EFSDump: มันคืออะไรและจะตรวจสอบไฟล์ที่เข้ารหัสใน Windows ได้อย่างไร

มันโดไบต์ » Windows » EFSDump: มันคืออะไร มีไว้เพื่ออะไร และวิธีใช้เครื่องมือ Sysinternals นี้ในเชิงลึก

EFSDump ช่วยให้คุณสามารถตรวจสอบการเข้าถึงไฟล์ที่เข้ารหัส EFS จากบรรทัดคำสั่งได้อย่างง่ายดาย คำสั่ง.
เป็นเครื่องมือที่น้ำหนักเบาและใช้งานง่ายซึ่งเข้ากันได้กับเวอร์ชันทันสมัย Windowsเหมาะสำหรับมืออาชีพที่จัดการความปลอดภัยในสภาพแวดล้อม NTFS.
บูรณาการตัวเลือกทรงพลังสำหรับการตรวจสอบสิทธิ์ของผู้ใช้และตัวแทนการกู้คืนที่เชื่อมโยงกับไฟล์ที่ได้รับการป้องกัน

กังวลว่าใครจะสามารถเข้าถึงไฟล์ที่เข้ารหัสของคุณใน Windows ได้จริงหรือไม่? หากคุณเคยจัดการระบบที่ใช้ NTFS หรือสงสัยว่าจะมั่นใจได้อย่างไรว่าข้อมูลสำคัญของคุณจะไม่เปิดเผยต่อผู้ใช้ที่ไม่ได้รับอนุญาต คุณคงเคยได้ยินเกี่ยวกับ Encrypting File System (EFS) ซึ่งเป็นหนึ่งในฟีเจอร์ที่ทรงพลังที่สุดแต่มีความโปร่งใสน้อยที่สุดของ Windows อย่างไรก็ตาม การหาว่าผู้ใช้คนใดมีสิทธิ์ในการอ่านไฟล์ที่เข้ารหัสอาจเป็นเรื่องปวดหัวได้จริง ๆ หากคุณจำกัดอยู่แค่เครื่องมือกราฟิกทั่วไป นี่คือที่มาของฟีเจอร์นี้ อีเอฟเอสดีดัมพ์ยูทิลิตี้ที่เฉพาะเจาะจงสำหรับชุด Sysinternals ที่ทำให้การตรวจสอบสิทธิ์บนไฟล์ที่ได้รับการป้องกันง่ายขึ้น

ในบทความนี้ ฉันจะอธิบายอย่างละเอียดว่า EFSDump คืออะไร มีไว้เพื่ออะไร ทำงานภายในอย่างไร และสามารถช่วยชีวิตคุณในการดูแลระบบได้เมื่อใด ไม่ว่าคุณจะเป็นผู้เชี่ยวชาญด้านไอที ผู้ทุ่มเทให้กับการรักษาความปลอดภัย หรือเพียงแค่ผู้ใช้ขั้นสูงที่ต้องการทำความเข้าใจทุกรายละเอียดของการควบคุมการเข้าถึง EFS นี่คือคู่มือภาษาสเปนที่ครอบคลุมและใช้งานได้จริงที่สุด ซึ่งรวบรวมข้อมูลที่เกี่ยวข้องทั้งหมดจากแหล่งทางเทคนิคและให้คำแนะนำที่ชัดเจนและเป็นระบบ เตรียมพร้อมที่จะเชี่ยวชาญเครื่องมือนี้และควบคุมการปกป้องข้อมูลของคุณใน Windows อย่างแท้จริง

EFSDump คืออะไรและใช้ทำอะไร?

EFSDump คือยูทิลิตี้บรรทัดคำสั่งขนาดเล็กที่พัฒนาโดย Sysinternals ซึ่งปัจจุบันเป็นส่วนหนึ่งของ Microsoft โดยเกิดมาด้วยวัตถุประสงค์ที่เรียบง่ายมาก นั่นคือการแสดงรายชื่อบัญชี (ผู้ใช้และตัวแทนการกู้คืน) ที่สามารถเข้าถึงไฟล์ที่เข้ารหัส EFS บนไดรฟ์ NTFS ได้ทันทีและโดยอัตโนมัติ ก่อนที่จะมี EFSDump มาถึง หากคุณต้องการตรวจสอบการอนุญาต EFS บนไฟล์หรือไดเร็กทอรีหลายไฟล์ คุณจะต้องนำทางผ่าน Windows Explorer และนำทางผ่านแท็บคุณสมบัติขั้นสูงของแต่ละไฟล์ทีละไฟล์ ซึ่งเป็นกระบวนการที่ต้องทำด้วยตนเอง น่าเบื่อ และเสี่ยงต่อข้อผิดพลาดอย่างยิ่งเมื่อต้องจัดการกับข้อมูลปริมาณมาก

วิธีการส่งออกโมเดล Blender สำหรับการพิมพ์ 3 มิติ

ตลอด อีเอฟเอสดีดัมพ์ คุณสามารถดำเนินการนี้ได้อย่างรวดเร็วและเป็นกลุ่มโดยตรงจากคอนโซล โดยกรองตามชื่อ นามสกุล หรือแม้แต่ใช้สัญลักษณ์ตัวแทนกับเส้นทาง โดยพื้นฐานแล้ว ถือเป็นโซลูชันที่ชัดเจนและตรงไปตรงมาสำหรับงานตรวจสอบหรือตรวจสอบการเข้าถึงไฟล์ที่เข้ารหัสในสภาพแวดล้อมขององค์กรหรือส่วนบุคคล

ดาวน์โหลดจากพอร์ทัลอย่างเป็นทางการของ ไมโครซอฟต์ ซิสอินเทอร์นัลฟรีและดาวน์โหลดขนาดน้อยกว่า 200 KB

บริบท: EFS ใน Windows และปัญหาของมัน

จาก หน้าต่าง 2000 ได้ถูกแนะนำ ระบบเข้ารหัสไฟล์ (EFS) ใน NTFS ช่วยให้ผู้ใช้ปกป้องข้อมูลสำคัญจากสายตาที่คอยสอดส่อง การทำงานภายในของ EFS ค่อนข้างพิถีพิถัน: ไฟล์ที่เข้ารหัสแต่ละไฟล์จะรวมไว้ในส่วนหัวซึ่งเราเรียกว่า "ฟิลด์ลับ" (DDF และ DRF) โดยที่ คีย์เข้ารหัสไฟล์ (FEK) ได้รับการปกป้องด้วยการเข้ารหัสคีย์สาธารณะโดยผู้ใช้ที่ได้รับอนุญาตแต่ละคนและ ค่ายฟื้นฟู ที่เกี่ยวข้องกับตัวแทนการกู้คืนที่ได้รับการกำหนดโดยนโยบายของบริษัท

นั่นหมายความว่า อาจมีผู้ใช้มากกว่าหนึ่งรายและตัวแทนมากกว่าหนึ่งรายที่มีสิทธิ์เข้าถึงไฟล์ที่เข้ารหัสแต่ละไฟล์ได้อย่างมีประสิทธิผลการที่ไฟล์เป็น "สีเขียว" หรือคุณเป็นเจ้าของนั้นไม่เพียงพอ ผู้ดูแลระบบอาจให้สิทธิ์การเข้าถึงแก่ผู้ใช้หรือบริการอื่น ๆ โดยไม่รู้ตัวผ่านความผิดพลาดหรือความประมาทเลินเล่อ นี่คือจุดที่ EFSDump กลายมาเป็นพันธมิตรที่เหมาะสมที่สุดโดยให้คุณแสดงรายการ ใบอนุญาตทั้งหมดที่มีประสิทธิผลอย่างรวดเร็ว ที่เกี่ยวข้องกับไฟล์ที่เข้ารหัสแต่ละไฟล์

EFSDump มีข้อมูลอะไรให้บ้าง?

เมื่อคุณเรียกใช้ อีเอฟเอสดีดัมพ์ ในไฟล์หรือชุดไฟล์ คุณจะได้รับ ล้างรายการผู้ใช้ บัญชีบริการ และตัวแทนการกู้คืนทั้งหมดที่เกี่ยวข้องกับการเข้ารหัสไฟล์นั้นภายในยูทิลิตี้จะดึงข้อมูลโดยใช้ API เฉพาะ QueryUsersOnEncryptedFileซึ่งเป็นสิ่งที่ “อ่านระหว่างบรรทัด” ของข้อมูลเมตาของส่วนหัว NTFS เพื่อค้นหาว่าใครสามารถถอดรหัสเนื้อหาได้

ดังนั้นเครื่องมือจึงนำเสนอข้อมูลต่างๆ ให้กับคุณ เช่น:

ผู้ใช้สามารถเข้าถึงไฟล์ที่เข้ารหัสได้โดยตรง (ผู้ที่เข้ารหัสไว้ตั้งแต่แรกหรือผู้ที่ได้รับสิทธิ์เข้าถึงเพิ่มเติม)
ตัวแทนการกู้คืนที่กำหนดไว้ล่วงหน้า (กำหนดค่าในนโยบายความปลอดภัยท้องถิ่นหรือโดยผู้ดูแลระบบ)
ตัวตนของแต่ละบัญชี (ชื่อและหากเกี่ยวข้อง รหัสความปลอดภัยหรือ SID)

วิธีง่ายๆ ในการบล็อกผู้ติดต่อของ Viber บน Android และ iPhone

ซึ่งจะช่วยให้ทั้งผู้ดูแลระบบและผู้ใช้ขั้นสูง ตรวจจับการกำหนดค่าที่ไม่ถูกต้อง การเข้าถึงที่ไม่ต้องการ หรือช่องโหว่ที่อาจเกิดขึ้น ก่อนที่จะสายเกินไป.

คุณสมบัติหลักของ EFSDump

น้ำหนักเบาและพกพาสะดวก: ไม่ต้องติดตั้ง เพียงดาวน์โหลดและรันโดยตรงจากคอนโซล
ใช้งานได้กับ Windows เวอร์ชันใหม่: สามารถใช้งานได้ตั้งแต่ Windows Vista และ Server 2008 ขึ้นไป
ช่วยให้คุณสามารถสแกนไดเรกทอรีทั้งหมดแบบซ้ำได้: ด้วยพารามิเตอร์ -s คุณสามารถตรวจสอบโครงสร้างโฟลเดอร์และโฟลเดอร์ย่อยทั้งหมดได้โดยไม่ต้องทำซ้ำคำสั่ง
การรองรับไวด์การ์ด: ช่วยให้เลือกไฟล์ตามนามสกุลไฟล์ได้ง่าย (เช่น ไฟล์ .docx ที่เข้ารหัสทั้งหมดในโฟลเดอร์)
ผลลัพธ์ที่สะอาดและตีความได้ง่าย: แสดงบัญชี SID และตัวแทนการกู้คืนตามลำดับเพื่อวัตถุประสงค์ในการตรวจสอบหรือการรายงาน
โหมดเงียบ: พารามิเตอร์ -q จะระงับข้อความแสดงข้อผิดพลาดหรือคำเตือน ซึ่งมีประโยชน์สำหรับการรวม EFSDump เข้าในสคริปต์อัตโนมัติ

ไวยากรณ์และพารามิเตอร์ EFSDump

การใช้ EFSDump นั้นค่อนข้างตรงไปตรงมา แต่เช่นเดียวกับเครื่องมือคอนโซลอื่นๆ สิ่งสำคัญคือต้องเชี่ยวชาญรูปแบบไวยากรณ์เพื่อให้ได้ประโยชน์สูงสุด

รูปแบบทั่วไปของคำสั่ง:

efsdump   <archivo o directorio>

-s: แจ้งให้ EFSDump ประมวลผลไฟล์ทั้งหมดในไดเร็กทอรีย่อยแบบย้อนกลับ
-q:ระงับการพิมพ์ข้อผิดพลาด (โหมดเงียบ) เหมาะสำหรับสคริปต์จำนวนมากหรือเมื่อเราไม่อยากให้คอนโซลเต็มไปด้วยข้อความที่ซ้ำซาก
- คุณสามารถระบุชื่อไฟล์หรือโฟลเดอร์ที่ต้องการ (เพื่อตรวจสอบไฟล์ทั้งหมดภายในนั้น) หรือรูปแบบพร้อมไวด์การ์ดก็ได้

ตัวอย่างการปฏิบัติ:

หากต้องการแสดงรายชื่อผู้ใช้ที่สามารถเข้าถึงไฟล์ .docx ที่เข้ารหัสทั้งหมดในโฟลเดอร์เอกสารของคุณ:
```
efsdump C:\Users\MiUsuario\Documents\*.docx
```
การตรวจสอบโฟลเดอร์ทั้งหมดและโฟลเดอร์ย่อย:
```
efsdump -s C:\DataCifrada
```
การรันคำสั่งโดยไม่แสดงข้อความแสดงข้อผิดพลาด เหมาะสำหรับการเขียนสคริปต์:
```
efsdump -q -s C:\CarpetaSegura
```

การทำงานภายในและโครงสร้าง NTFS

EFSDump ทำงานโดยตรงบนไฟล์ที่เก็บอยู่ในพาร์ติชั่น NTFS โดยใช้ประโยชน์จากฟิลด์ภายในในส่วนหัวของไฟล์ที่เข้ารหัสแต่ละไฟล์

ใน NTFS ไฟล์ที่ได้รับการป้องกันด้วย EFS แต่ละไฟล์จะประกอบด้วยโครงสร้างหลักสองประการ:

DDF (ฟิลด์การถอดรหัสข้อมูล): พวกเขาจัดเก็บคีย์การเข้ารหัสไฟล์ซึ่งเข้ารหัสด้วยคีย์สาธารณะของผู้ใช้ที่ได้รับอนุญาตแต่ละราย นี่คือรายชื่อบุคคลที่สามารถเข้าถึงเนื้อหาได้โดยตรงโดยไม่ต้องใช้คีย์ระบบ
DRF (ฟิลด์การกู้คืนข้อมูล): ซึ่งรวมถึงคีย์ FEK ที่เข้ารหัส แต่คราวนี้มาพร้อมกับคีย์สาธารณะของตัวแทนการกู้คืน นั่นคือ บัญชีที่ผู้ดูแลระบบกำหนดไว้ล่วงหน้าสำหรับสถานการณ์ฉุกเฉินหรือการกู้คืนข้อมูล

เหตุใด Smart TV ของฉันจึงปิดเครื่องเอง? ทุกสาเหตุและวิธีแก้ไข

ความเข้ากันได้และข้อกำหนดของ EFSDump

เครื่องมือ มันถูกสร้างขึ้นโดย Mark Russinovichหนึ่งในนักพัฒนาระบบ Windows ที่มีชื่อเสียงที่สุดในโลกและเป็นผู้ก่อตั้ง Sysinternals แม้ว่าเดิมทีจะออกแบบมาสำหรับ Windows 2000 แต่ยูทิลิตี้นี้ยังคงใช้งานได้ดีในสภาพแวดล้อมที่ใหม่กว่ามาก:

ลูกค้า: ใช้งานได้บน Windows Vista และรุ่นใหม่กว่า รวมถึงเวอร์ชันปัจจุบัน เช่น Windows 10 และ 11
เซิร์ฟเวอร์: เข้ากันได้กับ Windows Server 2008 ขึ้นไป

ไม่จำเป็นต้องติดตั้ง ไม่ต้องแก้ไขรีจิสทรี และไม่ทิ้งร่องรอยใดๆ ไว้ในระบบ เพียงแค่แตกไฟล์ปฏิบัติการและเปิดหน้าต่างคำสั่งพร้อมสิทธิ์การอ่านสำหรับไฟล์ที่คุณต้องการตรวจสอบ หากต้องการทำความเข้าใจเครื่องมือวิเคราะห์อื่นๆ คุณยังสามารถตรวจสอบได้ วิธีการใช้งาน Windbg.

บทความที่เกี่ยวข้อง:

วิธีใช้ WinDbg เพื่อวิเคราะห์ไฟล์ดัมพ์และแก้ไขข้อผิดพลาด BSOD

ไอแซก

นักเขียนผู้หลงใหลเกี่ยวกับโลกแห่งไบต์และเทคโนโลยีโดยทั่วไป ฉันชอบแบ่งปันความรู้ผ่านการเขียน และนั่นคือสิ่งที่ฉันจะทำในบล็อกนี้ เพื่อแสดงให้คุณเห็นสิ่งที่น่าสนใจที่สุดเกี่ยวกับอุปกรณ์ ซอฟต์แวร์ ฮาร์ดแวร์ แนวโน้มทางเทคโนโลยี และอื่นๆ เป้าหมายของฉันคือการช่วยคุณนำทางโลกดิจิทัลด้วยวิธีที่เรียบง่ายและสนุกสนาน