- „EFSDump“ leidžia lengvai audituoti prieigą prie EFS užšifruotų failų iš komandinės eilutės. komandos.
- Tai lengvas, paprastas įrankis, suderinamas su šiuolaikinėmis versijomis Windows, idealiai tinka specialistams, kurie valdo saugumą aplinkoje NTFS.
- Jame integruotos galingos parinktys, skirtos peržiūrėti naudotojų teises ir atkūrimo agentus, susietus su apsaugotais failais.
Šiame straipsnyje išsamiai paaiškinsiu, kas yra „EFSDump“, kam jis naudojamas, kaip jis veikia viduje ir kada gali išgelbėti jūsų gyvenimą sistemos administravime. Nesvarbu, ar esate IT specialistas, atsidavęs saugumui, ar tiesiog patyręs vartotojas, norintis suprasti kiekvieną EFS prieigos kontrolės detalę, čia rasite išsamiausią ir praktiškiausią vadovą ispanų kalba, kuriame integruota visa aktuali informacija iš techninių šaltinių ir pateikiami aiškūs, struktūrizuoti patarimai. Pasiruoškite įvaldyti šį įrankį ir iš tikrųjų kontroliuoti savo duomenų apsaugą sistemoje „Windows“.
Kas yra EFSDump ir kam jis naudojamas?
„EFSDump“ yra nedidelė komandinės eilutės programa, kurią sukūrė „Sysinternals“, dabar priklausanti „Microsoft“, ir kurios tikslas buvo labai paprastas: nedelsiant ir automatiškai parodyti paskyrų (vartotojų ir atkūrimo agentų), kurios gali pasiekti EFS užšifruotus failus NTFS tomuose, sąrašą. Prieš pasirodant „EFSDump“, norint patikrinti EFS teises keliuose failuose ar kataloguose, reikėjo naršyti „Windows Explorer“ ir po vieną peržiūrėti kiekvieno failo išplėstinių ypatybių skirtuką – tai rankinis, varginantis ir itin klaidų kupinas procesas, kai dirbama su dideliais duomenų kiekiais.
Gracias EFSDump Tai galite padaryti greitai ir dideliais kiekiais tiesiai iš konsolės, filtruodami pagal pavadinimus, plėtinius ar net taikydami pakaitos simbolius keliams. Tai iš esmės tikslus ir paprastas sprendimas bet kokiai užšifruotų failų prieigos peržiūros ar audito užduočiai įmonės ar asmeninėje aplinkoje.
- Atsisiųsti iš oficialaus portalo „Microsoft Sysinternals“Tai nemokama, o atsisiuntimo dydis yra mažesnis nei 200 KB.
Kontekstas: EFS sistemoje „Windows“ ir jos problemos
nuo langai 2000 buvo pristatytas Šifruojamų failų sistema (EFS) NTFS sistemoje, leidžianti vartotojams apsaugoti slaptą informaciją nuo smalsių akių. EFS vidinis veikimas yra gana kruopštus: kiekvienas užšifruotas failas savo antraštėje integruoja tai, ką galėtume pavadinti „slaptais laukais“ (DDF ir DRF), kur failų šifravimo raktai (FEK) apsaugotas viešojo rakto kriptografija kiekvieno įgalioto vartotojo ir atsigavimo stovyklos susiję su įmonės politikoje nurodytais išieškojimo agentais.
Tai reiškia, kad Prie kiekvieno užšifruoto failo gali turėti daugiau nei vienas vartotojas ir daugiau nei vienas agentasNepakanka, kad failas būtų „žalias“ arba kad jūs būtumėte jo savininkas: administratorius gali netyčia suteikti prieigą kitiems vartotojams ar paslaugoms per klaidą ar neatsargumą. Būtent čia „EFSDump“ tampa idealiu sąjungininku, nes leidžia jums išvardyti greitai visus galiojančius leidimus susietas su kiekvienu užšifruotu failu.
Kokią informaciją teikia EFSDump?
Kai bėgsi EFSDump faile arba jų rinkinyje gaunate aiškus visų su to failo šifravimu susijusių vartotojų, paslaugų paskyrų ir atkūrimo agentų sąrašasViduje programa išgauna duomenis naudodama konkrečią API Užklausos vartotojai užšifruotame faile, kuris iš tikrųjų „skaito tarp eilučių“ NTFS antraštės metaduomenyse, kad išsiaiškintų, kas gali iššifruoti turinį.
Todėl įrankis pateikia jums tokią informaciją kaip:
- Vartotojai, turintys tiesioginę prieigą prie užšifruoto failo (tie, kurie iš pradžių jį užšifravo, arba tie, kuriems buvo suteikta papildoma prieiga)
- Iš anksto nustatyti atkūrimo agentai (konfigūruota vietinėje saugos politikoje arba sistemos administratoriaus)
- Kiekvienos paskyros tapatybė (pavadinimas ir, jei taikoma, apsaugos identifikatorius arba SID)
Tai leidžia tiek sistemos administratoriams, tiek patyrusiems vartotojams aptikti netinkamas konfigūracijas, nepageidaujamą prieigą ar galimus pažeidžiamumus kol dar ne vėlu.
Pagrindinės EFSDump savybės
- Lengvas ir nešiojamas: Nereikia diegti, tiesiog atsisiųskite ir paleiskite tiesiai iš konsolės.
- Suderinamas su šiuolaikinėmis „Windows“ versijomis: Jį galima naudoti nuo „Windows Vista“ ir „Server 2008“ naujesnių versijų.
- Leidžia rekursyviai nuskaityti ištisus katalogus: Dėl parametro „-s“ galite tikrinti visą aplankų ir poaplankių struktūrą nekartodami komandų.
- Pakaitos simbolių palaikymas: Leidžia lengvai pasirinkti failus pagal plėtinį (pvz., visus užšifruotus .docx failus aplanke).
- Švari ir lengvai interpretuojama išvestis: Tvarkingai rodo paskyras, SID ir atkūrimo agentus audito ar ataskaitų teikimo tikslais.
- Tylos režimas: Parametras -q slopina klaidų pranešimus arba įspėjimus, tai naudinga integruojant EFSDump į automatizuotus scenarijus.
EFSDump sintaksė ir parametrai
Naudoti „EFSDump“ yra gana paprasta, tačiau, kaip ir bet kurį konsolės įrankį, svarbu įvaldyti jo sintaksę, kad galėtumėte išnaudoti visas jo galimybes.
Bendras komandos formatas:
efsdump <archivo o directorio>- -s: Nurodo EFSDump apdoroti visus failus pakatalogiuose rekursyviai.
- -q: Blokuoja klaidų spausdinimą (tylusis režimas), idealiai tinka dideliems scenarijams arba kai nenorime, kad konsolė būtų užpildyta pasikartojančiais pranešimais.
- : Galite nurodyti konkretaus failo arba aplanko pavadinimą (kad būtų audituojami visi jame esantys failai) arba šabloną su pakaitos simboliais.
Praktiniai pavyzdžiai:
- Norėdami išvardyti naudotojus, kurie gali pasiekti visus užšifruotus .docx failus jūsų dokumentų aplanke:
efsdump C:\Users\MiUsuario\Documents\*.docx - Norėdami patikrinti visą aplanką ir jo poaplankius:
efsdump -s C:\DataCifrada - Norėdami paleisti komandą be klaidų pranešimų, idealiai tinka scenarijams:
efsdump -q -s C:\CarpetaSegura
Vidinis veikimas ir NTFS struktūros
„EFSDump“ veikia tiesiogiai su failais, saugomais NTFS skaidiniuose, pasinaudodamas kiekvieno užšifruoto failo antraštėje esančiais vidiniais laukais.
NTFS sistemoje kiekvienas EFS apsaugotas failas turi dvi pagrindines struktūras:
- DDF (duomenų iššifravimo laukai): Jie saugo failų šifravimo raktus, užšifruotus kiekvieno įgalioto vartotojo viešuoju raktu. Čia pateikiamas tikrasis sąrašas žmonių, kurie gali tiesiogiai pasiekti turinį neturėdami sistemos rakto.
- DRF (duomenų atkūrimo laukai): Jie apima užšifruotus FEK raktus, tačiau šį kartą su atkūrimo agentų viešuoju raktu, t. y. administratoriaus iš anksto nustatytų paskyrų, skirtų avarinėms situacijoms arba duomenų atkūrimui.
EFSDump suderinamumas ir reikalavimai
Priemonė Jį sukūrė Markas Russinovičius., vienas žinomiausių „Windows“ kūrėjų pasaulyje ir „Sysinternals“ įkūrėjas. Nors iš pradžių buvo sukurtas „Windows 2000“, šis įrankis puikiai tinka ir daug naujesnėms aplinkoms:
- Klientai: Veikia su „Windows Vista“ ir naujesnėmis versijomis, įskaitant dabartines versijas, tokias kaip „Windows 10“ ir „11“.
- Serveriai: Tai suderinama su „Windows Server 2008“ ir naujesnėmis versijomis.
Jam nereikia diegti, jis nekeičia registro ir nepalieka jokių pėdsakų sistemoje: tiesiog išskleiskite vykdomąjį failą ir atidarykite komandų langą su skaitymo teisėmis failams, kuriuos norite tikrinti. Norėdami suprasti kitus analizės įrankius, taip pat galite peržiūrėti Kaip naudotis „Windbg“.
Aistringas rašytojas apie baitų pasaulį ir technologijas apskritai. Man patinka dalytis savo žiniomis rašydamas, būtent tai ir darysiu šiame tinklaraštyje, parodysiu jums įdomiausius dalykus apie programėles, programinę įrangą, techninę įrangą, technologijų tendencijas ir kt. Mano tikslas – padėti jums paprastai ir smagiai naršyti skaitmeniniame pasaulyje.