EFSDump: Hva det er, hva det er til, og hvordan du bruker dette Sysinternals-verktøyet i dybden.

Siste oppdatering: 06/06/2025
Forfatter: Isaac
  • Med EFSDump kan du enkelt kontrollere tilgangen til EFS-krypterte filer fra kommandolinjen. kommandoer.
  • Det er et lett og brukervennlig verktøy som er kompatibelt med moderne versjoner av Windows, ideelt for fagfolk som håndterer sikkerhet i miljøer NTFS.
  • Den integrerer kraftige alternativer for gjennomgang av brukertillatelser og gjenopprettingsagenter knyttet til beskyttede filer.

esdump Bekymret for hvem som faktisk kan få tilgang til de krypterte filene dine i Windows? Hvis du noen gang har håndtert NTFS-baserte systemer eller lurt på hvordan du kan sikre at sensitive data ikke eksponeres for uautoriserte brukere, har du sannsynligvis hørt om Encrypting File System (EFS), en av de kraftigste, men minst transparente funksjonene i Windows. Det kan imidlertid være en skikkelig hodepine å finne ut hvilke brukere som har rettigheter til å lese krypterte filer hvis du er begrenset til konvensjonelle grafiske verktøy. Det er her det kommer inn i bildet. EFSDump, et verktøy spesifikt for Sysinternals-pakken som forenkler revisjonstillatelser på beskyttede filer.

I denne artikkelen vil jeg forklare i detalj hva EFSDump er, hva det brukes til, hvordan det fungerer internt, og når det kan redde livet ditt i systemadministrasjonen. Enten du er en IT-profesjonell, dedikert til sikkerhet, eller bare en avansert bruker som ønsker å forstå alle detaljer om EFS-tilgangskontroll, er her den mest omfattende og praktiske veiledningen på spansk, som integrerer all relevant informasjon fra tekniske kilder og gir klare, strukturerte råd. Gjør deg klar til å mestre dette verktøyet og ta reell kontroll over databeskyttelsen din i Windows.

Hva er EFSDump og hva brukes det til?

EFSDump er et lite kommandolinjeverktøy utviklet av Sysinternals, nå en del av Microsoft, som ble født med et veldig enkelt mål: å umiddelbart og automatisk vise listen over kontoer (brukere og gjenopprettingsagenter) som har tilgang til EFS-krypterte filer på NTFS-volumer. Før EFSDump kom, måtte du navigere gjennom Windows Utforsker og navigere gjennom hver fils avanserte egenskapsfane én etter én hvis du ville revidere EFS-tillatelser på flere filer eller mapper – en manuell, kjedelig og ekstremt feilutsatt prosess når du håndterer store datamengder.

  Hvordan eksportere Blender-modeller for 3D-utskrift

Takk til EFSDump Du kan gjøre dette raskt og i bulk direkte fra konsollen, filtrere etter navn, utvidelser eller til og med bruke jokertegn på stier. Det er i hovedsak en presis og enkel løsning for enhver gjennomgang eller revisjonsoppgave for kryptert filtilgang i bedrifts- eller personlige miljøer.

Last ned fra den offisielle portalen til Microsoft SysinternalsDet er gratis, og nedlastingen er på under 200 KB.

Kontekst: EFS i Windows og problemene

Fra Windows 2000 ble introdusert Krypterende filsystem (EFS) i NTFS, slik at brukere kan beskytte sensitiv informasjon fra nysgjerrige øyne. EFS fungerer ganske grundig på innsiden: hver krypterte fil integrerer i overskriften det vi kan kalle "hemmelige felt" (DDF og DRF), der filkrypteringsnøkler (FEK) beskyttet av offentlig nøkkelkryptografi av hver autoriserte bruker, og rekonvalesensleirer tilknyttet gjenvinningsagenter utpekt i selskapets retningslinjer.

Det betyr Det kan være mer enn én bruker og mer enn én agent med effektiv tilgang til hver krypterte filDet er ikke nok at en fil er «grønn» eller at du er eieren: en administrator kan uvitende gi tilgang til andre brukere eller tjenester gjennom feil eller uforsiktighet. Det er her EFSDump blir den ideelle allierte ved å la deg liste opp raskt alle effektive tillatelser knyttet til hver krypterte fil.

Hvilken informasjon gir EFSDump?

Når du løper EFSDump på en fil eller et sett av dem, får du en tydelig liste over alle brukere, tjenestekontoer og gjenopprettingsagenter som er knyttet til krypteringen av den filenInternt trekker verktøyet ut data ved hjelp av det spesifikke API-et SpørringBrukerePåKryptertFil, som faktisk «leser mellom linjene» i NTFS-headermetadataene for å finne ut hvem som kan dekryptere innholdet.

Derfor presenterer verktøyet deg informasjon som:

  • Brukere med direkte tilgang til den krypterte filen (de som opprinnelig krypterte den eller de som har fått tilleggstilgang)
  • Forhåndsdefinerte gjenopprettingsagenter (konfigurert i lokal sikkerhetspolicy eller av systemadministratoren)
  • Identiteten til hver konto (navn og, der det er relevant, sikkerhetsidentifikator eller SID)
  Enkle metoder for å blokkere Viber-kontakter på Android og iPhone

Dette tillater både systemadministratorer og avanserte brukere oppdage feilkonfigurasjoner, uønsket tilgang eller potensielle sårbarheter før det er for sent.

Hovedfunksjoner i EFSDump

  • Lett og bærbar: Ingen installasjon kreves, bare last ned og kjør direkte fra konsollen.
  • Kompatibel med moderne versjoner av Windows: Den kan brukes fra Windows Vista og Server 2008 og utover.
  • Lar deg skanne hele mapper rekursivt: Takket være -s-parameteren kan du revidere hele mappe- og undermappestrukturer uten å gjenta kommandoer.
  • Støtte for jokertegn: Gjør det enkelt å velge filer etter filtypenavn (f.eks. alle krypterte .docx-filer i en mappe).
  • Ren og letttolkbar utdata: Viser kontoer, SID-er og gjenopprettingsagenter på en ordnet måte for revisjons- eller rapporteringsformål.
  • Stillemodus: Parameteren -q undertrykker feilmeldinger eller advarsler, noe som er nyttig for å integrere EFSDump i automatiserte skript.

EFSDump-syntaks og parametere

Det er ganske enkelt å bruke EFSDump, men som med alle konsollverktøy er det viktig å mestre syntaksen for å få mest mulig ut av det.

Generelt format for kommandoen:

efsdump   <archivo o directorio>
  • -sBer EFSDump om å behandle alle filer i underkataloger rekursivt.
  • -qUndertrykker feilutskrift (stille modus), ideelt for massive skript eller når vi ikke vil at konsollen skal fylles med repeterende meldinger.
  • : Du kan angi enten navnet på en bestemt fil eller en mappe (for å revidere alle filene i den), eller et mønster med jokertegn.

Praktiske eksempler:

  • Slik viser du brukerne som har tilgang til alle krypterte .docx-filer i dokumentmappen din: 
    efsdump C:\Users\MiUsuario\Documents\*.docx
  • Slik overvåker du en hel mappe og undermappene: 
    efsdump -s C:\DataCifrada
  • For å kjøre kommandoen uten feilmeldinger, ideelt for skripting: 
    efsdump -q -s C:\CarpetaSegura

Intern drift og NTFS-strukturer

EFSDump fungerer direkte på filer lagret på NTFS-partisjoner, og utnytter de interne feltene i overskriften til hver krypterte fil.

I NTFS inneholder hver EFS-beskyttede fil to nøkkelstrukturer:

  • DDF (datadekrypteringsfelt): De lagrer filkrypteringsnøkler, kryptert med hver autoriserte brukers offentlige nøkkel. Her er den faktiske listen over personer som har direkte tilgang til innholdet, uten å ha systemnøkkelen.
  • DRF (Datagjenopprettingsfelt): De inkluderer krypterte FEK-nøkler, men denne gangen med den offentlige nøkkelen til gjenopprettingsagentene, dvs. kontoer forhåndsbestemt av administratoren for nødsituasjoner eller datagjenoppretting.
  Hvorfor slår smart-TV-en min seg av av seg selv? Alle årsaker og løsninger

EFSDump-kompatibilitet og krav

Verktøyet Den ble laget av Mark Russinovich, en av verdens mest kjente Windows-utviklere og grunnlegger av Sysinternals. Selv om verktøyet opprinnelig ble utviklet for Windows 2000, er det fortsatt fullt gyldig i mye nyere miljøer:

  • Kunder: Fungerer på Windows Vista og nyere, inkludert nåværende versjoner som Windows 10 og 11.
  • Servere: Den er kompatibel med Windows Server 2008 og nyere.

Den krever ikke installasjon, endrer ikke registeret og etterlater ingen spor på systemet: bare pakk ut den kjørbare filen og åpne et kommandovindu med lesetillatelser for filene du vil revidere. For å forstå andre analyseverktøy kan du også se gjennom Slik bruker du Windbg.

vindbg
Relatert artikkel:
Slik bruker du WinDbg til å analysere dumpfiler og løse BSOD-feil