EFSDump: Kaj je to, čemu služi in kako podrobno uporabljati to orodje Sysinternals.

Vas skrbi, kdo lahko dejansko dostopa do vaših šifriranih datotek v sistemu Windows? Če ste kdaj upravljali sisteme, ki temeljijo na datotečnem sistemu NTFS, ali ste se spraševali, kako zagotoviti, da vaši občutljivi podatki niso izpostavljeni nepooblaščenim uporabnikom, ste verjetno že slišali za šifrirni datotečni sistem (EFS), eno najmočnejših, a najmanj preglednih funkcij sistema Windows. Vendar pa je lahko ugotavljanje, kateri uporabniki imajo pravice za branje šifriranih datotek, prava muka, če ste omejeni na običajna grafična orodja. Tukaj pride prav. EFSDump, pripomoček, specifičen za paket Sysinternals, ki poenostavlja nadzor dovoljenj za zaščitene datoteke.

V tem članku bom podrobno razložil, kaj je EFSDump, za kaj se uporablja, kako deluje interno in kdaj vam lahko reši življenje pri sistemski administraciji. Ne glede na to, ali ste strokovnjak za IT, predan varnosti ali preprosto napreden uporabnik, ki želi razumeti vse podrobnosti nadzora dostopa EFS, je tukaj najobsežnejši in najpraktičniji vodnik v španščini, ki združuje vse ustrezne informacije iz tehničnih virov in ponuja jasne, strukturirane nasvete. Pripravite se na obvladovanje tega orodja in prevzemite resničen nadzor nad zaščito svojih podatkov v sistemu Windows.

Kaj je EFSDump in za kaj se uporablja?

EFSDump je majhen pripomoček ukazne vrstice, ki ga je razvilo podjetje Sysinternals, zdaj del Microsofta, in je nastal z zelo preprostim ciljem: takoj in samodejno prikazati seznam računov (uporabnikov in obnovitvenih agentov), ​​ki lahko dostopajo do datotek, šifriranih z EFS, na nosilcih NTFS. Pred prihodom EFSDump ste morali za pregled dovoljenj EFS za več datotek ali imenikov krmariti skozi Raziskovalec in se pomikati po zavihku naprednih lastnosti vsake datoteke posebej – kar je bil ročni, dolgočasen in izjemno nagnjen k napakam postopek pri delu z velikimi količinami podatkov.

Zahvaljujoč se EFSDump To lahko storite hitro in v večjem obsegu neposredno iz konzole, filtrirate po imenih, končnicah ali celo uporabite nadomestne znake za poti. V bistvu je to natančna in preprosta rešitev za katero koli nalogo pregleda ali revizije dostopa do šifriranih datotek v poslovnih ali osebnih okoljih.

Prenesite z uradnega portala Microsoft SysinternalsJe brezplačen in prenos je velik manj kot 200 KB.

Kontekst: EFS v sistemu Windows in njegove težave

iz Windows 2000 je bil uveden Šifrirni datotečni sistem (EFS) v NTFS-ju, kar uporabnikom omogoča zaščito občutljivih podatkov pred radovednimi očmi. Notranje delovanje EFS-ja je precej natančno: vsaka šifrirana datoteka v svoji glavi integrira tako imenovana »skrivna polja« (DDF in DRF), kjer ključi za šifriranje datotek (FEK) zaščiteno s kriptografijo javnega ključa s strani vsakega pooblaščenega uporabnika in okrevalni tabori povezani z agenti za izterjavo, ki jih določajo pravilniki podjetja.

To pomeni Do vsake šifrirane datoteke ima lahko učinkovit dostop več uporabnikov in več agentov.Ni dovolj, da je datoteka »zelena« ali da ste njen lastnik: skrbnik lahko nevede odobri dostop drugim uporabnikom ali storitvam zaradi pomote ali malomarnosti. Tukaj postane EFSDump idealen zaveznik, saj vam omogoča seznam hitro vsa veljavna dovoljenja povezana z vsako šifrirano datoteko.

Katere informacije ponuja EFSDump?

Ko tečeš EFSDump na datoteki ali naboru le-teh dobite počisti seznam vseh uporabnikov, računov storitev in agentov za obnovitev, povezanih s šifriranjem te datotekeInterno orodje pridobiva podatke z uporabo specifičnega API-ja Uporabniki poizvedbe v šifrirani datoteki, ki dejansko »bere med vrsticami« metapodatkov glave NTFS, da ugotovi, kdo lahko dešifrira vsebino.

Zato vam orodje predstavi informacije, kot so:

• Uporabniki z neposrednim dostopom do šifrirane datoteke (tisti, ki so ga prvotno šifrirali, ali tisti, ki jim je bil odobren dodaten dostop)
• Preddefinirani agenti za obnovitev (konfigurirano v lokalnem varnostnem pravilniku ali s strani skrbnika sistema)
• Identiteta vsakega računa (ime in, kjer je ustrezno, varnostni identifikator ali SID)

To omogoča tako sistemskim skrbnikom kot naprednim uporabnikom odkrivanje napačnih konfiguracij, neželenega dostopa ali morebitnih ranljivosti preden bo prepozno.

Glavne značilnosti EFSDumpa

• Lahka in prenosna: Namestitev ni potrebna, samo prenesite in zaženite neposredno iz konzole.
• Združljivo s sodobnimi različicami sistema Windows: Uporablja se lahko od sistema Windows Vista in Server 2008 naprej.
• Omogoča rekurzivno skeniranje celotnih imenikov: Zahvaljujoč parametru -s lahko pregledate celotne strukture map in podmap brez ponavljanja ukazov.
• Podpora za nadomestne znake: Omogoča enostavno izbiro datotek po končnici (npr. vse šifrirane datoteke .docx v mapi).
• Čist in lahko razumljiv izhod: Prikaže račune, SID-je in agente za obnovitev na urejen način za namene revizije ali poročanja.
• Tihi način: Parameter -q prepreči sporočila o napakah ali opozorila, kar je uporabno za integracijo EFSDump v avtomatizirane skripte.

Sintaksa in parametri EFSDump

Uporaba EFSDump je dokaj preprosta, vendar je tako kot pri vsakem konzolnem orodju pomembno obvladati njegovo sintakso, da bi ga kar najbolje izkoristili.

Splošna oblika ukaza:

efsdump   <archivo o directorio>

• -s: Ukaz EFSDump rekurzivno obdela vse datoteke v poddirektorij.
• -q: Prepreči izpisovanje napak (tihi način), idealno za obsežne skripte ali kadar ne želimo, da se konzola napolni s ponavljajočimi se sporočili.
• : Določite lahko ime določene datoteke ali mape (za pregled vseh datotek v njej) ali vzorec z nadomestnimi znaki.

Praktični primeri:

• Če želite našteti uporabnike, ki lahko dostopajo do vseh šifriranih datotek .docx v mapi z dokumenti:

  efsdump C:\Users\MiUsuario\Documents\*.docx

• Če želite pregledati celotno mapo in njene podmape:

  efsdump -s C:\DataCifrada

• Za zagon ukaza brez sporočil o napakah, idealno za skriptanje:

  efsdump -q -s C:\CarpetaSegura

Notranje delovanje in strukture NTFS

EFSDump deluje neposredno na datotekah, shranjenih na particijah NTFS, pri čemer izkorišča notranja polja v glavi vsake šifrirane datoteke.

V sistemu NTFS ima vsaka datoteka, zaščitena z EFS, dve ključni strukturi:

• DDF (polja za dešifriranje podatkov): Shranjujejo ključe za šifriranje datotek, šifrirane z javnim ključem vsakega pooblaščenega uporabnika. Tukaj je dejanski seznam ljudi, ki lahko neposredno dostopajo do vsebine, ne da bi imeli sistemski ključ.
• DRF (Polja za obnovitev podatkov): Vključujejo šifrirane FEK ključe, vendar tokrat z javnim ključem obnovitvenih agentov, tj. računov, ki jih je skrbnik vnaprej določil za nujne primere ali obnovitev podatkov.

Združljivost in zahteve EFSDump

Orodje Ustvaril ga je Mark Russinovich, eden najbolj znanih razvijalcev sistema Windows na svetu in ustanovitelj podjetja Sysinternals. Čeprav je bil pripomoček prvotno zasnovan za Windows 2000, je še vedno popolnoma uporaben tudi v veliko novejših okoljih:

• Stranke: Deluje v sistemu Windows Vista in novejših različicah, vključno s trenutnimi različicami, kot sta Windows 10 in 11.
• Strežniki: Združljiv je z operacijskim sistemom Windows Server 2008 in novejšimi različicami.

Ne zahteva namestitve, ne spreminja registra in ne pušča sledi v sistemu: preprosto razpakirajte izvedljivo datoteko in odprite ukazno okno z dovoljenji za branje datotek, ki jih želite pregledati. Če želite razumeti druga orodja za analizo, si lahko ogledate tudi Kako uporabljati Windbg.

Povezani članek:

Kako uporabiti WinDbg za analizo datotek z izpisom in odpravljanje napak BSOD

Isaac

Strasten pisec o svetu bajtov in tehnologije nasploh. Rad delim svoje znanje s pisanjem in to je tisto, kar bom počel v tem blogu, saj vam bom pokazal vse najbolj zanimive stvari o pripomočkih, programski opremi, strojni opremi, tehnoloških trendih in še več. Moj cilj je, da vam pomagam krmariti po digitalnem svetu na preprost in zabaven način.