EFSDump:它是什么,它有什么用途,以及如何深入使用这个 Sysinternals 工具。

最后更新: 06/06/2025
作者: 艾萨克
  • EFSDump 允许您从命令行轻松审核对 EFS 加密文件的访问。 comandos.
  • 它是一款轻量级、简单的工具,与现代版本的 Windows非常适合管理环境安全的专业人士 NTFS.
  • 它集成了强大的选项,用于审查与受保护文件相关的用户权限和恢复代理。

esdump 担心谁实际上可以访问 Windows 中的加密文件? 如果您曾经管理过基于 NTFS 的系统,或者想知道如何确保敏感数据不被未经授权的用户获取,那么您可能听说过加密文件系统 (EFS),它是 Windows 中最强大但透明度最低的功能之一。然而,如果您仅限于使用传统的图形工具,那么弄清楚哪些用户有权读取加密文件可能会非常令人头疼。这就是 EFS 的作用所在。 EFSD转储,Sysinternals 套件特有的实用程序,可简化对受保护文件的权限审计。

在本文中,我将详细解释 EFSDump 是什么、它有什么用途、它的内部工作原理以及它何时可以在系统管理中拯救您的生命。 无论您是 IT 专业人士、致力于安全工作,还是希望了解 EFS 访问控制所有细节的高级用户,这本西班牙语指南都包含最全面、最实用的内容,整合了来自技术来源的所有相关信息,并提供清晰、结构化的建议。准备好掌握这款工具,真正掌控 Windows 中的数据保护。

EFSDump 是什么以及它有什么用途?

EFSDump 是由 Sysinternals(现为 Microsoft 的一部分)开发的一个小型命令行实用程序,它诞生的目的非常简单:立即自动显示可以访问 NTFS 卷上的 EFS 加密文件的帐户列表(用户和恢复代理)。 在 EFSDump 出现之前,如果您想审核多个文件或目录的 EFS 权限,您必须通过 Windows 资源管理器逐个浏览每个文件的高级属性选项卡 - 在处理大量数据时,这是一个手动、繁琐且极容易出错的过程。

  如何导出 Blender 模型用于 3D 打印

由于 EFSD转储 您可以直接从控制台快速批量执行此操作,按名称、扩展名进行筛选,甚至可以将通配符应用于路径。它本质上是一个精确而直接的解决方案,适用于企业或个人环境中任何加密文件的访问审查或审计任务。

从官方门户下载 微软系统内部它是免费的,下载量不到 200 KB。

背景:Windows 中的 EFS 及其问题

Windows 2000加密文件系统 (EFS) 在 NTFS 中,用户可以保护敏感信息不被窥探。EFS 的内部工作原理非常细致:每个加密文件在其文件头中都集成了我们称之为“秘密字段”(DDF 和 DRF)的部分,其中 文件加密密钥(FEK) 由每个授权用户通过公钥加密保护,并且 康复营 与公司政策指定的追偿代理相关联。

那意味着 可能有多个用户和多个代理对每个加密文件具有有效访问权限仅仅文件是“绿色”的或您是所有者是不够的:管理员可能会因为失误或疏忽而无意中授予其他用户或服务的访问权限。这时,EFSDump 就成为理想的盟友,它允许您列出 快速获得所有有效许可证 与每个加密文件相关联。

EFSDump 提供什么信息?

当你跑步 EFSD转储 在一个文件或一组文件上,你会得到 清除与该文件加密相关的所有用户、服务帐户和恢复代理的列表在内部,该实用程序使用特定的 API 提取数据 查询加密文件用户,这实际上是通过“读懂”NTFS 标头元数据来找出谁可以解密内容。

因此,该工具会向您提供以下信息:

  • 可直接访问加密文件的用户 (最初加密的人或被授予额外访问权限的人)
  • 预定义恢复代理 (在本地安全策略中配置或由系统管理员配置)
  • 每个账户的身份 (名称以及相关的安全标识符或 SID)
  在 Android 和 iPhone 上阻止 Viber 联系人的简单方法

这允许系统管理员和高级用户 检测错误配置、不必要的访问或潜在的漏洞 在为时已晚之前。

EFSDump 的主要功能

  • 轻巧便携: 无需安装,只需从控制台直接下载并运行。
  • 与现代版本的 Windows 兼容: 它可以从 Windows Vista 和 Server 2008 开始使用。
  • 允许您递归扫描整个目录: 由于其 -s 参数,您可以审核整个文件夹和子文件夹结构而无需重复命令。
  • 通配符支持: 可以轻松地通过扩展名选择文件(例如文件夹中所有加密的 .docx 文件)。
  • 清晰且易于解释的输出: 以有序的方式显示帐户、SID 和恢复代理,以用于审计或报告目的。
  • 莫多沉默: -q 参数可抑制错误消息或警告,这对于将 EFSDump 集成到自动化脚本中很有用。

EFSDump 语法和参数

使用 EFSDump 相当简单,但与任何控制台工具一样,掌握其语法以充分利用它非常重要。

命令的一般格式:

efsdump   <archivo o directorio>
  • -s:告诉 EFSDump 递归处理子目录中的所有文件。
  • -q:抑制错误打印(静默模式),非常适合大量脚本或当我们不希望控制台充满重复消息时。
  • 您可以指定特定文件或文件夹的名称(以审核其中的所有文件),或带有通配符的模式。

实际例子:

  • 列出可以访问文档文件夹中所有加密 .docx 文件的用户: 
    efsdump C:\Users\MiUsuario\Documents\*.docx
  • 要审核整个文件夹及其子文件夹: 
    efsdump -s C:\DataCifrada
  • 要运行命令而不出现错误消息,非常适合编写脚本: 
    efsdump -q -s C:\CarpetaSegura

内部操作和 NTFS 结构

EFSDump 直接对存储在 NTFS 分区上的文件进行操作,利用每个加密文件头中的内部字段。

在 NTFS 中,每个受 EFS 保护的文件都包含两个关键结构:

  • DDF(数据解密字段): 它们存储文件加密密钥,并使用每个授权用户的公钥进行加密。以下是无需系统密钥即可直接访问内容的实际人员列表。
  • DRF(数据恢复字段): 它们包括加密的 FEK 密钥,但这次带有恢复代理的公钥,即管理员为紧急情况或数据恢复预先确定的帐户。
  为什么我的智能电视会自动关闭?所有原因和解决方案

EFSDump 兼容性和要求

工具 它是由 Mark Russinovich 创建的他是全球最知名的 Windows 开发人员之一,也是 Sysinternals 的创始人。虽然该实用程序最初是为 Windows 2000 设计的,但在更新的环境中仍然完美有效:

  • 客户: 适用于 Windows Vista 及更高版本,包括 Windows 10 和 11 等当前版本。
  • 服务器: 它与 Windows Server 2008 及更高版本兼容。

它无需安装,无需修改注册表,也不会在系统上留下任何痕迹:只需解压可执行文件并打开一个命令窗口,并赋予您想要审计的文件读取权限即可。要了解其他分析工具,您还可以查看 如何使用 Windbg.

温德伯格
相关文章:
如何使用 WinDbg 分析转储文件并解决 BSOD 错误