EFSDump: mis see on, milleks seda kasutatakse ja kuidas seda Sysinternalsi tööriista põhjalikult kasutada.

Kas olete mures selle pärast, kes pääseb teie krüptitud failidele Windowsis juurde? Kui olete kunagi haldanud NTFS-põhiseid süsteeme või mõelnud, kuidas tagada, et teie tundlikud andmed ei satuks volitamata kasutajate kätte, olete ilmselt kuulnud krüptimisfailisüsteemist (EFS), mis on Windowsi üks võimsamaid, kuid kõige vähem läbipaistvaid funktsioone. Kuid kui teil on piiratud tavapäraste graafiliste tööriistadega, võib krüptitud failide lugemise õigusega kasutajate väljaselgitamine olla tõeline peavalu. Siin tulebki see mängu. EFSDump, Sysinternalsi komplekti spetsiifiline utiliit, mis lihtsustab kaitstud failide õiguste auditeerimist.

Selles artiklis selgitan üksikasjalikult, mis on EFSDump, milleks seda kasutatakse, kuidas see sisemiselt töötab ja millal see süsteemiadministreerimisel teie elu päästa võib. Olenemata sellest, kas olete IT-spetsialist, kes on pühendunud turvalisusele, või lihtsalt edasijõudnud kasutaja, kes soovib mõista EFS-i juurdepääsukontrolli iga detaili, on siin kõige põhjalikum ja praktilisem hispaania keeles juhend, mis koondab kogu asjakohase teabe tehnilistest allikatest ja pakub selgeid, struktureeritud nõuandeid. Valmistuge selle tööriista valdamiseks ja oma andmekaitse üle Windowsis tõelise kontrolli haaramiseks.

Mis on EFSDump ja milleks seda kasutatakse?

EFSDump on väike käsurea utiliit, mille töötas välja Sysinternals, mis on nüüd osa Microsoftist, ja mille eesmärk oli väga lihtne: kuvada kohe ja automaatselt kontode (kasutajate ja taasteagentide) loend, millel on juurdepääs NTFS-draividel olevatele EFS-krüptitud failidele. Enne EFSDumpi tulekut pidi mitme faili või kataloogi EFS-i õiguste auditeerimiseks navigeerima Windows Exploreris ja seejärel iga faili täpsemate omaduste vahekaardil ükshaaval – see oli käsitsi teostatav, tüütu ja äärmiselt veaohtlik protsess suurte andmemahtude käsitlemisel.

Läbi EFSDump Seda saab teha kiiresti ja hulgi otse konsoolist, filtreerides nimede, laienduste või isegi metamärkide järgi teedele. See on sisuliselt täpne ja otsekohene lahendus mis tahes krüptitud failidele juurdepääsu ülevaatamiseks või auditeerimiseks nii ettevõtte- kui ka isiklikus keskkonnas.

Laadige alla ametlikust portaalist Microsoft SysinternalsSee on tasuta ja allalaaditav fail on alla 200 KB.

Kontekst: EFS Windowsis ja selle probleemid

pärit Windows 2000 tutvustati Krüptimisfailisüsteem (EFS) NTFS-is, mis võimaldab kasutajatel kaitsta tundlikku teavet uteliailta pilkude eest. EFS-i sisemine toimimine on üsna täpne: iga krüptitud fail integreerib oma päisesse niinimetatud "salajased väljad" (DDF ja DRF), kus faili krüpteerimisvõtmed (FEK) iga volitatud kasutaja poolt avaliku võtme krüptograafiaga kaitstud ja taastumislaagrid seotud ettevõtte poliitikates määratud sissenõudmisagentidega.

See tähendab seda Igale krüpteeritud failile võib olla efektiivse juurdepääsuga rohkem kui üks kasutaja ja rohkem kui üks agentSellest ei piisa, et fail on "roheline" või et sina oled selle omanik: administraator võib teadmatult anda teistele kasutajatele või teenustele juurdepääsu kogemata või hooletuse tõttu. Siin saab EFSDumpist ideaalne liitlane, võimaldades teil loetleda kiiresti kõik kehtivad load iga krüpteeritud failiga seotud.

Millist teavet EFSDump pakub?

Kui jooksed EFSDump faili või nende komplekti kohta saate a kõigi selle faili krüptimisega seotud kasutajate, teenusekontode ja taasteagentide selge loendSisemiselt ekstraheerib utiliit andmeid spetsiifilise API abil. Päringukasutajad krüptitud failis, mis tegelikult loeb NTFS-päise metaandmete ridade vahelt, et teada saada, kes saab sisu dekrüpteerida.

Seega pakub tööriist teile teavet, näiteks:

• Kasutajad, kellel on otsejuurdepääs krüptitud failile (need, kes selle algselt krüpteerisid või kellele on antud täiendav juurdepääs)
• Eelnevalt määratletud taasteagendid (konfigureeritud kohalikus turvapoliitikas või süsteemiadministraatori poolt)
• Iga konto identiteet (nimi ja vajadusel turvaidentifikaator ehk SID)

See võimaldab nii süsteemiadministraatoritel kui ka edasijõudnud kasutajatel tuvastada valekonfiguratsioone, soovimatut juurdepääsu või võimalikke haavatavusi enne kui on liiga hilja.

EFSDumpi peamised omadused

• Kerge ja kaasaskantav: Installimist pole vaja, lihtsalt laadige alla ja käivitage otse konsoolist.
• Ühildub Windowsi kaasaegsete versioonidega: Seda saab kasutada alates Windows Vistast ja Server 2008-st.
• Võimaldab teil rekursiivselt skannida terveid katalooge: Tänu parameetrile -s saate auditeerida terveid kausta- ja alamkaustastruktuure ilma käske kordamata.
• Metamärkide tugi: Lihtsustab failide valimist laiendi järgi (nt kõik kaustas olevad krüptitud .docx-failid).
• Puhas ja kergesti tõlgendatav väljund: Kuvab kontosid, SID-sid ja taastamisagente korrapäraselt auditi või aruandluse eesmärgil.
• Vaikne režiim: Parameeter -q pärsib veateateid või hoiatusi, mis on kasulik EFSDumpi integreerimiseks automatiseeritud skriptidesse.

EFSDumpi süntaks ja parameetrid

EFSDumpi kasutamine on üsna lihtne, kuid nagu iga konsoolitööriista puhul, on selle maksimaalseks ärakasutamiseks oluline omandada selle süntaks.

Käsu üldine vorming:

efsdump   <archivo o directorio>

• -s: Annab EFSDumpile käsu töödelda kõiki alamkataloogides olevaid faile rekursiivselt.
• -q: Tõkestab veateadete printimist (vaikne režiim), ideaalne mahukate skriptide jaoks või kui me ei soovi, et konsool oleks täis korduvaid teateid.
• : Saate määrata kas konkreetse faili või kausta nime (kõikide selles olevate failide auditeerimiseks) või metamärkidega mustri.

Praktilised näited:

• Kasutajate loetlemiseks, kellel on juurdepääs kõigile krüptitud .docx-failidele teie dokumentide kaustas, toimige järgmiselt.

  efsdump C:\Users\MiUsuario\Documents\*.docx

• Terve kausta ja selle alamkaustade auditeerimiseks toimige järgmiselt.

  efsdump -s C:\DataCifrada

• Käsu käivitamiseks ilma veateadeteta, ideaalne skriptimiseks:

  efsdump -q -s C:\CarpetaSegura

Sisemine toimimine ja NTFS-struktuurid

EFSDump töötab otse NTFS-partitsioonidel salvestatud failidega, kasutades ära iga krüptitud faili päises olevaid sisemisi välju.

NTFS-is sisaldab iga EFS-iga kaitstud fail kahte põhistruktuuri:

• DDF (andmete dekrüpteerimisväljad): Nad salvestavad failide krüpteerimisvõtmeid, mis on krüpteeritud iga volitatud kasutaja avaliku võtmega. Siin on tegelik nimekiri inimestest, kes saavad sisule otse juurde pääseda ilma süsteemivõtit omamata.
• DRF (andmete taastamise väljad): Nende hulka kuuluvad krüpteeritud FEK-võtmed, kuid seekord taasteagentide avaliku võtmega, st kontodega, mille administraator on ette määranud hädaolukordadeks või andmete taastamiseks.

EFSDumpi ühilduvus ja nõuded

Tööriist Selle lõi Mark Russinovich., üks maailma tuntumaid Windowsi arendajaid ja Sysinternalsi asutaja. Kuigi see oli algselt loodud Windows 2000 jaoks, on see utiliit endiselt täiesti praktiline ka palju uuemates keskkondades:

• Kliendid: Töötab Windows Vista ja uuemate versioonidega, sealhulgas praeguste versioonidega nagu Windows 10 ja 11.
• Serverid: See on ühilduv Windows Server 2008 ja uuemate versioonidega.

See ei vaja installimist, ei muuda registrit ega jäta süsteemi jälgi: lihtsalt pakkige käivitatav fail lahti ja avage käsurea aken lugemisõigustega failidele, mida soovite auditeerida. Teiste analüüsitööriistade mõistmiseks võite vaadata ka Kuidas Windbg'i kasutada.

Seotud artikkel:

Kuidas kasutada WinDbg-i prügimäefailide analüüsimiseks ja BSOD-vigade lahendamiseks

Isaac

Kirglik kirjanik baitide maailmast ja üldse tehnoloogiast. Mulle meeldib jagada oma teadmisi kirjutamise kaudu ja just seda ma selles ajaveebis teengi, näitan teile kõike kõige huvitavamat vidinate, tarkvara, riistvara, tehnoloogiliste suundumuste ja muu kohta. Minu eesmärk on aidata teil digimaailmas lihtsal ja meelelahutuslikul viisil navigeerida.