이 글에서는 EFSDump가 무엇인지, 어떤 용도로 사용되는지, 내부적으로 어떻게 작동하는지, 그리고 시스템 관리에서 생명을 구할 수 있는 경우에 대해 자세히 설명하겠습니다. IT 전문가, 보안 전문가, 또는 EFS 액세스 제어의 모든 세부 사항을 이해하고자 하는 고급 사용자 등 누구에게나 가장 포괄적이고 실용적인 스페인어 가이드가 있습니다. 기술 자료의 모든 관련 정보를 통합하고 명확하고 체계적인 조언을 제공합니다. 이 도구를 완벽하게 숙지하고 Windows에서 데이터 보호를 효과적으로 관리할 준비를 하세요.
EFSDump란 무엇이고, 어떤 용도로 사용되나요?
EFSDump는 현재 Microsoft의 일부가 된 Sysinternals에서 개발한 작은 명령줄 유틸리티로, 매우 간단한 목표를 가지고 탄생했습니다. NTFS 볼륨에서 EFS로 암호화된 파일에 액세스할 수 있는 계정(사용자 및 복구 에이전트) 목록을 즉시 자동으로 표시하는 것입니다. EFSDump가 나오기 전에는 여러 파일이나 디렉터리에 대한 EFS 권한을 감사하려면 Windows 탐색기를 탐색하고 각 파일의 고급 속성 탭을 하나하나 탐색해야 했습니다. 이는 많은 양의 데이터를 처리할 때 수동적이고 지루하며 오류가 발생하기 쉬운 프로세스였습니다.
를 통해 EFS덤프 콘솔에서 이름, 확장자 또는 경로에 와일드카드 문자를 적용하여 빠르고 대량으로 이 작업을 수행할 수 있습니다. 기업이나 개인 환경에서 암호화된 파일 접근 검토 또는 감사 작업을 위한 정확하고 간편한 솔루션입니다.
- 공식 포털에서 다운로드하세요 마이크로소프트 시스인터널스무료이며 다운로드 용량은 200KB 미만입니다.
컨텍스트: Windows의 EFS 및 문제점
부터 윈도우 2000 소개되었다 암호화 파일 시스템(EFS) NTFS에서는 사용자가 민감한 정보를 엿보는 눈으로부터 보호할 수 있습니다. EFS의 내부 작동 방식은 매우 정교합니다. 암호화된 각 파일은 헤더에 "비밀 필드"(DDF 및 DRF)라고 할 수 있는 것을 통합합니다. 파일 암호화 키(FEK) 각 권한이 있는 사용자에 의해 공개 키 암호화로 보호되며 회복 캠프 회사 정책에 따라 지정된 회수 담당자와 연관됨.
그 의미는 암호화된 각 파일에 대한 효과적인 액세스 권한이 있는 사용자와 에이전트가 두 명 이상 있을 수 있습니다.파일이 "녹색"이거나 사용자가 소유자인 것만으로는 충분하지 않습니다. 관리자가 실수나 부주의로 인해 자신도 모르게 다른 사용자나 서비스에 액세스 권한을 부여할 수 있습니다. 바로 이 경우 EFSDump가 목록 작성 기능을 제공하여 이상적인 동반자가 됩니다. 모든 유효한 허가를 신속하게 암호화된 각 파일과 연관됨.
EFSDump는 어떤 정보를 제공하나요?
당신이 달릴 때 EFS덤프 파일이나 그 집합에 대해 다음을 얻습니다. 해당 파일 암호화와 관련된 모든 사용자, 서비스 계정 및 복구 에이전트의 명확한 목록내부적으로 유틸리티는 특정 API를 사용하여 데이터를 추출합니다. 암호화된 파일에서 사용자 쿼리NTFS 헤더 메타데이터의 "숨겨진 의미를 읽어서" 콘텐츠를 해독할 수 있는 사람을 찾아내는 것이 바로 이것입니다.
따라서 이 도구는 다음과 같은 정보를 제공합니다.
- 암호화된 파일에 직접 액세스할 수 있는 사용자 (원래 암호화한 사람 또는 추가 액세스 권한이 부여된 사람)
- 미리 정의된 복구 에이전트 (로컬 보안 정책 또는 시스템 관리자에 의해 구성됨)
- 각 계정의 신원 (이름 및 해당되는 경우 보안 식별자 또는 SID)
이를 통해 시스템 관리자와 고급 사용자 모두가 잘못된 구성, 원치 않는 액세스 또는 잠재적 취약성을 감지합니다. 너무 늦기 전에.
EFSDump의 주요 기능
- 가볍고 휴대성이 좋음: 설치가 필요 없으며, 콘솔에서 직접 다운로드하여 실행하기만 하면 됩니다.
- 최신 Windows 버전과 호환: Windows Vista 및 Server 2008 이상에서 사용할 수 있습니다.
- 전체 디렉토리를 재귀적으로 검색할 수 있습니다. -s 매개변수 덕분에 명령을 반복하지 않고도 전체 폴더와 하위 폴더 구조를 감사할 수 있습니다.
- 와일드카드 지원: 확장자별로 파일을 쉽게 선택할 수 있습니다(예: 폴더 내 모든 암호화된 .docx 파일).
- 깔끔하고 쉽게 해석할 수 있는 출력: 감사 또는 보고 목적으로 계정, SID 및 복구 에이전트를 체계적으로 표시합니다.
- 무음 모드: -q 매개변수는 오류 메시지나 경고를 억제하며, EFSDump를 자동화된 스크립트에 통합하는 데 유용합니다.
EFSDump 구문 및 매개변수
EFSDump를 사용하는 것은 매우 간단하지만, 다른 콘솔 도구와 마찬가지로 최대한 활용하려면 구문을 숙지하는 것이 중요합니다.
명령의 일반 형식:
efsdump <archivo o directorio>- -s: EFSDump에 하위 디렉토리의 모든 파일을 재귀적으로 처리하라고 지시합니다.
- -q: 오류 인쇄(무음 모드)를 억제합니다. 대규모 스크립트에 적합하거나 콘솔에 반복되는 메시지가 채워지는 것을 원하지 않을 때 유용합니다.
- : 특정 파일이나 폴더의 이름을 지정하여 해당 파일이나 폴더 내의 모든 파일을 감사할 수도 있고, 와일드카드를 사용하여 패턴을 지정할 수도 있습니다.
실용적인 예:
- 문서 폴더에 있는 모든 암호화된 .docx 파일에 액세스할 수 있는 사용자를 나열하려면:
efsdump C:\Users\MiUsuario\Documents\*.docx - 전체 폴더와 하위 폴더를 감사하려면:
efsdump -s C:\DataCifrada - 오류 메시지 없이 명령을 실행하려면 스크립팅에 적합합니다.
efsdump -q -s C:\CarpetaSegura
내부 작업 및 NTFS 구조
EFSDump는 NTFS 파티션에 저장된 파일에서 직접 작동하며 암호화된 각 파일의 헤더에 있는 내부 필드를 활용합니다.
NTFS에서는 EFS로 보호된 각 파일에 두 가지 주요 구조가 통합되어 있습니다.
- DDF(데이터 복호화 필드): 각 권한이 있는 사용자의 공개 키로 암호화된 파일 암호화 키를 저장합니다. 시스템 키 없이도 콘텐츠에 직접 접근할 수 있는 사람들의 실제 목록은 다음과 같습니다.
- DRF(데이터 복구 필드): 여기에는 암호화된 FEK 키가 포함되어 있지만, 이번에는 비상 상황이나 데이터 복구를 위해 관리자가 미리 결정한 계정인 복구 에이전트의 공개 키가 포함되어 있습니다.
EFSDump 호환성 및 요구 사항
도구 Mark Russinovich가 만들었습니다., 세계에서 가장 유명한 Windows 개발자 중 한 명이자 Sysinternals의 창립자입니다. 원래 Windows 2000용으로 설계되었지만, 이 유틸리티는 훨씬 더 최신 환경에서도 완벽하게 작동합니다.
- 고객 : Windows Vista 이상, Windows 10 및 11 등 최신 버전에서 작동합니다.
- 서버 : Windows Server 2008 이상과 호환됩니다.
설치가 필요 없고, 레지스트리를 수정하지 않으며, 시스템에 흔적을 남기지 않습니다. 실행 파일의 압축을 풀고 감사할 파일에 대한 읽기 권한으로 명령 창을 열기만 하면 됩니다. 다른 분석 도구에 대한 자세한 내용은 다음 링크를 참조하세요. Windbg를 사용하는 방법.
바이트와 기술 전반에 관한 세계에 대한 열정적인 작가입니다. 나는 글쓰기를 통해 내 지식을 공유하는 것을 좋아하며 이것이 바로 이 블로그에서 할 일이며 가젯, 소프트웨어, 하드웨어, 기술 동향 등에 관한 가장 흥미로운 모든 것을 보여 드리겠습니다. 제 목표는 여러분이 간단하고 재미있는 방식으로 디지털 세계를 탐색할 수 있도록 돕는 것입니다.