EFSDump: Τι είναι και πώς να ελέγχετε κρυπτογραφημένα αρχεία στα Windows

Mundobytes » Windows » EFSDump: Τι είναι, σε τι χρησιμεύει και πώς να χρησιμοποιήσετε αυτό το εργαλείο Sysinternals σε βάθος.

Το EFSDump σάς επιτρέπει να ελέγχετε εύκολα την πρόσβαση σε αρχεία κρυπτογραφημένα με EFS από τη γραμμή εντολών. εντολές.
Είναι ένα ελαφρύ, απλό εργαλείο που είναι συμβατό με τις σύγχρονες εκδόσεις του Windows, ιδανικό για επαγγελματίες που διαχειρίζονται την ασφάλεια σε περιβάλλοντα NTFS.
Ενσωματώνει ισχυρές επιλογές για την αναθεώρηση των δικαιωμάτων χρήστη και των παραγόντων ανάκτησης που συνδέονται με προστατευμένα αρχεία.

Ανησυχείτε για το ποιος μπορεί στην πραγματικότητα να έχει πρόσβαση στα κρυπτογραφημένα αρχεία σας στα Windows; Αν έχετε διαχειριστεί ποτέ συστήματα που βασίζονται σε NTFS ή αναρωτηθήκατε πώς να διασφαλίσετε ότι τα ευαίσθητα δεδομένα σας δεν θα εκτεθούν σε μη εξουσιοδοτημένους χρήστες, πιθανότατα έχετε ακούσει για το Σύστημα Κρυπτογράφησης Αρχείων (EFS), μία από τις πιο ισχυρές αλλά λιγότερο διαφανείς λειτουργίες των Windows. Ωστόσο, η διαπίστωση των χρηστών που έχουν δικαιώματα ανάγνωσης κρυπτογραφημένων αρχείων μπορεί να είναι ένας πραγματικός πονοκέφαλος αν περιορίζεστε σε συμβατικά γραφικά εργαλεία. Εδώ ακριβώς έρχεται το θέμα. EFSDump, ένα βοηθητικό πρόγραμμα ειδικά για τη σουίτα Sysinternals που απλοποιεί τον έλεγχο δικαιωμάτων σε προστατευμένα αρχεία.

Σε αυτό το άρθρο, θα εξηγήσω λεπτομερώς τι είναι το EFSDump, σε τι χρησιμοποιείται, πώς λειτουργεί εσωτερικά και πότε μπορεί να σας σώσει τη ζωή στη διαχείριση του συστήματος. Είτε είστε επαγγελματίας πληροφορικής, αφοσιωμένος στην ασφάλεια, είτε απλώς ένας προχωρημένος χρήστης που θέλει να κατανοήσει κάθε λεπτομέρεια του ελέγχου πρόσβασης EFS, ορίστε ο πιο ολοκληρωμένος και πρακτικός οδηγός στα ισπανικά, που ενσωματώνει όλες τις σχετικές πληροφορίες από τεχνικές πηγές και παρέχει σαφείς, δομημένες συμβουλές. Ετοιμαστείτε να κατακτήσετε αυτό το εργαλείο και να αναλάβετε τον πραγματικό έλεγχο της προστασίας των δεδομένων σας στα Windows.

Τι είναι το EFSDump και σε τι χρησιμεύει;

Το EFSDump είναι ένα μικρό βοηθητικό πρόγραμμα γραμμής εντολών που αναπτύχθηκε από την Sysinternals, η οποία πλέον αποτελεί μέρος της Microsoft, και το οποίο δημιουργήθηκε με έναν πολύ απλό στόχο: να εμφανίζει άμεσα και αυτόματα τη λίστα λογαριασμών (χρήστες και παράγοντες ανάκτησης) που μπορούν να έχουν πρόσβαση σε κρυπτογραφημένα αρχεία EFS σε τόμους NTFS. Πριν από την άφιξη του EFSDump, αν θέλατε να ελέγξετε τα δικαιώματα EFS σε πολλά αρχεία ή καταλόγους, έπρεπε να πλοηγηθείτε στην Εξερεύνηση των Windows και να περιηγηθείτε στην καρτέλα προηγμένων ιδιοτήτων κάθε αρχείου μία προς μία — μια μη αυτόματη, κουραστική και εξαιρετικά επιρρεπής σε σφάλματα διαδικασία όταν ασχολείσαι με μεγάλους όγκους δεδομένων.

Πώς να εξάγετε μοντέλα Blender για τρισδιάστατη εκτύπωση

Μέσω EFSDump Μπορείτε να το κάνετε αυτό γρήγορα και μαζικά απευθείας από την κονσόλα, φιλτράροντας με ονόματα, επεκτάσεις ή ακόμα και εφαρμόζοντας χαρακτήρες μπαλαντέρ σε διαδρομές. Είναι ουσιαστικά μια ακριβής και απλή λύση για οποιαδήποτε εργασία ελέγχου ή αναθεώρησης κρυπτογραφημένης πρόσβασης σε αρχεία σε εταιρικά ή προσωπικά περιβάλλοντα.

Λήψη από την επίσημη πύλη του Microsoft SysinternalsΕίναι δωρεάν και το μέγεθος λήψης είναι λιγότερο από 200 KB.

Συμφραζόμενα: EFS στα Windows και τα προβλήματά του

από Windows 2000 εισήχθη Κρυπτογράφηση Συστήματος Αρχείων (EFS) σε NTFS, επιτρέποντας στους χρήστες να προστατεύουν ευαίσθητες πληροφορίες από αδιάκριτα βλέμματα. Η εσωτερική λειτουργία του EFS είναι αρκετά σχολαστική: κάθε κρυπτογραφημένο αρχείο ενσωματώνει στην κεφαλίδα του αυτό που θα μπορούσαμε να ονομάσουμε "μυστικά πεδία" (DDF και DRF), όπου το κλειδιά κρυπτογράφησης αρχείων (FEK) προστατεύεται από κρυπτογραφία δημόσιου κλειδιού από κάθε εξουσιοδοτημένο χρήστη, και το στρατόπεδα αποκατάστασης που σχετίζονται με τους φορείς ανάκτησης που ορίζονται από τις πολιτικές της εταιρείας.

Αυτό σημαίνει ότι Μπορεί να υπάρχουν περισσότεροι από ένας χρήστες και περισσότεροι από ένας εκπρόσωποι με αποτελεσματική πρόσβαση σε κάθε κρυπτογραφημένο αρχείο.Δεν αρκεί ένα αρχείο να είναι "πράσινο" ή να είστε εσείς ο κάτοχος: ένας διαχειριστής μπορεί άθελά του να παραχωρήσει πρόσβαση σε άλλους χρήστες ή υπηρεσίες λόγω λάθους ή αμέλειας. Εδώ είναι που το EFSDump γίνεται ο ιδανικός σύμμαχος, επιτρέποντάς σας να καταχωρίσετε γρήγορα όλες οι ισχύουσες άδειες που σχετίζονται με κάθε κρυπτογραφημένο αρχείο.

Ποιες πληροφορίες παρέχει το EFSDump;

Όταν τρέχετε EFSDump σε ένα αρχείο ή σε ένα σύνολο από αυτά, λαμβάνετε ένα σαφής λίστα όλων των χρηστών, λογαριασμών υπηρεσίας και παραγόντων ανάκτησης που σχετίζονται με την κρυπτογράφηση αυτού του αρχείουΕσωτερικά, το βοηθητικό πρόγραμμα εξάγει δεδομένα χρησιμοποιώντας το συγκεκριμένο API QueryUsersOnEncryptedFile, το οποίο είναι αυτό που στην πραγματικότητα «διαβάζει ανάμεσα στις γραμμές» των μεταδεδομένων κεφαλίδας NTFS για να διαπιστώσει ποιος μπορεί να αποκρυπτογραφήσει το περιεχόμενο.

Επομένως, το εργαλείο σας παρέχει πληροφορίες όπως:

Χρήστες με άμεση πρόσβαση στο κρυπτογραφημένο αρχείο (αυτοί που το κρυπτογράφησαν αρχικά ή εκείνοι στους οποίους έχει παραχωρηθεί πρόσθετη πρόσβαση)
Προκαθορισμένοι παράγοντες ανάκτησης (ρυθμίζεται στην τοπική πολιτική ασφαλείας ή από τον διαχειριστή συστήματος)
Ταυτότητα κάθε λογαριασμού (όνομα και, όπου είναι σχετικό, ο αναγνωριστικός κωδικός ασφαλείας ή το SID)

Εύκολες μέθοδοι αποκλεισμού επαφών Viber σε Android και iPhone

Αυτό επιτρέπει τόσο στους διαχειριστές συστημάτων όσο και στους προχωρημένους χρήστες εντοπισμός λανθασμένων ρυθμίσεων, ανεπιθύμητης πρόσβασης ή πιθανών ευπαθειών πριν να είναι πολύ αργά.

Κύρια χαρακτηριστικά του EFSDump

Ελαφρύ και φορητό: Δεν απαιτείται εγκατάσταση, απλώς κατεβάστε το και εκτελέστε το απευθείας από την κονσόλα.
Συμβατό με τις σύγχρονες εκδόσεις των Windows: Μπορεί να χρησιμοποιηθεί από τα Windows Vista και Server 2008 και μετά.
Σας επιτρέπει να σαρώνετε ολόκληρους καταλόγους αναδρομικά: Χάρη στην παράμετρο -s, μπορείτε να ελέγξετε ολόκληρες τις δομές φακέλων και υποφακέλων χωρίς να επαναλαμβάνετε εντολές.
Υποστήριξη μπαλαντέρ: Διευκολύνει την επιλογή αρχείων κατά επέκταση (π.χ. όλα τα κρυπτογραφημένα αρχεία .docx σε έναν φάκελο).
Καθαρή και εύκολα ερμηνεύσιμη έξοδος: Εμφανίζει λογαριασμούς, SID και φορείς ανάκτησης με τάξη για σκοπούς ελέγχου ή αναφοράς.
Αθόρυβη λειτουργία: Η παράμετρος -q καταστέλλει τα μηνύματα σφάλματος ή τις προειδοποιήσεις, κάτι χρήσιμο για την ενσωμάτωση του EFSDump σε αυτοματοποιημένα σενάρια.

Σύνταξη και παράμετροι EFSDump

Η χρήση του EFSDump είναι αρκετά απλή, αλλά όπως συμβαίνει με οποιοδήποτε εργαλείο κονσόλας, είναι σημαντικό να κατακτήσετε τη σύνταξη του για να το αξιοποιήσετε στο έπακρο.

Γενική μορφή της εντολής:

efsdump   <archivo o directorio>

-s: Δίνει εντολή στο EFSDump να επεξεργάζεται όλα τα αρχεία σε υποκαταλόγους αναδρομικά.
-qΚαταστέλλει την εκτύπωση σφαλμάτων (αθόρυβη λειτουργία), ιδανική για μαζικά σενάρια ή όταν δεν θέλουμε η κονσόλα να είναι γεμάτη με επαναλαμβανόμενα μηνύματα.
: Μπορείτε να καθορίσετε είτε το όνομα ενός συγκεκριμένου αρχείου είτε ενός φακέλου (για να ελέγξετε όλα τα αρχεία που περιέχει) ή ένα μοτίβο με χαρακτήρες μπαλαντέρ.

Πρακτικά παραδείγματα:

Για να παραθέσετε μια λίστα με τους χρήστες που έχουν πρόσβαση σε όλα τα κρυπτογραφημένα αρχεία .docx στον φάκελο "έγγραφα":
```
efsdump C:\Users\MiUsuario\Documents\*.docx
```
Για να ελέγξετε ολόκληρο τον φάκελο και τους υποφακέλους του:
```
efsdump -s C:\DataCifrada
```
Για να εκτελέσετε την εντολή χωρίς μηνύματα σφάλματος, ιδανικό για scripting:
```
efsdump -q -s C:\CarpetaSegura
```

Εσωτερική λειτουργία και δομές NTFS

Το EFSDump λειτουργεί απευθείας σε αρχεία που είναι αποθηκευμένα σε διαμερίσματα NTFS, εκμεταλλευόμενο τα εσωτερικά πεδία στην κεφαλίδα κάθε κρυπτογραφημένου αρχείου.

Στο NTFS, κάθε αρχείο που προστατεύεται από EFS ενσωματώνει δύο βασικές δομές:

DDF (Πεδία Αποκρυπτογράφησης Δεδομένων): Αποθηκεύουν κλειδιά κρυπτογράφησης αρχείων, κρυπτογραφημένα με το δημόσιο κλειδί κάθε εξουσιοδοτημένου χρήστη. Ακολουθεί η πραγματική λίστα ατόμων που μπορούν να έχουν άμεση πρόσβαση στο περιεχόμενο, χωρίς να έχουν το κλειδί συστήματος.
DRF (Πεδία Ανάκτησης Δεδομένων): Περιλαμβάνουν κρυπτογραφημένα κλειδιά FEK, αλλά αυτή τη φορά με το δημόσιο κλειδί των παραγόντων ανάκτησης, δηλαδή λογαριασμών που έχουν προκαθοριστεί από τον διαχειριστή για καταστάσεις έκτακτης ανάγκης ή ανάκτηση δεδομένων.

Γιατί η Smart TV μου σβήνει μόνη της; Όλες οι αιτίες και οι λύσεις

Συμβατότητα και απαιτήσεις EFSDump

Το εργαλείο Δημιουργήθηκε από τον Μαρκ Ρουσίνοβιτς, ένας από τους πιο γνωστούς προγραμματιστές Windows στον κόσμο και ιδρυτής του Sysinternals. Αν και αρχικά σχεδιάστηκε για Windows 2000, το βοηθητικό πρόγραμμα παραμένει απόλυτα έγκυρο σε πολύ νεότερα περιβάλλοντα:

Οι πελάτες: Λειτουργεί σε Windows Vista και νεότερες εκδόσεις, συμπεριλαμβανομένων των τρεχουσών εκδόσεων όπως τα Windows 10 και 11.
Διακομιστές: Είναι συμβατό με Windows Server 2008 και νεότερες εκδόσεις.

Δεν απαιτεί εγκατάσταση, δεν τροποποιεί το μητρώο και δεν αφήνει ίχνη στο σύστημα: απλώς αποσυμπιέστε το εκτελέσιμο αρχείο και ανοίξτε ένα παράθυρο εντολών με δικαιώματα ανάγνωσης για τα αρχεία που θέλετε να ελέγξετε. Για να κατανοήσετε άλλα εργαλεία ανάλυσης, μπορείτε επίσης να ανατρέξετε Πώς να χρησιμοποιήσετε το Windbg.

σχετικό άρθρο:

Πώς να χρησιμοποιήσετε το WinDbg για να αναλύσετε αρχεία dump και να επιλύσετε σφάλματα BSOD

Ισαάκ

Παθιασμένος συγγραφέας για τον κόσμο των byte και της τεχνολογίας γενικότερα. Μου αρέσει να μοιράζομαι τις γνώσεις μου μέσω της γραφής, και αυτό θα κάνω σε αυτό το blog, θα σας δείξω όλα τα πιο ενδιαφέροντα πράγματα σχετικά με τα gadget, το λογισμικό, το υλικό, τις τεχνολογικές τάσεις και πολλά άλλα. Στόχος μου είναι να σας βοηθήσω να περιηγηθείτε στον ψηφιακό κόσμο με απλό και διασκεδαστικό τρόπο.