EFSDump: Шта је то, чему служи и како детаљно користити овај Sysinternals алат.

Забринути сте ко заправо може приступити вашим шифрованим датотекама у оперативном систему Windows? Ако сте икада управљали системима заснованим на NTFS-у или се питали како да осигурате да ваши осетљиви подаци нису изложени неовлашћеним корисницима, вероватно сте чули за систем шифровања датотека (EFS), једну од најмоћнијих, али најмање транспарентних функција оперативног система Windows. Међутим, откривање који корисници имају привилегије за читање шифрованих датотека може бити права главобоља ако сте ограничени на конвенционалне графичке алате. Ту долази до изражаја. ЕФСДумп, услужни програм специфичан за Sysinternals пакет који поједностављује ревизију дозвола за заштићене датотеке.

У овом чланку ћу детаљно објаснити шта је EFSDump, за шта се користи, како функционише интерно и када вам може спасити живот у системској администрацији. Без обзира да ли сте ИТ стручњак, посвећен безбедности или једноставно напредни корисник који жели да разуме сваки детаљ контроле приступа EFS-у, ево најсвеобухватнијег и најпрактичнијег водича на шпанском језику, који интегрише све релевантне информације из техничких извора и пружа јасне, структуриране савете. Спремите се да савладате овај алат и преузмете праву контролу над заштитом својих података у оперативном систему Windows.

Шта је EFSDump и за шта се користи?

EFSDump је мали услужни програм командне линије који је развио Sysinternals, сада део Microsoft-а, а који је настао са веома једноставним циљем: да одмах и аутоматски прикаже листу налога (корисника и агената за опоравак) који могу да приступе EFS-шифрованим датотекама на NTFS томовима. Пре појаве EFSDump-а, ако сте желели да ревидирате EFS дозволе за више датотека или директоријума, морали сте да се крећете кроз Windows Explorer и да се крећете кроз картицу напредних својстава сваке датотеке једну по једну – што је био ручан, мукотрпан и изузетно склон грешкама процес при раду са великим количинама података.

Захваљујем ЕФСДумп Ово можете брзо и групно урадити директно из конзоле, филтрирајући по именима, екстензијама или чак применом џокер знакова на путање. То је у суштини прецизно и једноставно решење за било који преглед или ревизију приступа шифрованим датотекама у корпоративним или личним окружењима.

Преузмите са званичног портала Мицрософт СисинтерналсБесплатно је и преузимање је мање од 200 KB.

Контекст: EFS у Windows-у и његови проблеми

од прозори КСНУМКС је представљен Систем шифровања датотека (EFS) у NTFS-у, омогућавајући корисницима да заштите осетљиве информације од знатижељних погледа. Унутрашње функционисање EFS-а је прилично педантно: свака шифрована датотека интегрише у свој заглавак оно што бисмо могли назвати „тајним пољима“ (DDF и DRF), где кључеви за шифровање датотека (FEK) заштићено криптографијом јавног кључа од стране сваког овлашћеног корисника, и кампови за опоравак повезано са агентима за опоравак које су одредиле политике компаније.

То значи Може постојати више од једног корисника и више од једног агента са ефективним приступом свакој шифрованој датотециНије довољно да датотека буде „зелена“ или да ви будете њен власник: администратор може несвесно дати приступ другим корисницима или услугама грешком или непажњом. Ту EFSDump постаје идеалан савезник омогућавајући вам да наведете брзо све важеће дозволе повезан са сваком шифрованом датотеком.

Које информације пружа EFSDump?

Кад трчиш ЕФСДумп на датотеци или скупу њих, добијате обрисати листу свих корисника, сервисних налога и агената за опоравак повезаних са шифровањем те датотекеИнтерно, услужни програм издваја податке користећи специфични API Кориснике упита на шифрованој датотеци, што је оно што заправо „чита између редова“ метаподатака заглавља NTFS-а како би се открило ко може да дешифрује садржај.

Стога, алат вам пружа информације као што су:

• Корисници са директним приступом шифрованој датотеци (они који су га првобитно шифровали или они којима је одобрен додатни приступ)
• Унапред дефинисани агенти за опоравак (конфигурисано у локалним безбедносним политикама или од стране системског администратора)
• Идентитет сваког налога (име и, где је релевантно, безбедносни идентификатор или SID)

Ово омогућава и систем администраторима и напредним корисницима откривање погрешних конфигурација, нежељеног приступа или потенцијалних рањивости пре него што буде касно.

Главне карактеристике EFSDump-а

• Лаган и преносив: Није потребна инсталација, само преузмите и покрените директно из конзоле.
• Компатибилно са модерним верзијама оперативног система Windows: Може се користити од Windows Vista и Server 2008 па надаље.
• Омогућава вам рекурзивно скенирање целих директоријума: Захваљујући параметру -s, можете ревидирати целе структуре фасцикли и подфасцикли без понављања команди.
• Подршка за џокере: Олакшава избор датотека по екстензији (нпр. све шифроване .docx датотеке у фасцикли).
• Чист и лако разумљив излаз: Приказује налоге, SID-ове и агенте за опоравак на уредан начин за потребе ревизије или извештавања.
• Тихи режим: Параметар -q потискује поруке о грешкама или упозорења, што је корисно за интеграцију EFSDump-а у аутоматизоване скрипте.

Синтакса и параметри EFSDump-а

Коришћење EFSDump-а је прилично једноставно, али као и код сваког конзолног алата, важно је савладати његову синтаксу да бисте извукли максимум из њега.

Општи формат команде:

efsdump   <archivo o directorio>

• -s: Наређује EFSDump-у да рекурзивно обради све датотеке у поддиректоријумима.
• -qСпречава исписивање грешака (тихи режим), идеално за велике скрипте или када не желимо да конзола буде испуњена понављајућим порукама.
• : Можете навести или име одређене датотеке или фасцикле (да бисте ревидирали све датотеке у њој), или образац са џокерима.

Практични примери:

• Да бисте навели кориснике који могу да приступе свим шифрованим .docx датотекама у вашој фасцикли са документима:

  efsdump C:\Users\MiUsuario\Documents\*.docx

• Да бисте ревидирали целу фасциклу и њене подфасцикле:

  efsdump -s C:\DataCifrada

• Да бисте покренули команду без порука о грешкама, идеално за скриптовање:

  efsdump -q -s C:\CarpetaSegura

Унутрашње операције и NTFS структуре

EFSDump ради директно на датотекама сачуваним на NTFS партицијама, користећи предности интерних поља у заглављу сваке шифроване датотеке.

У NTFS-у, свака EFS-ом заштићена датотека садржи две кључне структуре:

• DDF (Поља за дешифровање података): Они чувају кључеве за шифровање датотека, шифроване јавним кључем сваког овлашћеног корисника. Ево стварне листе људи који могу директно да приступе садржају, без поседовања системског кључа.
• DRF (Поља за опоравак података): Они укључују шифроване FEK кључеве, али овај пут са јавним кључем агената за опоравак, тј. налога које је администратор унапред одредио за хитне ситуације или опоравак података.

Компатибилност и захтеви EFSDump-а

Алат Креирао га је Марк Русинович, један од најпознатијих Windows програмера на свету и оснивач компаније Sysinternals. Иако је првобитно дизајниран за Windows 2000, овај услужни програм остаје савршено важећи у много новијим окружењима:

• Купци: Ради на оперативном систему Windows Vista и новијим верзијама, укључујући тренутне верзије попут Windows 10 и 11.
• Сервери: Компатибилан је са Windows Server 2008 и новијим верзијама.

Не захтева инсталацију, не мења регистар и не оставља никакве трагове на систему: само распакујте извршну датотеку и отворите командни прозор са дозволама за читање датотека које желите да ревидирате. Да бисте разумели друге алате за анализу, можете прегледати и Како користити Виндбг.

Повезани чланак:

Како користити WinDbg за анализу датотека дамп система и решавање BSOD грешака

Исак

Страствени писац о свету бајтова и технологије уопште. Волим да делим своје знање кроз писање, и то је оно што ћу радити на овом блогу, показивати вам све најзанимљивије ствари о гаџетима, софтверу, хардверу, технолошким трендовима и још много тога. Мој циљ је да вам помогнем да се крећете у дигиталном свету на једноставан и забаван начин.