EFSDump: wat het is en hoe u versleutelde bestanden in Windows kunt controleren

Mundobytes » Windows » EFSDump: wat het is, waar het voor dient en hoe u deze Sysinternals-tool uitgebreid kunt gebruiken.

Met EFSDump kunt u eenvoudig de toegang tot EFS-gecodeerde bestanden controleren vanaf de opdrachtregel. commando's.
Het is een lichtgewicht, eenvoudig hulpmiddel dat compatibel is met moderne versies van Windows, ideaal voor professionals die de beveiliging in omgevingen beheren NTFS.
Het integreert krachtige opties voor het beoordelen van gebruikersmachtigingen en herstelagenten die gekoppeld zijn aan beveiligde bestanden.

Maakt u zich zorgen over wie er daadwerkelijk toegang heeft tot uw versleutelde bestanden in Windows? Als je ooit NTFS-gebaseerde systemen hebt beheerd of je hebt afgevraagd hoe je ervoor kunt zorgen dat je gevoelige gegevens niet worden blootgesteld aan ongeautoriseerde gebruikers, heb je waarschijnlijk wel eens gehoord van het Encrypting File System (EFS), een van de krachtigste maar minst transparante functies van Windows. Het kan echter een behoorlijke uitdaging zijn om uit te zoeken welke gebruikers rechten hebben om versleutelde bestanden te lezen als je beperkt bent tot conventionele grafische tools. Hier komt het om de hoek kijken. EFSDump, een hulpprogramma dat specifiek is voor de Sysinternals-suite en dat het controleren van machtigingen voor beveiligde bestanden vereenvoudigt.

In dit artikel leg ik gedetailleerd uit wat EFSDump is, waar het voor wordt gebruikt, hoe het intern werkt en wanneer het uw leven kan redden in systeembeheer. Of u nu een IT-professional bent, gespecialiseerd in beveiliging, of gewoon een gevorderde gebruiker die elk detail van EFS-toegangscontrole wil begrijpen, hier is de meest uitgebreide en praktische gids in het Spaans. Deze gids integreert alle relevante informatie uit technische bronnen en biedt duidelijk, gestructureerd advies. Maak u klaar om deze tool onder de knie te krijgen en neem de controle over uw gegevensbescherming in Windows.

Wat is EFSDump en waarvoor wordt het gebruikt?

EFSDump is een klein opdrachtregelhulpprogramma dat is ontwikkeld door Sysinternals, nu onderdeel van Microsoft, en dat is ontstaan met een heel eenvoudig doel: direct en automatisch de lijst met accounts (gebruikers en herstelagenten) weergeven die toegang hebben tot EFS-gecodeerde bestanden op NTFS-volumes. Vóór de komst van EFSDump moest u, als u de EFS-machtigingen voor meerdere bestanden of mappen wilde controleren, via Windows Verkenner navigeren en één voor één door de tabbladen met geavanceerde eigenschappen van elk bestand navigeren. Dit was een handmatig, vervelend en uiterst foutgevoelig proces bij het werken met grote hoeveelheden gegevens.

Alle toepassingen van de modus voor hoog contrast in Windows 11

Gracias a EFSDump U kunt dit snel en in bulk rechtstreeks vanaf de console doen, door te filteren op naam, extensie of zelfs jokertekens toe te passen op paden. Het is in wezen een precieze en eenvoudige oplossing voor elke controle- of audittaak voor versleutelde bestandstoegang in zakelijke of persoonlijke omgevingen.

Downloaden van het officiële portaal van Microsoft SysinternalsHet is gratis en de download is minder dan 200 KB.

Context: EFS in Windows en de problemen die ermee gepaard gaan

Bij Windows 2000 werd geïntroduceerd Encrypting File System (EFS) in NTFS, waardoor gebruikers gevoelige informatie kunnen beschermen tegen nieuwsgierige blikken. De interne werking van EFS is vrij nauwkeurig: elk gecodeerd bestand integreert in zijn header wat we "geheime velden" zouden kunnen noemen (DDF en DRF), waar de bestandsencryptiesleutels (FEK) beschermd door openbare sleutelcryptografie door elke geautoriseerde gebruiker, en de herstelkampen die verband houden met de invorderingsagenten die zijn aangewezen in het bedrijfsbeleid.

Dat betekent dat Er kunnen meer dan één gebruiker en meer dan één agent zijn met effectieve toegang tot elk gecodeerd bestandHet is niet voldoende dat een bestand "groen" is of dat u de eigenaar bent: een beheerder kan onbewust toegang verlenen aan andere gebruikers of services, door een fout of onzorgvuldigheid. Dit is waar EFSDump de ideale bondgenoot wordt, omdat u hiermee een lijst kunt maken. snel alle effectieve vergunningen die aan elk gecodeerd bestand zijn gekoppeld.

Welke informatie verstrekt EFSDump?

Als je rent EFSDump op een bestand of een set daarvan, krijg je een duidelijke lijst van alle gebruikers, serviceaccounts en herstelagenten die zijn gekoppeld aan de encryptie van dat bestandIntern extraheert het hulpprogramma gegevens met behulp van de specifieke API QueryGebruikersOpVersleuteldBestand, wat feitelijk het 'tussen de regels door'-gedeelte van de NTFS-headermetadata leest om erachter te komen wie de inhoud kan ontsleutelen.

Daarom presenteert de tool u informatie zoals:

Gebruikers met directe toegang tot het gecodeerde bestand (degenen die het oorspronkelijk hebben gecodeerd of degenen die extra toegang hebben gekregen)
Vooraf gedefinieerde herstelagenten (geconfigureerd in het lokale beveiligingsbeleid of door de systeembeheerder)
Identiteit van elk account (naam en, indien relevant, de beveiligingsidentificatie of SID)

15 dingen die met geld niet te koop zijn

Dit maakt het zowel systeembeheerders als geavanceerde gebruikers mogelijk foutieve configuraties, ongewenste toegang of potentiële kwetsbaarheden detecteren voordat het te laat is.

Belangrijkste kenmerken van EFSDump

Lichtgewicht en draagbaar: Er is geen installatie vereist. Download het spel en start het direct vanaf de console.
Compatibel met moderne versies van Windows: Het kan gebruikt worden vanaf Windows Vista en Server 2008.
Hiermee kunt u hele mappen recursief scannen: Dankzij de parameter -s kunt u de structuur van hele mappen en submappen controleren zonder dat u opdrachten hoeft te herhalen.
Ondersteuning voor jokers: Maakt het eenvoudig om bestanden te selecteren op extensie (bijvoorbeeld alle gecodeerde .docx-bestanden in een map).
Duidelijke en eenvoudig te interpreteren output: Geeft accounts, SID's en herstelagenten op een overzichtelijke manier weer voor audit- of rapportagedoeleinden.
Stille modus: Met de parameter -q worden foutmeldingen of waarschuwingen onderdrukt. Dit is handig voor het integreren van EFSDump in geautomatiseerde scripts.

EFSDump-syntaxis en parameters

EFSDump is vrij eenvoudig in gebruik, maar net als bij elk consolehulpmiddel is het belangrijk om de syntaxis ervan te beheersen om er optimaal gebruik van te kunnen maken.

Algemene opmaak van de opdracht:

efsdump   <archivo o directorio>

-s: Geeft EFSDump de opdracht alle bestanden in submappen recursief te verwerken.
-q: Onderdrukt het afdrukken van fouten (stille modus), ideaal voor grote scripts of wanneer we niet willen dat de console vol staat met herhalende berichten.
: U kunt de naam van een specifiek bestand of een map opgeven (om alle bestanden daarin te controleren), of een patroon met jokers.

Praktische voorbeelden:

Om een lijst te maken van de gebruikers die toegang hebben tot alle versleutelde .docx-bestanden in uw documentenmap:
```
efsdump C:\Users\MiUsuario\Documents\*.docx
```
Om een hele map en de submappen ervan te controleren:
```
efsdump -s C:\DataCifrada
```
Om de opdracht uit te voeren zonder foutmeldingen, ideaal voor scripting:
```
efsdump -q -s C:\CarpetaSegura
```

Interne werking en NTFS-structuren

EFSDump werkt rechtstreeks op bestanden die zijn opgeslagen op NTFS-partities en maakt gebruik van de interne velden in de header van elk gecodeerd bestand.

In NTFS bevat elk EFS-beveiligd bestand twee sleutelstructuren:

DDF (gegevensontsleutelingsvelden): Ze slaan bestandsversleutelingssleutels op, versleuteld met de openbare sleutel van elke geautoriseerde gebruiker. Hieronder vindt u de lijst met mensen die direct toegang hebben tot de content, zonder de systeemsleutel te hoeven gebruiken.
DRF (gegevensherstelvelden): Ze bevatten gecodeerde FEK-sleutels, maar dit keer met de openbare sleutel van de herstelagenten, d.w.z. accounts die vooraf door de beheerder zijn toegewezen voor noodsituaties of gegevensherstel.

WordPad herstellen in Windows 11 nadat u het hebt verwijderd

Compatibiliteit en vereisten van EFSDump

De tool Het is gemaakt door Mark Russinovich, een van de bekendste Windows-ontwikkelaars ter wereld en oprichter van Sysinternals. Hoewel oorspronkelijk ontworpen voor Windows 2000, blijft het hulpprogramma perfect bruikbaar in veel nieuwere omgevingen:

klanten: Werkt op Windows Vista en later, inclusief huidige versies zoals Windows 10 en 11.
Servers: Het is compatibel met Windows Server 2008 en hoger.

Het vereist geen installatie, wijzigt het register niet en laat geen sporen achter op het systeem: pak gewoon het uitvoerbare bestand uit en open een opdrachtvenster met leesrechten voor de bestanden die u wilt controleren. Voor meer informatie over andere analysetools kunt u ook de volgende links raadplegen: Hoe Windbg te gebruiken.

Gerelateerd artikel:

Hoe WinDbg te gebruiken om dumpbestanden te analyseren en BSOD-fouten op te lossen

Isaac

Gepassioneerd schrijver over de wereld van bytes en technologie in het algemeen. Ik deel mijn kennis graag door te schrijven, en dat is wat ik in deze blog ga doen: je de meest interessante dingen laten zien over gadgets, software, hardware, technologische trends en meer. Mijn doel is om u te helpen op een eenvoudige en onderhoudende manier door de digitale wereld te navigeren.