EFSDump: Kas tas ir, kam tas paredzēts un kā padziļināti izmantot šo Sysinternals rīku.

Vai uztraucaties par to, kas faktiski var piekļūt jūsu šifrētajiem failiem sistēmā Windows? Ja kādreiz esat pārvaldījis NTFS bāzes sistēmas vai domājis, kā nodrošināt, lai jūsu sensitīvie dati netiktu pakļauti neatļautiem lietotājiem, iespējams, esat dzirdējuši par failu šifrēšanas sistēmu (EFS) — vienu no jaudīgākajām, bet vismazāk caurspīdīgajām Windows funkcijām. Tomēr noskaidrot, kuriem lietotājiem ir tiesības lasīt šifrētus failus, var būt īstas galvassāpes, ja jums ir pieejami tikai parastie grafiskie rīki. Šeit tas noder. EFSDump, Sysinternals komplektam raksturīga utilīta, kas vienkāršo aizsargātu failu atļauju auditēšanu.

Šajā rakstā es detalizēti paskaidrošu, kas ir EFSDump, kam tas tiek izmantots, kā tas darbojas iekšēji un kad tas var glābt jūsu dzīvi sistēmas administrēšanā. Neatkarīgi no tā, vai esat IT speciālists, kas specializējas drošības jautājumos, vai vienkārši pieredzējis lietotājs, kas vēlas izprast katru EFS piekļuves kontroles detaļu, šeit ir visaptverošākais un praktiskākais ceļvedis spāņu valodā, kurā ir integrēta visa būtiskā informācija no tehniskajiem avotiem un sniegti skaidri, strukturēti padomi. Gatavojieties apgūt šo rīku un pārņemt patiesu kontroli pār savu datu aizsardzību operētājsistēmā Windows.

Kas ir EFSDump un kam to lieto?

EFSDump ir neliela komandrindas utilīta, ko izstrādājusi Sysinternals, tagad daļa no Microsoft, un kuras mērķis ir nekavējoties un automātiski parādīt to kontu (lietotāju un atkopšanas aģentu) sarakstu, kuri var piekļūt EFS šifrētiem failiem NTFS sējumos. Pirms EFSDump parādīšanās, ja vēlējāties auditēt EFS atļaujas vairākiem failiem vai direktorijiem, jums bija jāpārvietojas caur Windows Explorer un jāpārvietojas pa vienai katra faila papildu īpašību cilnei — manuāls, nogurdinošs un ārkārtīgi kļūdu pakļauts process, strādājot ar lieliem datu apjomiem.

Caur EFSDump To var izdarīt ātri un vairumā tieši no konsoles, filtrējot pēc nosaukumiem, paplašinājumiem vai pat lietojot aizstājējzīmes ceļiem. Tas būtībā ir precīzs un vienkāršs risinājums jebkuram šifrētu failu piekļuves pārskatīšanas vai auditēšanas uzdevumam korporatīvā vai personīgā vidē.

Lejupielādēt no oficiālā portāla Microsoft SysinternalsTas ir bez maksas, un lejupielādes apjoms ir mazāks par 200 KB.

Konteksts: EFS operētājsistēmā Windows un tā problēmas

no Windows 2000 tika ieviests Šifrēšanas failu sistēma (EFS) NTFS formātā, ļaujot lietotājiem aizsargāt sensitīvu informāciju no ziņkārīgām acīm. EFS iekšējā darbība ir diezgan rūpīga: katrs šifrētais fails savā galvenē integrē to, ko mēs varētu saukt par "slepenajiem laukiem" (DDF un DRF), kur failu šifrēšanas atslēgas (FEK) aizsargāts ar publiskās atslēgas šifrēšanu, ko veic katrs pilnvarots lietotājs, un atveseļošanās nometnes saistīti ar uzņēmuma politikās noteiktajiem atgūšanas aģentiem.

Tas nozīmē, ka Katram šifrētajam failam var būt vairāk nekā viens lietotājs un vairāk nekā viens aģents ar efektīvu piekļuviNepietiek tikai ar to, ka fails ir “zaļš” vai ka jūs esat tā īpašnieks: administrators var neapzināti piešķirt piekļuvi citiem lietotājiem vai pakalpojumiem kļūdas vai neuzmanības dēļ. Šeit EFSDump kļūst par ideālu sabiedroto, ļaujot jums uzskaitīt ātri visas spēkā esošās atļaujas saistīts ar katru šifrēto failu.

Kādu informāciju sniedz EFSDump?

Kad tu skrien EFSDump uz faila vai to kopas jūs saņemat skaidrs visu lietotāju, pakalpojumu kontu un atkopšanas aģentu saraksts, kas saistīti ar šī faila šifrēšanuIekšēji utilīta iegūst datus, izmantojot specifisko API. Vaicājuma lietotāji šifrētā failā, kas faktiski “lasa starp rindām” NTFS galvenes metadatos, lai noskaidrotu, kas var atšifrēt saturu.

Tāpēc rīks sniedz jums tādu informāciju kā:

• Lietotāji ar tiešu piekļuvi šifrētajam failam (tie, kas to sākotnēji šifrēja, vai tie, kuriem ir piešķirta papildu piekļuve)
• Iepriekš definēti atkopšanas līdzekļi (konfigurēts lokālajā drošības politikā vai sistēmas administratora konfigurēts)
• Katra konta identitāte (nosaukums un, ja nepieciešams, drošības identifikators vai SID)

Tas ļauj gan sistēmas administratoriem, gan pieredzējušiem lietotājiem atklāt nepareizas konfigurācijas, nevēlamu piekļuvi vai potenciālas ievainojamības pirms nav par vēlu.

EFSDump galvenās iezīmes

• Viegls un pārnēsājams: Nav nepieciešama instalēšana, vienkārši lejupielādējiet un palaidiet tieši no konsoles.
• Savietojams ar modernām Windows versijām: To var izmantot, sākot ar Windows Vista un Server 2008.
• Ļauj rekursīvi skenēt veselus direktorijus: Pateicoties parametram -s, jūs varat auditēt visas mapes un apakšmapju struktūras, neatkārtojot komandas.
• Aizstājējzīmju atbalsts: Atvieglo failu atlasi pēc paplašinājuma (piemēram, visi šifrētie .docx faili mapē).
• Tīra un viegli interpretējama izvade: Sakārtoti attēlo kontus, SID un atkopšanas aģentus audita vai pārskatu veidošanas nolūkos.
• Klusuma režīms: Parametrs -q nomāc kļūdu ziņojumus vai brīdinājumus, kas ir noderīgi EFSDump integrēšanai automatizētos skriptos.

EFSDump sintakse un parametri

EFSDump lietošana ir diezgan vienkārša, taču, tāpat kā jebkura konsoles rīka gadījumā, ir svarīgi apgūt tā sintaksi, lai no tā gūtu maksimālu labumu.

Komandas vispārīgais formāts:

efsdump   <archivo o directorio>

• -s: Norāda EFSDump rekursīvi apstrādāt visus failus apakšdirektorijos.
• -q: Novērš kļūdu drukāšanu (klusuma režīms), kas ir ideāli piemērots lieliem skriptiem vai gadījumiem, kad nevēlamies, lai konsole būtu piepildīta ar atkārtotiem ziņojumiem.
• : Varat norādīt konkrēta faila vai mapes nosaukumu (lai auditētu visus tajā esošos failus) vai arī modeli ar aizstājējzīmēm.

Praktiski piemēri:

• Lai uzskaitītu lietotājus, kuri var piekļūt visiem šifrētajiem .docx failiem jūsu dokumentu mapē:

  efsdump C:\Users\MiUsuario\Documents\*.docx

• Lai auditētu visu mapi un tās apakšmapes:

  efsdump -s C:\DataCifrada

• Lai palaistu komandu bez kļūdu ziņojumiem, ideāli piemērots skriptēšanai:

  efsdump -q -s C:\CarpetaSegura

Iekšējā darbība un NTFS struktūras

EFSDump darbojas tieši ar failiem, kas tiek glabāti NTFS nodalījumos, izmantojot katra šifrētā faila galvenē esošos iekšējos laukus.

NTFS sistēmā katrs ar EFS aizsargāts fails ietver divas galvenās struktūras:

• DDF (datu atšifrēšanas lauki): Tie glabā failu šifrēšanas atslēgas, kas ir šifrētas ar katra pilnvarotā lietotāja publisko atslēgu. Šeit ir faktiskais to personu saraksts, kuras var tieši piekļūt saturam, bez sistēmas atslēgas.
• DRF (datu atkopšanas lauki): Tie ietver šifrētas FEK atslēgas, bet šoreiz ar atkopšanas aģentu publisko atslēgu, t. i., kontu, ko administrators iepriekš noteicis ārkārtas situācijām vai datu atkopšanai.

EFSDump saderība un prasības

Rīks To izveidoja Marks Rusinovičs., viens no pasaulē pazīstamākajiem Windows izstrādātājiem un Sysinternals dibinātājs. Lai gan sākotnēji tā bija paredzēta operētājsistēmai Windows 2000, šī utilīta joprojām ir pilnībā derīga arī daudz jaunākās vidēs:

• Klienti: Darbojas operētājsistēmā Windows Vista un jaunākās versijās, tostarp pašreizējās versijās, piemēram, Windows 10 un 11.
• Serveri: Tas ir saderīgs ar Windows Server 2008 un jaunākām versijām.

Tam nav nepieciešama instalēšana, tas nemaina reģistru un neatstāj nekādas pēdas sistēmā: vienkārši atzipējiet izpildāmo failu un atveriet komandu logu ar lasīšanas atļaujām failiem, kurus vēlaties auditēt. Lai izprastu citus analīzes rīkus, varat arī pārskatīt Kā lietot Windbg.

saistīto rakstu:

Kā izmantot WinDbg, lai analizētu izgāztuves failus un novērstu BSOD kļūdas

Isaac

Kaislīgs rakstnieks par baitu pasauli un tehnoloģiju kopumā. Man patīk dalīties savās zināšanās rakstot, un tieši to es darīšu šajā emuārā, parādot visu interesantāko informāciju par sīkrīkiem, programmatūru, aparatūru, tehnoloģiju tendencēm un daudz ko citu. Mans mērķis ir palīdzēt jums vienkāršā un izklaidējošā veidā orientēties digitālajā pasaulē.