EFSDump: Çfarë është dhe si të auditoni skedarët e koduar në Windows

Mundobajt » Dritaret » EFSDump: Çfarë është, për çfarë shërben dhe si ta përdorni këtë mjet Sysinternals në detaje.

EFSDump ju lejon të kontrolloni lehtësisht aksesin në skedarët e koduar EFS nga rreshti i komandës. komandat.
Është një mjet i lehtë dhe i thjeshtë që është i pajtueshëm me versionet moderne të Dritaret, ideale për profesionistët që menaxhojnë sigurinë në mjedise NTFS.
Integron opsione të fuqishme për shqyrtimin e lejeve të përdoruesve dhe agjentët e rikuperimit të lidhur me skedarët e mbrojtur.

I shqetësuar se kush mund të hyjë në të vërtetë në skedarët tuaj të enkriptuar në Windows? Nëse keni menaxhuar ndonjëherë sisteme të bazuara në NTFS ose keni menduar se si të siguroheni që të dhënat tuaja të ndjeshme të mos ekspozohen ndaj përdoruesve të paautorizuar, ndoshta keni dëgjuar për Sistemin e Skedarëve të Encrypting (EFS), një nga veçoritë më të fuqishme, por më pak transparente të Windows. Megjithatë, të kuptuarit se cilët përdorues kanë privilegje për të lexuar skedarë të enkriptuar mund të jetë një dhimbje koke e vërtetë nëse jeni të kufizuar në mjetet grafike konvencionale. Këtu hyn në lojë gjithçka. EFSDump, një program specifik për paketën Sysinternals që thjeshton auditimin e lejeve në skedarët e mbrojtur.

Në këtë artikull, do të shpjegoj në detaje se çfarë është EFSDump, për çfarë përdoret, si funksionon brenda dhe kur mund t'ju shpëtojë jetën në administrimin e sistemit. Pavarësisht nëse jeni një profesionist i IT-së, i përkushtuar ndaj sigurisë, apo thjesht një përdorues i përparuar që kërkon të kuptojë çdo detaj të kontrollit të aksesit EFS, ja udhëzuesi më gjithëpërfshirës dhe praktik në spanjisht, që integron të gjithë informacionin përkatës nga burimet teknike dhe ofron këshilla të qarta dhe të strukturuara. Përgatituni ta zotëroni këtë mjet dhe të merrni kontroll të vërtetë mbi mbrojtjen e të dhënave tuaja në Windows.

Çfarë është EFSDump dhe për çfarë përdoret?

EFSDump është një program i vogël i linjës së komandës i zhvilluar nga Sysinternals, tani pjesë e Microsoft, i cili lindi me një objektiv shumë të thjeshtë: të shfaqë menjëherë dhe automatikisht listën e llogarive (përdoruesve dhe agjentëve të rikuperimit) që mund të hyjnë në skedarët e enkriptuar EFS në vëllimet NTFS. Përpara mbërritjes së EFSDump, nëse donit të auditonit lejet EFS në skedarë ose drejtori të shumta, duhej të lundronit nëpër Windows Explorer dhe nëpër skedën e vetive të përparuara të secilit skedar një nga një - një proces manual, i lodhshëm dhe jashtëzakonisht i prirur ndaj gabimeve kur merreshit me vëllime të mëdha të të dhënave.

Si të eksportoni modele Blender për printim 3D

Faleminderit EFSDump Mund ta bëni këtë shpejt dhe me shumicë direkt nga konzola, duke filtruar sipas emrave, zgjerimeve ose madje duke aplikuar karaktere wildcard në shtigje. Në thelb është një zgjidhje e saktë dhe e drejtpërdrejtë për çdo detyrë shqyrtimi ose auditimi të aksesit të skedarëve të enkriptuar në mjedise korporative ose personale.

Shkarkoni nga portali zyrtar i Microsoft SysinternalsËshtë falas dhe shkarkimi kushton më pak se 200 KB.

Konteksti: EFS në Windows dhe problemet e tij

nga Dritaret 2000 u prezantua Sistemi i Enkriptimit të Skedarëve (EFS) në NTFS, duke u lejuar përdoruesve të mbrojnë informacionin e ndjeshëm nga sytë kureshtarë. Funksionimi i brendshëm i EFS është mjaft i kujdesshëm: çdo skedar i enkriptuar integron në kokën e tij atë që mund ta quajmë "fusha sekrete" (DDF dhe DRF), ku çelësat e enkriptimit të skedarëve (FEK) të mbrojtura nga kriptografia me çelës publik nga çdo përdorues i autorizuar, dhe kampet e rimëkëmbjes të lidhura me agjentë rikuperimi të caktuar nga politikat e kompanisë.

Kjo do të thotë Mund të ketë më shumë se një përdorues dhe më shumë se një agjent me qasje efektive në secilin skedar të enkriptuar.Nuk mjafton që një skedar të jetë "i gjelbër" ose që ju të jeni pronari: një administrator mund t'u japë akses përdoruesve ose shërbimeve të tjera pa vetëdije, gabimisht ose pakujdesshëm. Këtu EFSDump bëhet aleati ideal duke ju lejuar të listoni shpejt të gjitha lejet efektive të shoqëruara me secilin skedar të enkriptuar.

Çfarë informacioni ofron EFSDump?

Kur vrapon EFSDump në një skedar ose në një grup prej tyre, ju merrni një listë e qartë e të gjithë përdoruesve, llogarive të shërbimit dhe agjentëve të rikuperimit të lidhur me enkriptimin e atij skedariBrenda vendit, programi nxjerr të dhëna duke përdorur API-në specifike. Përdoruesit e Pyetjeve në Skedarin e Encryptuar, e cila është ajo që në fakt “lexon midis rreshtave” të meta të dhënave të kokës së NTFS për të zbuluar se kush mund ta deshifrojë përmbajtjen.

Prandaj, mjeti ju ofron informacione të tilla si:

Përdoruesit me qasje të drejtpërdrejtë në skedarin e enkriptuar (ata që e kanë enkriptuar fillimisht ose ata që u është dhënë akses shtesë)
Agjentë të paracaktuar të rimëkëmbjes (konfiguruar në politikën lokale të sigurisë ose nga administratori i sistemit)
Identiteti i secilës llogari (emri dhe, kur është e nevojshme, identifikuesi i sigurisë ose SID)

Metoda të thjeshta për të bllokuar kontaktet Viber në Android dhe iPhone

Kjo u lejon si administratorëve të sistemit ashtu edhe përdoruesve të përparuar zbulojnë konfigurime të gabuara, akses të padëshiruar ose dobësi të mundshme para se të jetë tepër vonë.

Karakteristikat kryesore të EFSDump

I lehtë dhe portativ: Nuk kërkohet instalim, thjesht shkarkojeni dhe ekzekutojeni direkt nga konzola.
I pajtueshëm me versionet moderne të Windows: Mund të përdoret nga Windows Vista dhe Server 2008 e tutje.
Ju lejon të skanoni të gjithë drejtoritë në mënyrë rekursive: Falë parametrit -s, ju mund të auditoni të gjitha strukturat e dosjeve dhe nën-dosjeve pa përsëritur komandat.
Mbështetje për wildcard: E bën të lehtë përzgjedhjen e skedarëve sipas zgjerimit (p.sh. të gjithë skedarët e enkriptuar .docx në një dosje).
Prodhim i pastër dhe lehtësisht i interpretueshëm: Shfaq llogaritë, SID-të dhe agjentët e rikuperimit në një mënyrë të rregullt për qëllime auditimi ose raportimi.
Modaliteti i heshtur: Parametri -q fsheh mesazhet e gabimit ose paralajmërimet, të dobishme për integrimin e EFSDump në skripte të automatizuara.

Sintaksa dhe Parametrat EFSDump

Përdorimi i EFSDump është mjaft i thjeshtë, por si çdo mjet konsole, është e rëndësishme të zotëroni sintaksën e tij për të përfituar sa më shumë prej tij.

Formati i përgjithshëm i komandës:

efsdump   <archivo o directorio>

-sI thotë EFSDump të përpunojë të gjitha skedarët në nën-direktoritë në mënyrë rekursive.
-qShtyp shtypjen e gabimeve (modaliteti i heshtur), ideal për skripte masive ose kur nuk duam që konzola të jetë e mbushur me mesazhe të përsëritura.
: Mund të specifikoni emrin e një skedari ose dosjeje specifike (për të audituar të gjithë skedarët brenda tij), ose një model me shenja të ndryshme.

Shembuj praktik:

Për të listuar përdoruesit që mund të hyjnë në të gjitha skedarët e koduar .docx në dosjen tuaj të dokumenteve:
```
efsdump C:\Users\MiUsuario\Documents\*.docx
```
Për të audituar një dosje të tërë dhe nën-dosjet e saj:
```
efsdump -s C:\DataCifrada
```
Për të ekzekutuar komandën pa mesazhe gabimi, ideale për skriptim:
```
efsdump -q -s C:\CarpetaSegura
```

Funksionimi i brendshëm dhe strukturat NTFS

EFSDump punon direkt në skedarët e ruajtur në ndarjet NTFS, duke përfituar nga fushat e brendshme në kokën e çdo skedari të koduar.

Në NTFS, çdo skedar i mbrojtur nga EFS përfshin dy struktura kryesore:

DDF (Fushat e Dekriptimit të të Dhënave): Ata ruajnë çelësa enkriptimi të skedarëve, të enkriptuar me çelësin publik të secilit përdorues të autorizuar. Ja lista aktuale e personave që mund të hyjnë drejtpërdrejt në përmbajtje, pa pasur çelësin e sistemit.
DRF (Fushat e Rimëkëmbjes së të Dhënave): Ato përfshijnë çelësa FEK të koduar, por këtë herë me çelësin publik të agjentëve të rikuperimit, d.m.th., llogari të paracaktuara nga administratori për situata emergjente ose rikuperim të të dhënave.

Pse televizori im inteligjent fiket vetvetiu? Të gjitha shkaqet dhe zgjidhjet

Pajtueshmëria dhe Kërkesat e EFSDump

Mjeti U krijua nga Mark Russinovich, një nga zhvilluesit më të njohur të Windows në botë dhe themelues i Sysinternals. Edhe pse fillimisht i projektuar për Windows 2000, programi mbetet plotësisht i vlefshëm në mjedise shumë më të reja:

Klientët: Funksionon në Windows Vista dhe më vonë, duke përfshirë versionet aktuale si Windows 10 dhe 11.
Serverat: Është i pajtueshëm me Windows Server 2008 dhe më të lartë.

Nuk kërkon instalim, nuk modifikon regjistrin dhe nuk lë gjurmë në sistem: thjesht çkompresoni skedarin ekzekutues dhe hapni një dritare komandash me leje leximi për skedarët që dëshironi të auditoni. Për të kuptuar mjetet e tjera të analizës, mund të rishikoni edhe Si të përdorni Windbg.

Artikulli i lidhur:

Si të përdorni WinDbg për të analizuar skedarët dump dhe për të zgjidhur gabimet BSOD

Isaac

Shkrimtar i apasionuar pas botës së bajteve dhe teknologjisë në përgjithësi. Më pëlqen të ndaj njohuritë e mia përmes shkrimit, dhe kjo është ajo që do të bëj në këtë blog, duke ju treguar të gjitha gjërat më interesante në lidhje me pajisjet, softuerin, harduerin, tendencat teknologjike dhe më shumë. Qëllimi im është t'ju ndihmoj të lundroni në botën dixhitale në një mënyrë të thjeshtë dhe argëtuese.