この記事では、EFSDump とは何か、何のために使用されるのか、内部でどのように動作するのか、そしてシステム管理においてどのような場合に役に立つのかを詳しく説明します。 ITプロフェッショナル、セキュリティに詳しい方、あるいはEFSアクセス制御の詳細を理解したい上級ユーザーなど、どなたでもご活用いただける、スペイン語で書かれた最も包括的かつ実用的なガイドです。技術的な情報源から得た関連情報をすべて統合し、明確で体系的なアドバイスを提供しています。このツールをマスターして、Windowsでのデータ保護を真にコントロールしましょう。
EFSDump とは何ですか? また、何に使用されますか?
EFSDump は、現在 Microsoft の一部である Sysinternals によって開発された小さなコマンドライン ユーティリティで、NTFS ボリューム上の EFS 暗号化ファイルにアクセスできるアカウント (ユーザーと回復エージェント) のリストを即座に自動的に表示するという非常にシンプルな目的で誕生しました。 EFSDump が登場する前は、複数のファイルまたはディレクトリの EFS アクセス許可を監査する場合、Windows エクスプローラーを使用して各ファイルの詳細プロパティ タブを 1 つずつ移動する必要がありました。これは、大量のデータを扱う場合には手動で面倒で、エラーが極めて発生しやすいプロセスでした。
スルー EFSDump コンソールから直接、迅速かつ一括で実行できます。名前や拡張子でフィルタリングしたり、パスにワイルドカード文字を適用したりすることも可能です。企業や個人環境における暗号化ファイルへのアクセス確認や監査タスクにおいて、正確かつ分かりやすいソリューションです。
- 公式ポータルからダウンロード Microsoft システム内部無料であり、ダウンロードサイズは 200 KB 未満です。
背景: Windows の EFS とその問題点
から Windows 2000 導入された 暗号化ファイルシステム(EFS) NTFSでは、ユーザーは機密情報を覗き見から守ることができます。EFSの内部構造は非常に緻密です。暗号化された各ファイルのヘッダーには、いわゆる「秘密フィールド」(DDFとDRF)が組み込まれており、 ファイル暗号化キー(FEK) 各承認ユーザーによって公開鍵暗号によって保護され、 回復キャンプ 会社のポリシーによって指定された回復エージェントに関連付けられます。
ということは 各暗号化ファイルへの有効なアクセス権を持つユーザーとエージェントが複数存在する場合があります。ファイルが「グリーン」であることや、あなたが所有者であるだけでは十分ではありません。管理者は、誤って、あるいは不注意によって、知らないうちに他のユーザーやサービスにアクセスを許可してしまう可能性があります。EFSDumpは、このような場合に理想的なツールとなり、リスト化を可能にします。 有効な許可証を迅速に 暗号化された各ファイルに関連付けられます。
EFSDump はどのような情報を提供しますか?
あなたが走るとき EFSDump ファイルまたはファイルセットに そのファイルの暗号化に関連付けられたすべてのユーザー、サービス アカウント、回復エージェントの明確なリスト内部的には、ユーティリティは特定のAPIを使用してデータを抽出します。 暗号化されたファイルに対するクエリユーザーこれは、NTFS ヘッダー メタデータの行間を実際に読み取って、誰がコンテンツを復号化できるかを調べるものです。
したがって、このツールは次のような情報を表示します。
- 暗号化されたファイルに直接アクセスできるユーザー (元々暗号化した人、または追加のアクセス権を付与された人)
- 定義済みの回復エージェント (ローカル セキュリティ ポリシーまたはシステム管理者によって構成されます)
- 各アカウントのID (名前と、該当する場合はセキュリティ識別子または SID)
これにより、システム管理者と上級ユーザーの両方が 誤った設定、望ましくないアクセス、潜在的な脆弱性を検出する 手遅れになる前に。
EFSDumpの主な機能
- 軽量で持ち運びに便利: インストールは不要です。ダウンロードしてコンソールから直接実行するだけです。
- 最新バージョンの Windows と互換性があります: Windows Vista および Server 2008 以降で使用できます。
- ディレクトリ全体を再帰的にスキャンできます。 -s パラメータのおかげで、コマンドを繰り返さずにフォルダーとサブフォルダーの構造全体を監査できます。
- ワイルドカードのサポート: 拡張子別にファイルを簡単に選択できます (例: フォルダー内のすべての暗号化された .docx ファイル)。
- クリーンで簡単に解釈できる出力: 監査またはレポートの目的で、アカウント、SID、および回復エージェントを整然と表示します。
- サイレントモード: -q パラメータはエラー メッセージや警告を抑制します。これは、EFSDump を自動化スクリプトに統合するのに役立ちます。
EFSDump の構文とパラメータ
EFSDump の使用は非常に簡単ですが、他のコンソール ツールと同様に、最大限に活用するにはその構文を習得することが重要です。
コマンドの一般的な形式:
efsdump <archivo o directorio>- -s: サブディレクトリ内のすべてのファイルを再帰的に処理するように EFSDump に指示します。
- -q: エラー出力を抑制します (サイレント モード)。大規模なスクリプトや、コンソールに繰り返しメッセージを表示したくない場合に最適です。
- : 特定のファイルまたはフォルダーの名前(その中のすべてのファイルを監査する場合)を指定するか、ワイルドカードを含むパターンを指定できます。
実際の例:
- ドキュメント フォルダー内のすべての暗号化された .docx ファイルにアクセスできるユーザーを一覧表示するには:
efsdump C:\Users\MiUsuario\Documents\*.docx - フォルダー全体とそのサブフォルダーを監査するには:
efsdump -s C:\DataCifrada - エラー メッセージなしでコマンドを実行するには、スクリプトに最適です。
efsdump -q -s C:\CarpetaSegura
内部操作とNTFS構造
EFSDump は、暗号化された各ファイルのヘッダーにある内部フィールドを利用して、NTFS パーティションに保存されているファイルに対して直接動作します。
NTFS では、EFS で保護された各ファイルに次の 2 つの主要な構造が組み込まれています。
- DDF (データ復号化フィールド): それぞれの承認されたユーザーの公開鍵で暗号化されたファイル暗号化鍵が保存されます。システム鍵を持たずにコンテンツに直接アクセスできるユーザーのリストは以下の通りです。
- DRF(データ復旧分野): これらには暗号化された FEK キーが含まれますが、今回は回復エージェントの公開キー、つまり緊急事態やデータ回復のために管理者が事前に決定したアカウントが含まれます。
EFSDump の互換性と要件
ツール マーク・ルシノビッチによって制作された世界で最も有名なWindows開発者の一人であり、Sysinternalsの創設者でもある。このユーティリティは元々Windows 2000向けに設計されましたが、その後の環境でも問題なく動作します。
- 顧客: Windows Vista 以降、および Windows 10 や 11 などの現在のバージョンで動作します。
- サーバー: Windows Server 2008 以降と互換性があります。
インストールは不要で、レジストリを変更する必要もなく、システムに痕跡を残すこともありません。実行ファイルを解凍し、監査したいファイルの読み取り権限を持つコマンドウィンドウを開くだけです。他の分析ツールについて理解を深めるには、こちらもご覧ください。 Windbgの使い方.
バイトの世界とテクノロジー全般についての情熱的なライター。私は執筆を通じて自分の知識を共有するのが大好きです。このブログでは、ガジェット、ソフトウェア、ハードウェア、技術トレンドなどについて最も興味深いことをすべて紹介します。私の目標は、シンプルで楽しい方法でデジタル世界をナビゲートできるよう支援することです。