EFSDump: Was es ist und wie man verschlüsselte Dateien in Windows prüft

Mundobytes » Windows » EFSDump: Was es ist, wozu es dient und wie man dieses Sysinternals-Tool im Detail verwendet.

Mit EFSDump können Sie den Zugriff auf EFS-verschlüsselte Dateien einfach über die Befehlszeile prüfen. Befehle.
Es ist ein leichtes, unkompliziertes Tool, das mit modernen Versionen von kompatibel ist Windows, ideal für Profis, die die Sicherheit in Umgebungen verwalten NTFS.
Es integriert leistungsstarke Optionen zum Überprüfen von Benutzerberechtigungen und Wiederherstellungsagenten, die mit geschützten Dateien verknüpft sind.

Machen Sie sich Sorgen darüber, wer tatsächlich auf Ihre verschlüsselten Dateien in Windows zugreifen kann? Wenn Sie schon einmal NTFS-basierte Systeme verwaltet oder sich gefragt haben, wie Sie Ihre sensiblen Daten vor unbefugten Zugriffen schützen können, haben Sie wahrscheinlich schon vom verschlüsselnden Dateisystem (EFS) gehört, einer der leistungsstärksten, aber auch am wenigsten transparenten Funktionen von Windows. Herauszufinden, welche Benutzer verschlüsselte Dateien lesen dürfen, kann jedoch zu einem echten Problem werden, wenn Sie auf herkömmliche grafische Tools beschränkt sind. Hier kommt es ins Spiel. EFSDump, ein Dienstprogramm speziell für die Sysinternals-Suite, das die Überwachung von Berechtigungen für geschützte Dateien vereinfacht.

In diesem Artikel erkläre ich ausführlich, was EFSDump ist, wofür es verwendet wird, wie es intern funktioniert und wann es Ihnen bei der Systemadministration das Leben retten kann. Egal, ob Sie IT-Experte mit Schwerpunkt Sicherheit sind oder einfach nur ein fortgeschrittener Benutzer, der jedes Detail der EFS-Zugriffskontrolle verstehen möchte – hier finden Sie den umfassendsten und praktischsten Leitfaden auf Spanisch. Er integriert alle relevanten Informationen aus technischen Quellen und bietet klare, strukturierte Ratschläge. Machen Sie sich bereit, dieses Tool zu beherrschen und Ihren Datenschutz unter Windows effektiv zu kontrollieren.

Was ist EFSDump und wofür wird es verwendet?

EFSDump ist ein kleines Befehlszeilenprogramm, das von Sysinternals, heute Teil von Microsoft, entwickelt wurde und mit einem sehr einfachen Ziel entstand: die Liste der Konten (Benutzer und Wiederherstellungsagenten), die auf EFS-verschlüsselte Dateien auf NTFS-Volumes zugreifen können, sofort und automatisch anzuzeigen. Wenn Sie vor der Einführung von EFSDump die EFS-Berechtigungen für mehrere Dateien oder Verzeichnisse prüfen wollten, mussten Sie den Windows Explorer durchsuchen und die Registerkarten mit den erweiterten Eigenschaften jeder Datei einzeln durchgehen – ein manueller, mühsamer und bei der Verarbeitung großer Datenmengen äußerst fehleranfälliger Prozess.

So bereinigen Sie die Formatierung in Word nach dem Einfügen von Text aus dem Internet

Durch EFSDump Sie können dies schnell und in großen Mengen direkt von der Konsole aus erledigen, indem Sie nach Namen, Erweiterungen oder sogar Platzhalterzeichen für Pfade filtern. Es handelt sich im Wesentlichen um eine präzise und unkomplizierte Lösung für die Überprüfung oder Überwachung verschlüsselter Dateizugriffe in Unternehmens- oder Privatumgebungen.

Download vom offiziellen Portal von Microsoft SysinternalsEs ist kostenlos und der Download ist weniger als 200 KB groß.

Kontext: EFS in Windows und seine Probleme

Bei Windows 2000 wurde eingeführt Verschlüsselndes Dateisystem (EFS) in NTFS, wodurch Benutzer vertrauliche Informationen vor neugierigen Blicken schützen können. Die Funktionsweise von EFS ist sehr sorgfältig: Jede verschlüsselte Datei enthält in ihrem Header sogenannte „geheime Felder“ (DDF und DRF), in denen die Dateiverschlüsselungsschlüssel (FEK) durch Public-Key-Kryptographie von jedem autorisierten Benutzer geschützt, und die Erholungslager in Verbindung mit durch Unternehmensrichtlinien festgelegten Wiederherstellungsagenten.

Dies bedeutet, dass Es kann mehr als einen Benutzer und mehr als einen Agenten mit effektivem Zugriff auf jede verschlüsselte Datei gebenEs reicht nicht aus, dass eine Datei „grün“ ist oder Sie der Eigentümer sind: Ein Administrator kann versehentlich oder aus Unachtsamkeit anderen Benutzern oder Diensten Zugriff gewähren. Hier ist EFSDump der ideale Partner, da es Ihnen ermöglicht, schnell alle wirksamen Genehmigungen mit jeder verschlüsselten Datei verknüpft.

Welche Informationen stellt EFSDump bereit?

Wenn du rennst EFSDump auf eine Datei oder eine Gruppe von Dateien, erhalten Sie eine klare Liste aller Benutzer, Dienstkonten und Wiederherstellungsagenten, die mit der Verschlüsselung dieser Datei verbunden sindIntern extrahiert das Dienstprogramm Daten mithilfe der spezifischen API QueryUsersOnEncryptedFile, das tatsächlich „zwischen den Zeilen“ der NTFS-Header-Metadaten liest, um herauszufinden, wer den Inhalt entschlüsseln kann.

Daher präsentiert Ihnen das Tool Informationen wie:

Benutzer mit direktem Zugriff auf die verschlüsselte Datei (diejenigen, die es ursprünglich verschlüsselt haben oder denen zusätzlicher Zugriff gewährt wurde)
Vordefinierte Wiederherstellungs-Agenten (konfiguriert in der lokalen Sicherheitsrichtlinie oder durch den Systemadministrator)
Identität jedes Kontos (Name und ggf. Sicherheitskennung oder SID)

Vollständige Anleitung zur Behebung von Formatierungsfehlern und Datenbankbeschädigungen in Access

Dies ermöglicht sowohl Systemadministratoren als auch fortgeschrittenen Benutzern Fehlkonfigurationen, unerwünschten Zugriff oder potenzielle Schwachstellen erkennen bevor es zu spät ist.

Hauptfunktionen von EFSDump

Leicht und tragbar: Keine Installation erforderlich, einfach herunterladen und direkt von der Konsole aus ausführen.
Kompatibel mit modernen Windows-Versionen: Es ist ab Windows Vista und Server 2008 einsetzbar.
Ermöglicht das rekursive Scannen ganzer Verzeichnisse: Dank des Parameters -s können Sie ganze Ordner- und Unterordnerstrukturen prüfen, ohne Befehle wiederholen zu müssen.
Wildcard-Unterstützung: Erleichtert die Auswahl von Dateien nach Erweiterung (z. B. alle verschlüsselten .docx-Dateien in einem Ordner).
Saubere und leicht interpretierbare Ausgabe: Zeigt Konten, SIDs und Wiederherstellungsagenten zu Prüf- oder Berichtszwecken in geordneter Weise an.
Silent-Modus: Der Parameter -q unterdrückt Fehlermeldungen oder Warnungen, was für die Integration von EFSDump in automatisierte Skripte nützlich ist.

EFSDump-Syntax und -Parameter

Die Verwendung von EFSDump ist ziemlich unkompliziert, aber wie bei jedem Konsolentool ist es wichtig, die Syntax zu beherrschen, um das Beste daraus zu machen.

Allgemeines Format des Befehls:

efsdump   <archivo o directorio>

-s: Weist EFSDump an, alle Dateien in Unterverzeichnissen rekursiv zu verarbeiten.
-q: Unterdrückt die Fehlerausgabe (Stiller Modus), ideal für umfangreiche Skripte oder wenn die Konsole nicht mit sich wiederholenden Meldungen gefüllt werden soll.
: Sie können entweder den Namen einer bestimmten Datei oder eines Ordners angeben (um alle darin enthaltenen Dateien zu prüfen) oder ein Muster mit Platzhaltern.

Praxisbeispiele:

So listen Sie die Benutzer auf, die auf alle verschlüsselten DOCX-Dateien in Ihrem Dokumentordner zugreifen können:
```
efsdump C:\Users\MiUsuario\Documents\*.docx
```
So prüfen Sie einen ganzen Ordner und seine Unterordner:
```
efsdump -s C:\DataCifrada
```
So führen Sie den Befehl ohne Fehlermeldungen aus (ideal für Skripting):
```
efsdump -q -s C:\CarpetaSegura
```

Interner Betrieb und NTFS-Strukturen

EFSDump arbeitet direkt mit Dateien, die auf NTFS-Partitionen gespeichert sind, und nutzt die internen Felder im Header jeder verschlüsselten Datei.

In NTFS enthält jede EFS-geschützte Datei zwei Schlüsselstrukturen:

DDF (Datenentschlüsselungsfelder): Sie speichern Dateiverschlüsselungsschlüssel, verschlüsselt mit dem öffentlichen Schlüssel jedes autorisierten Benutzers. Hier ist die aktuelle Liste der Personen, die direkt auf den Inhalt zugreifen können, ohne den Systemschlüssel zu besitzen.
DRF (Datenwiederherstellungsfelder): Sie enthalten verschlüsselte FEK-Schlüssel, diesmal jedoch mit dem öffentlichen Schlüssel der Wiederherstellungsagenten, d. h. vom Administrator für Notfälle oder die Datenwiederherstellung vordefinierte Konten.

So bereinigen Sie auf Telegram gespeicherte Dateien – eine Schritt-für-Schritt-Anleitung zur Bereinigung

EFSDump-Kompatibilität und -Anforderungen

Das Werkzeug Es wurde von Mark Russinovich erstellt, einer der bekanntesten Windows-Entwickler weltweit und Gründer von Sysinternals. Obwohl ursprünglich für Windows 2000 entwickelt, ist das Dienstprogramm auch in viel neueren Umgebungen noch immer voll funktionsfähig:

Kunden: Funktioniert unter Windows Vista und höher, einschließlich aktueller Versionen wie Windows 10 und 11.
Server: Es ist mit Windows Server 2008 und höher kompatibel.

Es erfordert keine Installation, verändert die Registrierung nicht und hinterlässt keine Spuren im System: Entpacken Sie einfach die ausführbare Datei und öffnen Sie ein Befehlsfenster mit Leseberechtigung für die zu prüfenden Dateien. Um weitere Analysetools kennenzulernen, lesen Sie bitte auch So verwenden Sie Windbg.

Verwandte Artikel:

So verwenden Sie WinDbg zum Analysieren von Dump-Dateien und Beheben von BSOD-Fehlern

Holger

Leidenschaftlicher Autor über die Welt der Bytes und der Technologie im Allgemeinen. Ich liebe es, mein Wissen durch Schreiben zu teilen, und genau das werde ich in diesem Blog tun und Ihnen die interessantesten Dinge über Gadgets, Software, Hardware, technologische Trends und mehr zeigen. Mein Ziel ist es, Ihnen dabei zu helfen, sich auf einfache und unterhaltsame Weise in der digitalen Welt zurechtzufinden.