- EFSDump membolehkan anda mengaudit akses kepada fail yang disulitkan EFS dengan mudah daripada baris arahan. arahan.
- Ia adalah alat yang ringan dan mudah yang serasi dengan versi moden Windows, sesuai untuk profesional yang menguruskan keselamatan dalam persekitaran NTFS.
- Ia menyepadukan pilihan berkuasa untuk menyemak kebenaran pengguna dan ejen pemulihan yang dipautkan ke fail yang dilindungi.
Dalam artikel ini, saya akan menerangkan secara terperinci apa itu EFSDump, kegunaannya, cara ia berfungsi secara dalaman dan bila ia boleh menyelamatkan nyawa anda dalam pentadbiran sistem. Sama ada anda seorang profesional IT, berdedikasi untuk keselamatan, atau hanya pengguna lanjutan yang ingin memahami setiap butiran kawalan akses EFS, berikut ialah panduan paling komprehensif dan praktikal dalam bahasa Sepanyol, menyepadukan semua maklumat yang berkaitan daripada sumber teknikal dan memberikan nasihat yang jelas dan berstruktur. Bersedia untuk menguasai alat ini dan mengambil kawalan sebenar perlindungan data anda dalam Windows.
Apakah EFSDump dan untuk apa ia digunakan?
EFSDump ialah utiliti baris arahan kecil yang dibangunkan oleh Sysinternals, kini sebahagian daripada Microsoft, yang dilahirkan dengan objektif yang sangat mudah: untuk segera dan secara automatik memaparkan senarai akaun (pengguna dan ejen pemulihan) yang boleh mengakses fail yang disulitkan EFS pada volum NTFS. Sebelum ketibaan EFSDump, jika anda ingin mengaudit kebenaran EFS pada berbilang fail atau direktori, anda perlu menavigasi melalui Windows Explorer dan menavigasi melalui tab sifat lanjutan setiap fail satu demi satu—proses manual, membosankan dan sangat ralat apabila berurusan dengan volum data yang besar.
Melalui EFSDump Anda boleh melakukan ini dengan cepat dan pukal terus dari konsol, menapis mengikut nama, sambungan atau menggunakan aksara kad bebas pada laluan. Ia pada asasnya merupakan penyelesaian yang tepat dan mudah untuk sebarang semakan akses fail yang disulitkan atau tugas pengauditan dalam persekitaran korporat atau peribadi.
- Muat turun daripada portal rasmi Microsoft SysinternalsIa percuma dan muat turun kurang daripada 200 KB.
Konteks: EFS dalam Windows dan masalahnya
daripada Windows 2000 telah diperkenalkan Menyulitkan Sistem Fail (EFS) dalam NTFS, membolehkan pengguna melindungi maklumat sensitif daripada mengintip. Kerja dalaman EFS agak teliti: setiap fail yang disulitkan menyepadukan dalam pengepalanya apa yang boleh kita panggil "medan rahsia" (DDF dan DRF), di mana kunci penyulitan fail (FEK) dilindungi oleh kriptografi kunci awam oleh setiap pengguna yang dibenarkan, dan kem pemulihan dikaitkan dengan ejen pemulihan yang ditetapkan oleh polisi syarikat.
Ini bermakna itu Mungkin terdapat lebih daripada satu pengguna dan lebih daripada satu ejen dengan akses berkesan kepada setiap fail yang disulitkan. Ia tidak mencukupi untuk fail menjadi "hijau" atau untuk anda menjadi pemilik: pentadbir mungkin secara tidak sedar memberikan akses kepada pengguna atau perkhidmatan lain melalui kesilapan atau kecuaian. Di sinilah EFSDump menjadi sekutu yang ideal dengan membenarkan anda menyenaraikan cepat semua permit berkesan dikaitkan dengan setiap fail yang disulitkan.
Apakah maklumat yang diberikan oleh EFSDump?
Semasa anda berlari EFSDump pada fail atau satu set daripadanya, anda mendapat a senarai jelas semua pengguna, akaun perkhidmatan dan ejen pemulihan yang dikaitkan dengan penyulitan fail tersebutSecara dalaman, utiliti mengekstrak data menggunakan API khusus QueryUsersOnEncryptedFile, yang sebenarnya "membaca antara baris" metadata pengepala NTFS untuk mengetahui siapa yang boleh menyahsulit kandungan.
Oleh itu, alat ini memberikan anda maklumat seperti:
- Pengguna dengan akses terus ke fail yang disulitkan (mereka yang pada asalnya menyulitkannya atau mereka yang telah diberikan akses tambahan)
- Ejen pemulihan yang telah ditetapkan (dikonfigurasikan dalam dasar keselamatan tempatan atau oleh pentadbir sistem)
- Identiti setiap akaun (nama dan, jika berkaitan, pengecam keselamatan atau SID)
Ini membolehkan kedua-dua pentadbir sistem dan pengguna lanjutan mengesan salah konfigurasi, akses yang tidak diingini atau potensi kelemahan sebelum terlambat.
Ciri utama EFSDump
- Ringan dan mudah alih: Tiada pemasangan diperlukan, cuma muat turun dan jalankan terus dari konsol.
- Serasi dengan versi moden Windows: Ia boleh digunakan dari Windows Vista dan Server 2008 dan seterusnya.
- Membolehkan anda mengimbas keseluruhan direktori secara rekursif: Terima kasih kepada parameter -snya, anda boleh mengaudit keseluruhan folder dan struktur subfolder tanpa mengulangi arahan.
- Sokongan kad bebas: Memudahkan untuk memilih fail mengikut sambungan (cth. semua fail .docx yang disulitkan dalam folder).
- Keluaran yang bersih dan mudah ditafsir: Memaparkan akaun, SID dan ejen pemulihan dengan teratur untuk tujuan audit atau pelaporan.
- Mod senyap: Parameter -q menindas mesej ralat atau amaran, berguna untuk menyepadukan EFSDump ke dalam skrip automatik.
Sintaks dan Parameter EFSDump
Menggunakan EFSDump agak mudah, tetapi seperti mana-mana alat konsol, adalah penting untuk menguasai sintaksnya untuk memanfaatkannya sepenuhnya.
Format umum arahan:
efsdump <archivo o directorio>- -s: Memberitahu EFSDump untuk memproses semua fail dalam subdirektori secara rekursif.
- -q: Mencegah pencetakan ralat (mod senyap), sesuai untuk skrip besar-besaran atau apabila kita tidak mahu konsol diisi dengan mesej berulang.
- : Anda boleh menentukan sama ada nama fail atau folder tertentu (untuk mengaudit semua fail di dalamnya), atau corak dengan kad bebas.
Contoh praktikal:
- Untuk menyenaraikan pengguna yang boleh mengakses semua fail .docx yang disulitkan dalam folder dokumen anda:
efsdump C:\Users\MiUsuario\Documents\*.docx - Untuk mengaudit keseluruhan folder dan subfoldernya:
efsdump -s C:\DataCifrada - Untuk menjalankan arahan tanpa mesej ralat, sesuai untuk skrip:
efsdump -q -s C:\CarpetaSegura
Operasi dalaman dan struktur NTFS
EFSDump berfungsi secara langsung pada fail yang disimpan pada partition NTFS, mengambil kesempatan daripada medan dalaman dalam pengepala setiap fail yang disulitkan.
Dalam NTFS, setiap fail yang dilindungi EFS menggabungkan dua struktur utama:
- DDF (Medan Penyahsulitan Data): Mereka menyimpan kunci penyulitan fail, disulitkan dengan kunci awam setiap pengguna yang dibenarkan. Berikut ialah senarai sebenar orang yang boleh mengakses kandungan secara terus, tanpa mempunyai kunci sistem.
- DRF (Medan Pemulihan Data): Ia termasuk kunci FEK yang disulitkan, tetapi kali ini dengan kunci awam ejen pemulihan, iaitu, akaun yang telah ditetapkan oleh pentadbir untuk situasi kecemasan atau pemulihan data.
Keserasian dan Keperluan EFSDump
Alat ini Ia dicipta oleh Mark Russinovich, salah satu pembangun Windows yang paling terkenal di dunia dan pengasas Sysinternals. Walaupun pada asalnya direka untuk Windows 2000, utiliti itu kekal dengan sempurna dalam persekitaran yang lebih baharu:
- Pelanggan: Berfungsi pada Windows Vista dan kemudian, termasuk versi semasa seperti Windows 10 dan 11.
- Pelayan: Ia serasi dengan Windows Server 2008 dan lebih tinggi.
Ia tidak memerlukan pemasangan, tidak mengubah suai pendaftaran dan tidak meninggalkan sebarang kesan pada sistem: cuma nyahzip yang boleh laku dan buka tetingkap arahan dengan kebenaran baca untuk fail yang ingin anda audit. Untuk memahami alat analisis lain, anda juga boleh menyemak Cara menggunakan Windbg.
Penulis yang bersemangat tentang dunia bait dan teknologi secara umum. Saya suka berkongsi pengetahuan saya melalui penulisan, dan itulah yang akan saya lakukan dalam blog ini, menunjukkan kepada anda semua perkara yang paling menarik tentang alat, perisian, perkakasan, trend teknologi dan banyak lagi. Matlamat saya adalah untuk membantu anda mengemudi dunia digital dengan cara yang mudah dan menghiburkan.