra gendannelsesagenterne, dvs. konti, der er forudbestemt af administratoren til nødsituationer eller datagendannelse.

EFSDump-kompatibilitet og -krav

Værktøjet Den blev skabt af Mark Russinovich, en af ​​de mest kendte Windows-udviklere i verden og grundlægger af Sysinternals. Selvom værktøjet oprindeligt blev designet til Windows 2000, er det stadig fuldt ud gyldigt i meget nyere miljøer:

• Kunder: Fungerer på Windows Vista og nyere, inklusive nuværende versioner som Windows 10 og 11.
• Servere: Den er kompatibel med Windows Server 2008 og nyere.

Det kræver ikke installation, ændrer ikke registreringsdatabasen og efterlader ingen spor på systemet: Du skal blot udpakke den eksekverbare fil og åbne et kommandovindue med læsetilladelser til de filer, du vil revidere. For at forstå andre analyseværktøjer kan du også gennemgå dem. Sådan bruger du Windbg.

relateret artikel:

Sådan bruger du WinDbg til at analysere dumpfiler og løse BSOD-fejl

Isaac

Passioneret forfatter om bytes-verdenen og teknologien generelt. Jeg elsker at dele min viden gennem skrivning, og det er det, jeg vil gøre i denne blog, vise dig alle de mest interessante ting om gadgets, software, hardware, teknologiske trends og mere. Mit mål er at hjælpe dig med at navigere i den digitale verden på en enkel og underholdende måde.