EFSDump: Ano ito at kung paano i-audit ang mga naka-encrypt na file sa Windows

Mundobytes » Windows » EFSDump: Ano ito, para saan ito, at kung paano gamitin ang tool na ito ng Sysinternals nang malalim.

Binibigyang-daan ka ng EFSDump na madaling mag-audit ng access sa mga file na naka-encrypt ng EFS mula sa command line. comandos.
Ito ay isang magaan, prangka na tool na tugma sa mga modernong bersyon ng Windows, perpekto para sa mga propesyonal na namamahala ng seguridad sa mga kapaligiran NTFS.
Pinagsasama nito ang makapangyarihang mga opsyon para sa pagsusuri ng mga pahintulot ng user at mga ahente sa pagbawi na naka-link sa mga protektadong file.

Nag-aalala tungkol sa kung sino ang maaaring aktwal na ma-access ang iyong mga naka-encrypt na file sa Windows? Kung napamahalaan mo na ang mga system na nakabatay sa NTFS o nag-iisip kung paano masisigurong hindi nakalantad ang iyong sensitibong data sa mga hindi awtorisadong user, malamang na narinig mo na ang Encrypting File System (EFS), isa sa pinakamakapangyarihan ngunit hindi gaanong transparent na feature ng Windows. Gayunpaman, ang pag-alam kung aling mga user ang may mga pribilehiyong magbasa ng mga naka-encrypt na file ay maaaring maging isang tunay na sakit ng ulo kung ikaw ay limitado sa maginoo na mga graphical na tool. Dito papasok. EFSDump, isang utility na partikular sa Sysinternals suite na pinapasimple ang mga pahintulot sa pag-audit sa mga protektadong file.

Sa artikulong ito, ipapaliwanag ko nang detalyado kung ano ang EFSDump, para saan ito ginagamit, kung paano ito gumagana sa loob, at kung kailan nito maililigtas ang iyong buhay sa pangangasiwa ng system. Isa ka mang IT na propesyonal, nakatuon sa seguridad, o simpleng isang advanced na user na naghahanap upang maunawaan ang bawat detalye ng EFS access control, narito ang pinakakomprehensibo at praktikal na gabay sa Spanish, na isinasama ang lahat ng nauugnay na impormasyon mula sa mga teknikal na mapagkukunan at nagbibigay ng malinaw, structured na payo. Maghanda upang makabisado ang tool na ito at kontrolin ang iyong proteksyon ng data sa Windows.

Ano ang EFSDump at para saan ito ginagamit?

Ang EFSDump ay isang maliit na command-line utility na binuo ng Sysinternals, ngayon ay bahagi ng Microsoft, na ipinanganak na may napakasimpleng layunin: upang agad at awtomatikong ipakita ang listahan ng mga account (mga user at recovery agent) na maaaring mag-access ng mga file na naka-encrypt na EFS sa mga volume ng NTFS. Bago ang pagdating ng EFSDump, kung gusto mong i-audit ang mga pahintulot ng EFS sa maraming file o direktoryo, kailangan mong mag-navigate sa Windows Explorer at mag-navigate sa tab ng mga advanced na katangian ng bawat file nang paisa-isa—isang manu-mano, nakakapagod, at napakaraming error na proseso kapag nakikitungo sa malalaking volume ng data.

Lahat ng paggamit ng high contrast mode sa Windows 11

Sa pamamagitan ng EFSDump Magagawa mo ito nang mabilis at maramihan nang direkta mula sa console, pag-filter ayon sa mga pangalan, extension, o kahit na paglalapat ng mga wildcard na character sa mga path. Ito ay mahalagang isang tumpak at prangka na solusyon para sa anumang naka-encrypt na pagsusuri sa pag-access sa file o gawain sa pag-audit sa mga corporate o personal na kapaligiran.

I-download mula sa opisyal na portal ng Microsoft SysinternalsIto ay libre at ang pag-download ay mas mababa sa 200 KB.

Konteksto: EFS sa Windows at mga problema nito

Mula sa Windows 2000 ay ipinakilala Pag-encrypt ng File System (EFS) sa NTFS, na nagbibigay-daan sa mga user na protektahan ang sensitibong impormasyon mula sa prying eyes. Ang panloob na mga gawain ng EFS ay medyo maselan: ang bawat naka-encrypt na file ay isinasama sa header nito na matatawag nating "mga lihim na patlang" (DDF at DRF), kung saan ang file encryption keys (FEK) pinoprotektahan ng pampublikong key cryptography ng bawat awtorisadong gumagamit, at ang mga kampo ng pagbawi nauugnay sa mga ahente sa pagbawi na itinalaga ng mga patakaran ng kumpanya.

Ibig sabihin iyan Maaaring mayroong higit sa isang user at higit sa isang ahente na may epektibong access sa bawat naka-encrypt na file. Hindi sapat para sa isang file na maging "berde" o para ikaw ang may-ari: ang isang administrator ay maaaring hindi sinasadyang magbigay ng access sa iba pang mga user o serbisyo sa pamamagitan ng pagkakamali o kapabayaan. Ito ay kung saan ang EFSDump ay naging perpektong kaalyado sa pamamagitan ng pagpapahintulot sa iyong maglista mabilis lahat ng epektibong permit nauugnay sa bawat naka-encrypt na file.

Anong impormasyon ang ibinibigay ng EFSDump?

Kapag tumakbo ka EFSDump sa isang file o isang set ng mga ito, makakakuha ka ng isang malinaw na listahan ng lahat ng user, service account, at recovery agent na nauugnay sa pag-encrypt ng file na iyonSa panloob, kinukuha ng utility ang data gamit ang partikular na API QueryUsersOnEncryptedFile, na kung ano ang aktwal na "nagbabasa sa pagitan ng mga linya" ng NTFS header metadata upang malaman kung sino ang maaaring mag-decrypt ng nilalaman.

Samakatuwid, ang tool ay nagpapakita sa iyo ng impormasyon tulad ng:

Mga user na may direktang access sa naka-encrypt na file (yung mga orihinal na nag-encrypt nito o ang mga nabigyan ng karagdagang access)
Mga paunang natukoy na ahente sa pagbawi (na-configure sa lokal na patakaran sa seguridad o ng system administrator)
Pagkakakilanlan ng bawat account (pangalan at, kung saan nauugnay, ang security identifier o SID)

15 bagay na hindi mabibili ng pera

Pinapayagan nito ang parehong mga administrator ng system at mga advanced na user tuklasin ang mga maling pagsasaayos, hindi gustong pag-access, o mga potensyal na kahinaan bago pa huli ang lahat.

Mga pangunahing tampok ng EFSDump

Magaan at portable: Walang kinakailangang pag-install, i-download lang at direktang tumakbo mula sa console.
Tugma sa mga modernong bersyon ng Windows: Magagamit ito mula sa Windows Vista at Server 2008 pataas.
Binibigyang-daan kang i-scan ang buong direktoryo nang paulit-ulit: Salamat sa -s parameter nito, maaari mong i-audit ang buong folder at mga istruktura ng subfolder nang hindi inuulit ang mga utos.
Suporta sa wildcard: Pinapadali ang pagpili ng mga file ayon sa extension (hal. lahat ng naka-encrypt na .docx file sa isang folder).
Malinis at madaling maipaliwanag na output: Nagpapakita ng mga account, SID, at mga ahente sa pagbawi sa maayos na paraan para sa mga layunin ng pag-audit o pag-uulat.
Silent mode: Pinipigilan ng parameter na -q ang mga mensahe ng error o babala, na kapaki-pakinabang para sa pagsasama ng EFSDump sa mga automated na script.

Syntax at Parameter ng EFSDump

Ang paggamit ng EFSDump ay medyo diretso, ngunit tulad ng anumang console tool, mahalagang ma-master ang syntax nito upang masulit ito.

Pangkalahatang format ng command:

efsdump   <archivo o directorio>

-s: Sinasabi sa EFSDump na iproseso ang lahat ng mga file sa mga subdirectory nang paulit-ulit.
-q: Pinipigilan ang pag-print ng error (silent mode), mainam para sa napakalaking script o kapag hindi namin gustong mapuno ang console ng mga paulit-ulit na mensahe.
: Maaari mong tukuyin ang alinman sa pangalan ng isang partikular na file o isang folder (upang i-audit ang lahat ng mga file sa loob nito), o isang pattern na may mga wildcard.

Mga praktikal na halimbawa:

Upang ilista ang mga user na maaaring ma-access ang lahat ng naka-encrypt na .docx file sa iyong folder ng mga dokumento:
```
efsdump C:\Users\MiUsuario\Documents\*.docx
```
Upang i-audit ang isang buong folder at mga subfolder nito:
```
efsdump -s C:\DataCifrada
```
Upang patakbuhin ang utos nang walang mga mensahe ng error, perpekto para sa pag-script:
```
efsdump -q -s C:\CarpetaSegura
```

Panloob na operasyon at mga istruktura ng NTFS

Direktang gumagana ang EFSDump sa mga file na nakaimbak sa mga partisyon ng NTFS, sinasamantala ang mga panloob na field sa header ng bawat naka-encrypt na file.

Sa NTFS, ang bawat file na protektado ng EFS ay nagsasama ng dalawang pangunahing istruktura:

DDF (Data Decryption Fields): Nag-iimbak sila ng mga file encryption key, na naka-encrypt gamit ang pampublikong key ng bawat awtorisadong user. Narito ang aktwal na listahan ng mga taong maaaring direktang ma-access ang nilalaman, nang walang key ng system.
DRF (Data Recovery Fields): Kasama sa mga ito ang mga naka-encrypt na FEK key, ngunit sa pagkakataong ito ay may pampublikong key ng mga recovery agent, ibig sabihin, mga account na paunang natukoy ng administrator para sa mga emergency na sitwasyon o pagbawi ng data.

Paano I-restore ang WordPad sa Windows 11 Pagkatapos I-delete Ito

EFSDump Compatibility at Mga Kinakailangan

Ang tool Nilikha ito ni Mark Russinovich, isa sa mga pinakakilalang developer ng Windows sa mundo at tagapagtatag ng Sysinternals. Bagama't orihinal na idinisenyo para sa Windows 2000, ang utility ay nananatiling ganap na wasto sa mas bagong mga kapaligiran:

Mga Customer: Gumagana sa Windows Vista at mas bago, kabilang ang mga kasalukuyang bersyon tulad ng Windows 10 at 11.
Mga server: Ito ay katugma sa Windows Server 2008 at mas mataas.

Hindi ito nangangailangan ng pag-install, hindi binabago ang registry, at hindi nag-iiwan ng anumang mga bakas sa system: i-unzip lang ang executable at magbukas ng command window na may mga pahintulot sa pagbasa para sa mga file na gusto mong i-audit. Upang maunawaan ang iba pang mga tool sa pagsusuri, maaari mo ring suriin Paano gamitin ang Windbg.

Kaugnay na artikulo:

Paano gamitin ang WinDbg upang pag-aralan ang mga dump file at lutasin ang mga error sa BSOD

Isaac

Masigasig na manunulat tungkol sa mundo ng mga byte at teknolohiya sa pangkalahatan. Gustung-gusto kong ibahagi ang aking kaalaman sa pamamagitan ng pagsusulat, at iyon ang gagawin ko sa blog na ito, ipakita sa iyo ang lahat ng mga pinaka-kagiliw-giliw na bagay tungkol sa mga gadget, software, hardware, teknolohikal na uso, at higit pa. Ang layunin ko ay tulungan kang mag-navigate sa digital na mundo sa simple at nakakaaliw na paraan.