EFSDump: מה זה וכיצד לבצע ביקורת על קבצים מוצפנים ב-Windows

מונדובייטים » Windows » EFSDump: מה זה, למה זה מיועד, וכיצד להשתמש בכלי Sysinternals הזה לעומק.

EFSDump מאפשר לך לבצע ביקורת קלה על הגישה לקבצים מוצפנים באמצעות EFS משורת הפקודה. פקוד.
זהו כלי קל משקל ופשוט שתואם לגרסאות מודרניות של Windows, אידיאלי עבור אנשי מקצוע המנהלים אבטחה בסביבות NTFS.
הוא משלב אפשרויות עוצמתיות לסקירת הרשאות משתמש וסוכני שחזור המקושרים לקבצים מוגנים.

מודאג לגבי מי באמת יכול לגשת לקבצים המוצפנים שלך ב-Windows? אם אי פעם ניהלתם מערכות מבוססות NTFS או תהיתם כיצד להבטיח שהנתונים הרגישים שלכם לא ייחשפו למשתמשים לא מורשים, סביר להניח ששמעתם על מערכת הקבצים המצפינה (EFS), אחת התכונות החזקות ביותר אך הכי פחות שקופות של Windows. עם זאת, להבין לאילו משתמשים יש הרשאות לקרוא קבצים מוצפנים יכול להיות כאב ראש אמיתי אם אתם מוגבלים לכלי גרפיקה קונבנציונליים. כאן זה נכנס לתמונה. EFSDump, כלי עזר ספציפי לחבילת Sysinternals שמפשט את הרשאות הביקורת על קבצים מוגנים.

במאמר זה, אסביר בפירוט מהו EFSDump, למה הוא משמש, כיצד הוא פועל באופן פנימי, ומתי הוא יכול להציל את חייכם בניהול המערכת. בין אם אתם אנשי מקצוע בתחום ה-IT, בעלי עניין אבטחה, או פשוט משתמשים מתקדמים המעוניינים להבין כל פרט ופרט בבקרת גישה של EFS, הנה המדריך המקיף והמעשי ביותר בספרדית, המשלב את כל המידע הרלוונטי ממקורות טכניים ומספק ייעוץ ברור ומובנה. התכוננו לשלוט בכלי זה ולקחת שליטה אמיתית על הגנת הנתונים שלכם ב-Windows.

מה זה EFSDump ולמה הוא משמש?

EFSDump הוא כלי שורת פקודה קטן שפותח על ידי Sysinternals, כיום חלק ממיקרוסופט, אשר נולד עם מטרה פשוטה מאוד: להציג באופן מיידי ואוטומטי את רשימת החשבונות (משתמשים וסוכני שחזור) שיכולים לגשת לקבצים מוצפנים ב-EFS באמצעי אחסון NTFS. לפני הגעתו של EFSDump, אם רציתם לבדוק הרשאות EFS על קבצים או ספריות מרובים, הייתם צריכים לנווט דרך סייר Windows ולנווט דרך לשונית המאפיינים המתקדמות של כל קובץ בנפרד - תהליך ידני, מייגע ומועד ביותר לטעויות בעת התמודדות עם כמויות גדולות של נתונים.

מה זה ReFS עבור Windows: תכונות, מגבלות ושימושים

דרך EFSDump ניתן לעשות זאת במהירות ובכמות גדולה ישירות מהקונסול, לסנן לפי שמות, סיומות, או אפילו להחיל תווים כלליים לנתיבים. זהו למעשה פתרון מדויק וישיר לכל משימת סקירה או ביקורת של גישה לקבצים מוצפנים בסביבות ארגוניות או אישיות.

הורדה מהפורטל הרשמי של מיקרוסופט סייסנטרלסזה בחינם וההורדה היא פחות מ-200 KB.

הקשר: EFS ב-Windows ובעיותיו

מ Windows 2000 הוצג מערכת קבצים מצפינה (EFS) ב-NTFS, מה שמאפשר למשתמשים להגן על מידע רגיש מפני עיניים סקרניות. הפעולה הפנימית של EFS היא די קפדנית: כל קובץ מוצפן משלב בכותרת שלו את מה שאנו יכולים לכנות "שדות סודיים" (DDF ו-DRF), שם ה- מפתחות הצפנת קבצים (FEK) מוגן על ידי קריפטוגרפיה של מפתח ציבורי על ידי כל משתמש מורשה, ו- מחנות גמילה הקשורים לסוכני שחזור שהוקצו על פי מדיניות החברה.

זה אומר ייתכן שיש יותר ממשתמש אחד ויותר מסוכן אחד עם גישה אפקטיבית לכל קובץ מוצפןלא מספיק שקובץ יהיה "ירוק" או שאתה הבעלים: מנהל מערכת עלול להעניק גישה למשתמשים או שירותים אחרים מבלי דעת בטעות או ברשלנות. כאן EFSDump הופך לבעל ברית אידיאלי בכך שהוא מאפשר לך לרשום... במהירות את כל ההיתרים התקפים קשור לכל קובץ מוצפן.

איזה מידע מספק EFSDump?

כשאתה רץ EFSDump על קובץ או קבוצה שלהם, אתה מקבל רשימה ברורה של כל המשתמשים, חשבונות השירות וסוכני השחזור המשויכים להצפנת קובץ זהבאופן פנימי, כלי השירות מחלץ נתונים באמצעות ממשק ה-API הספציפי שאילתתמשתמשיםעלקובץמוצפן, שזה מה שבאמת "קורא בין השורות" של המטא-דאטה של כותרת ה-NTFS כדי לגלות מי יכול לפענח את התוכן.

לכן, הכלי מציג בפניכם מידע כגון:

משתמשים עם גישה ישירה לקובץ המוצפן (אלה שהצפינו אותו במקור או אלו שקיבלו גישה נוספת)
סוכני שחזור מוגדרים מראש (מוגדר במדיניות אבטחה מקומית או על ידי מנהל המערכת)
זהות כל חשבון (שם, ובמידת הצורך, מזהה אבטחה או SID)

כיצד להשתמש ב-Magnet ב-Mac כחלופה ל-Snap ב-Windows

זה מאפשר גם למנהלי מערכת וגם למשתמשים מתקדמים לזהות תצורות שגויות, גישה לא רצויה או פגיעויות פוטנציאליות לפני שיהיה מאוחר מדי.

תכונות עיקריות של EFSDump

קל משקל ונייד: אין צורך בהתקנה, פשוט להוריד ולהפעיל ישירות מהקונסול.
תואם לגרסאות מודרניות של Windows: ניתן להשתמש בו החל מ-Windows Vista ו-Server 2008 ואילך.
מאפשר לך לסרוק ספריות שלמות באופן רקורסיבי: הודות לפרמטר -s שלו, ניתן לבצע ביקורת על מבני תיקיות ותיקיות שלמות מבלי לחזור על פקודות.
תמיכה בתו כללי: מאפשר בחירת קבצים לפי סיומת בקלות (למשל, כל קבצי ה-.docx המוצפנים בתיקייה).
פלט נקי וקל לפירוש: מציג חשבונות, מזהי SID וסוכני שחזור בצורה מסודרת למטרות ביקורת או דיווח.
מצב שקט: הפרמטר -q מדכא הודעות שגיאה או אזהרות, שימושי לשילוב EFSDump בסקריפטים אוטומטיים.

תחביר ופרמטרים של EFSDump

השימוש ב-EFSDump הוא די פשוט, אך כמו כל כלי קונסולה, חשוב לשלוט בתחביר שלו כדי להפיק ממנו את המרב.

פורמט כללי של הפקודה:

efsdump   <archivo o directorio>

-s: מורה ל-EFSDump לעבד את כל הקבצים בתת-הספריות באופן רקורסיבי.
-qמדכא הדפסה עקב שגיאות (מצב שקט), אידיאלי עבור סקריפטים גדולים או כאשר איננו רוצים שהקונסול יתמלא בהודעות חוזרות.
: ניתן לציין שם של קובץ או תיקייה ספציפיים (כדי לבדוק את כל הקבצים שבתוכם), או תבנית באמצעות תווים כלליים (wildcards).

דוגמאות מעשיות:

כדי לרשום את המשתמשים שיכולים לגשת לכל קבצי ה-.docx המוצפנים בתיקיית המסמכים שלך:
```
efsdump C:\Users\MiUsuario\Documents\*.docx
```
כדי לבצע ביקורת על תיקייה שלמה ותת-התיקיות שלה:
```
efsdump -s C:\DataCifrada
```
כדי להריץ את הפקודה ללא הודעות שגיאה, אידיאלי לסקריפטים:
```
efsdump -q -s C:\CarpetaSegura
```

פעולה פנימית ומבני NTFS

EFSDump עובד ישירות על קבצים המאוחסנים במחיצות NTFS, תוך ניצול השדות הפנימיים בכותרת של כל קובץ מוצפן.

ב-NTFS, כל קובץ המוגן על ידי EFS משלב שני מבנים עיקריים:

DDF (שדות פענוח נתונים): הם מאחסנים מפתחות הצפנת קבצים, מוצפנים עם המפתח הציבורי של כל משתמש מורשה. הנה הרשימה בפועל של האנשים שיכולים לגשת ישירות לתוכן, מבלי שיהיה ברשותם מפתח המערכת.
DRF (שדות שחזור נתונים): הם כוללים מפתחות FEK מוצפנים, אך הפעם עם המפתח הציבורי של סוכני השחזור, כלומר, חשבונות שנקבעו מראש על ידי המנהל למצבי חירום או שחזור נתונים.

הדרך לשלוח תמונות בטלפון אנדרואיד באמצעות תוכן טקסטואלי או דואר אלקטרוני

תאימות ודרישות של EFSDump

הכלי זה נוצר על ידי מארק רוסינוביץ', אחד ממפתחי Windows הידועים ביותר בעולם ומייסד Sysinternals. למרות שתוכנן במקור עבור Windows 2000, התוכנה נותרה תקפה לחלוטין בסביבות חדשות בהרבה:

לקוחות: עובד על Windows Vista ואילך, כולל גרסאות עדכניות כמו Windows 10 ו-11.
שרתים: זה תואם ל-Windows Server 2008 ומעלה.

זה לא דורש התקנה, לא משנה את הרישום ולא משאיר עקבות במערכת: פשוט פתחו את קובץ ההפעלה ופתחו חלון פקודה עם הרשאות קריאה עבור הקבצים שברצונכם לבדוק. כדי להבין כלי ניתוח אחרים, תוכלו גם לעיין... כיצד להשתמש ב-Windbg.

Artaculo relacionado:

כיצד להשתמש ב-WinDbg כדי לנתח קבצי dump ולפתור שגיאות BSOD

יצחק

כותב נלהב על עולם הבתים והטכנולוגיה בכלל. אני אוהב לחלוק את הידע שלי באמצעות כתיבה, וזה מה שאעשה בבלוג הזה, אראה לכם את כל הדברים הכי מעניינים על גאדג'טים, תוכנה, חומרה, טרנדים טכנולוגיים ועוד. המטרה שלי היא לעזור לך לנווט בעולם הדיגיטלי בצורה פשוטה ומשעשעת.