- EFSDumpin avulla voit helposti tarkastaa EFS-salattujen tiedostojen käyttöoikeudet komentoriviltä. komennot.
- Se on kevyt ja helppokäyttöinen työkalu, joka on yhteensopiva nykyaikaisten versioiden kanssa. Windows, ihanteellinen ammattilaisille, jotka hallinnoivat turvallisuutta ympäristöissä NTFS.
- Se yhdistää tehokkaat vaihtoehdot käyttäjäoikeuksien tarkistamiseen ja suojattuihin tiedostoihin linkitettyihin palautusagentteihin.
Tässä artikkelissa selitän yksityiskohtaisesti, mikä EFSDump on, mihin sitä käytetään, miten se toimii sisäisesti ja milloin se voi pelastaa henkesi järjestelmänvalvojana. Oletpa sitten IT-ammattilainen, tietoturvaan perehtynyt tai vain edistynyt käyttäjä, joka haluaa ymmärtää EFS-käyttöoikeuksien hallinnan kaikki yksityiskohdat, tässä on kattavin ja käytännöllisin espanjankielinen opas, joka yhdistää kaikki olennaiset tiedot teknisistä lähteistä ja tarjoaa selkeitä, jäsenneltyjä neuvoja. Valmistaudu hallitsemaan tämä työkalu ja ottamaan todellinen hallinta tietojesi suojauksesta Windowsissa.
Mikä on EFSDump ja mihin sitä käytetään?
EFSDump on pieni komentorivityökalu, jonka on kehittänyt Sysinternals, joka on nykyään osa Microsoftia. Se syntyi hyvin yksinkertaisella tavoitteella: näyttää välittömästi ja automaattisesti luettelon tileistä (käyttäjät ja palautusagentit), jotka voivat käyttää EFS-salattuja tiedostoja NTFS-levyillä. Ennen EFSDumpin tuloa useiden tiedostojen tai hakemistojen EFS-käyttöoikeuksien tarkastaminen vaati Windowsin Resurssienhallinnan käyttöä ja kunkin tiedoston lisäominaisuudet-välilehden läpikäymistä yksi kerrallaan – manuaalinen, työläs ja erittäin virhealtis prosessi käsiteltäessä suuria tietomääriä.
Gracias EFSDump Voit tehdä tämän nopeasti ja kerralla suoraan konsolista, suodattamalla nimien, tiedostopäätteiden tai jopa jokerimerkkien perusteella. Se on pohjimmiltaan tarkka ja yksinkertainen ratkaisu mihin tahansa salattujen tiedostojen käyttöoikeuksien tarkistus- tai auditointitehtävään yritys- tai henkilökohtaisessa ympäristössä.
- Lataa viralliselta portaalilta Microsoft SysinternalsSe on ilmainen ja lataus on alle 200 kt.
Konteksti: EFS Windowsissa ja sen ongelmat
alkaen Windows 2000 esiteltiin Tiedostojen salausjärjestelmä (EFS) NTFS:ssä, jolloin käyttäjät voivat suojata arkaluontoisia tietoja uteliailta katseilta. EFS:n sisäinen toiminta on melko huolellista: jokainen salattu tiedosto yhdistää otsikkoonsa niin sanottuja "salaisia kenttiä" (DDF ja DRF), joissa tiedostojen salausavaimet (FEK) jokaisen valtuutetun käyttäjän julkisen avaimen kryptografialla suojattuna, ja toipumisleirit liittyvät yrityksen käytäntöjen mukaisiin perintäagentteihin.
Se tarkoittaa sitä Useammalla käyttäjällä ja useammalla agentilla voi olla tehokas pääsy kuhunkin salattuun tiedostoon.Ei riitä, että tiedosto on "vihreä" tai että olet sen omistaja: ylläpitäjä voi tietämättään myöntää käyttöoikeuden muille käyttäjille tai palveluille vahingossa tai huolimattomuudestaan. Tässä kohtaa EFSDumpista tulee ihanteellinen liittolainen, sillä sen avulla voit listata nopeasti kaikki voimassa olevat luvat jokaiseen salattuun tiedostoon liittyvä.
Mitä tietoja EFSDump tarjoaa?
Kun juokset EFSDump tiedostosta tai niiden joukosta saat selkeä luettelo kaikista kyseisen tiedoston salaukseen liittyvistä käyttäjistä, palvelutileistä ja palautusagenteistaSisäisesti apuohjelma poimii tietoja käyttämällä tiettyä API:a KyselyKäyttäjätSalatullaTiedostolla, joka itse asiassa "lukee rivien välistä" NTFS-otsikkometatiedoissa selvittääkseen, kuka voi purkaa sisällön salauksen.
Siksi työkalu tarjoaa sinulle tietoja, kuten:
- Käyttäjät, joilla on suora pääsy salattuun tiedostoon (ne, jotka alun perin salasivat sen tai ne, joille on myönnetty lisäkäyttöoikeudet)
- Ennalta määritetyt palautusagentit (paikallisessa suojauskäytännössä tai järjestelmänvalvojan määrittämä)
- Kunkin tilin identiteetti (nimi ja tarvittaessa suojaustunniste tai SID)
Tämä mahdollistaa sekä järjestelmänvalvojien että kokeneiden käyttäjien havaita virheelliset kokoonpanot, ei-toivottu käyttö tai mahdolliset haavoittuvuudet ennen kuin on liian myöhäistä.
EFSDumpin pääominaisuudet
- Kevyt ja kannettava: Asennusta ei tarvita, lataa ja suorita suoraan konsolista.
- Yhteensopiva nykyaikaisten Windows-versioiden kanssa: Sitä voidaan käyttää Windows Vistasta ja Server 2008:sta eteenpäin.
- Voit skannata koko hakemistoja rekursiivisesti: -s-parametrin ansiosta voit tarkastaa koko kansio- ja alikansiorakenteen toistamatta komentoja.
- Jokerimerkkien tuki: Helpottaa tiedostojen valitsemista tiedostopäätteen mukaan (esim. kaikki kansion salatut .docx-tiedostot).
- Puhdas ja helposti tulkittava tuloste: Näyttää tilit, SID:t ja palautusagentit järjestelmällisesti tarkastusta tai raportointia varten.
- Hiljainen tila: -q-parametri estää virheilmoitukset tai varoitukset, mikä on hyödyllistä EFSDumpin integroinnissa automatisoituihin komentosarjoihin.
EFSDump-syntaksi ja parametrit
EFSDumpin käyttö on melko suoraviivaista, mutta kuten minkä tahansa konsolityökalun kohdalla, on tärkeää hallita sen syntaksi, jotta siitä saa kaiken irti.
Komennon yleinen muoto:
efsdump <archivo o directorio>- -s: Ohjaa EFSDumpin käsittelemään kaikki alihakemistojen tiedostot rekursiivisesti.
- -q: Estää virhetulostuksen (hiljainen tila), ihanteellinen massiivisille skripteille tai kun emme halua konsolin täyttyvän toistuvista viesteistä.
- : Voit määrittää joko tietyn tiedoston tai kansion nimen (kaikkien sen sisältämien tiedostojen tarkastamiseksi) tai jokerimerkkejä käyttävän kuvion.
Käytännön esimerkkejä:
- Voit listata käyttäjät, joilla on pääsy kaikkiin salattuihin .docx-tiedostoihin tiedostokansiossasi:
efsdump C:\Users\MiUsuario\Documents\*.docx - Koko kansion ja sen alikansioiden tarkastaminen:
efsdump -s C:\DataCifrada - Komennon suorittaminen ilman virheilmoituksia, ihanteellinen skriptaukseen:
efsdump -q -s C:\CarpetaSegura
Sisäinen toiminta ja NTFS-rakenteet
EFSDump toimii suoraan NTFS-osioille tallennetuissa tiedostoissa hyödyntäen kunkin salatun tiedoston otsikossa olevia sisäisiä kenttiä.
NTFS-järjestelmässä jokainen EFS-suojattu tiedosto sisältää kaksi keskeistä rakennetta:
- DDF (tietojen salauksen purkukentät): Ne tallentavat tiedostojen salausavaimia, jotka on salattu kunkin valtuutetun käyttäjän julkisella avaimella. Tässä on luettelo henkilöistä, jotka voivat käyttää sisältöä suoraan ilman järjestelmäavainta.
- DRF (tietojen palautuskentät): Ne sisältävät salattuja FEK-avaimia, mutta tällä kertaa palautusagenttien julkisella avaimella, eli järjestelmänvalvojan ennalta määrittämällä tilillä hätätilanteita tai tietojen palautusta varten.
EFSDump-yhteensopivuus ja vaatimukset
Työkalu Sen loi Mark Russinovich., yksi maailman tunnetuimmista Windows-kehittäjistä ja Sysinternalsin perustaja. Vaikka se alun perin suunniteltiin Windows 2000:lle, se on edelleen täysin pätevä paljon uudemmissa ympäristöissä:
- Asiakkaat: Toimii Windows Vistassa ja uudemmissa käyttöjärjestelmissä, mukaan lukien nykyiset versiot, kuten Windows 10 ja 11.
- Palvelimet: Se on yhteensopiva Windows Server 2008:n ja uudempien kanssa.
Se ei vaadi asennusta, ei muuta rekisteriä eikä jätä jälkiä järjestelmään: pura vain suoritettava tiedosto ja avaa komentoikkuna lukuoikeuksilla tiedostoille, jotka haluat tarkistaa. Voit myös tutustua muihin analyysityökaluihin Kuinka käyttää Windbg:tä.
Intohimoinen kirjoittaja tavujen maailmasta ja tekniikasta yleensä. Rakastan jakaa tietämykseni kirjoittamalla, ja sen aion tehdä tässä blogissa, näyttää sinulle kaikki mielenkiintoisimmat asiat vempaimista, ohjelmistoista, laitteistoista, teknologisista trendeistä ja muusta. Tavoitteeni on auttaa sinua navigoimaan digitaalisessa maailmassa yksinkertaisella ja viihdyttävällä tavalla.