EFSDump：它是什麼，它有什麼用處，以及如何深入使用這個 Sysinternals 工具。

擔心誰實際上可以存取 Windows 中的加密檔案？ 如果您曾經管理過基於 NTFS 的系統，或者想知道如何確保敏感資料不被未經授權的使用者獲取，那麼您可能聽說過加密檔案系統 (EFS)，它是 Windows 中最強大但透明度最低的功能之一。然而，如果您僅限於使用傳統的圖形工具，那麼弄清楚哪些用戶有權讀取加密檔案可能會非常令人頭痛。這就是 EFS 的作用所在。 EFSDump，Sysinternals 套件特有的實用程序，可簡化對受保護文件的權限審計。

在本文中，我將詳細解釋 EFSDump 是什麼、它有什麼用途、它的內部工作原理以及何時它可以在系統管理中拯救您的生命。 無論您是 IT 專業人士、致力於安全工作，還是希望了解 EFS 訪問控制所有細節的高級用戶，這本西班牙語指南都包含最全面、最實用的內容，整合了來自技術來源的所有相關信息，並提供清晰、結構化的建議。準備好掌握這款工具，真正掌控 Windows 中的資料保護。

EFSDump 是什麼以及它有什麼用途？

EFSDump 是由 Sysinternals（現為 Microsoft 的一部分）開發的小型命令列實用程序，它誕生的目的非常簡單：立即自動顯示可以存取 NTFS 磁碟區上的 EFS 加密檔案的帳戶清單（使用者和復原代理程式）。 在 EFSDump 出現之前，如果您想要審核多個檔案或目錄的 EFS 權限，您必須透過 Windows 資源管理器逐一瀏覽每個檔案的進階屬性標籤 - 在處理大量資料時，這是一個手動、繁瑣且極容易出錯的過程。

謝謝 EFSDump 您可以直接從控制台快速批次執行此操作，按名稱、副檔名進行篩選，甚至可以將通配符套用至路徑。它本質上是一個精確而直接的解決方案，適用於企業或個人環境中任何加密文件的存取審查或審計任務。

從官方入口網站下載 微軟系統內部它是免費的，下載量不到 200 KB。

背景：Windows 中的 EFS 及其問題

從 窗戶2000 被介紹 加密檔案系統 (EFS) 在 NTFS 中，使用者可以保護敏感資訊不被窺探。 EFS 的內部工作原理非常細緻：每個加密檔案在其檔案頭中都整合了我們稱之為「秘密欄位」（DDF 和 DRF）的部分，其中 文件加密金鑰（FEK） 由每個授權用戶透過公鑰加密保護，並且 復健營 與公司政策指定的追償代理相關聯。

那意味著 可能有多個使用者和多個代理程式對每個加密檔案具有有效存取權限僅僅文件是「綠色」的或您是所有者是不夠的：管理員可能會因為失誤或疏忽而無意中授予其他使用者或服務的存取權限。這時，EFSDump 就成為理想的盟友，它允許您列出 快速獲得所有有效許可證 與每個加密檔案相關聯。

EFSDump 提供什麼資訊？

當你跑步 EFSDump 在一個文件或一組文件上，你會得到 清除與該文件加密相關的所有使用者、服務帳戶和恢復代理程式的列表在內部，該實用程式使用特定的 API 來提取數據 查詢加密文件用戶，這實際上是透過「讀取」NTFS 標頭元資料來找出誰可以解密內容。

因此，該工具會向您提供以下資訊：

• 可直接存取加密文件的用戶 （最初加密的人或被授予額外存取權限的人）
• 預定義恢復代理 （在本機安全性原則中配置或由系統管理員配置）
• 每個帳戶的身份 （名稱以及相關的安全識別碼或 SID）

這允許系統管理員和高級用戶 檢測錯誤配置、不必要的存取或潛在的漏洞 在為時已晚之前。

EFSDump 的主要功能

• 輕巧便攜： 無需安裝，只需從控制台直接下載並運行。
• 與現代版本的 Windows 相容： 它可以從 Windows Vista 和 Server 2008 開始使用。
• 允許您遞歸掃描整個目錄： 由於其 -s 參數，您可以審核整個資料夾和子資料夾結構而無需重複命令。
• 通配符支援： 可以輕鬆地透過副檔名選擇檔案（例如資料夾中所有加密的 .docx 檔案）。
• 清晰且易於解釋的輸出： 以有序的方式顯示帳戶、SID 和恢復代理，以用於審計或報告目的。
• 靜音模式： -q 參數可抑制錯誤訊息或警告，這對於將 EFSDump 整合到自動化腳本中很有用。

EFSDump 語法和參數

使用 EFSDump 相當簡單，但與任何控制台工具一樣，掌握其語法以充分利用它非常重要。

命令的一般格式：

efsdump   <archivo o directorio>

• -s：告訴 EFSDump 遞歸處理子目錄中的所有檔案。
• -q：抑制錯誤列印（靜默模式），非常適合大量腳本或當我們不希望控制台充滿重複訊息時。
• ： 您可以指定特定檔案或資料夾的名稱（以審核其中的所有檔案），或帶有通配符的模式。

實際例子：

• 列出可以存取文件資料夾中所有加密 .docx 檔案的使用者：

  efsdump C:\Users\MiUsuario\Documents\*.docx

• 要審核整個資料夾及其子資料夾：

  efsdump -s C:\DataCifrada

• 要運行命令而不出現錯誤訊息，非常適合編寫腳本：

  efsdump -q -s C:\CarpetaSegura

內部操作和 NTFS 結構

EFSDump 直接對儲存在 NTFS 分割區上的檔案進行操作，利用每個加密檔案頭中的內部欄位。

在 NTFS 中，每個受 EFS 保護的檔案都包含兩個關鍵結構：

• DDF（資料解密欄位）： 它們儲存檔案加密金鑰，並使用每個授權使用者的公鑰進行加密。以下是無需系統金鑰即可直接存取內容的實際人員清單。
• DRF（資料恢復欄位）： 它們包括加密的 FEK 金鑰，但這次帶有恢復代理程式的公鑰，即管理員為緊急情況或資料復原預先確定的帳戶。

EFSDump 相容性和要求

工具 它是由 Mark Russinovich 創建的他是全球最知名的 Windows 開發人員之一，也是 Sysinternals 的創辦人。雖然該實用程式最初是為 Windows 2000 設計的，但在更新的環境中仍然完美有效：

• 顧客： 適用於 Windows Vista 及更高版本，包括 Windows 10 和 11 等目前版本。
• 服務器： 它與 Windows Server 2008 及更高版本相容。

它無需安裝，無需修改註冊表，也不會在系統上留下任何痕跡：只需解壓縮可執行檔並打開一個命令窗口，並賦予您想要審計的文件讀取權限即可。要了解其他分析工具，您也可以查看 如何使用 Windbg.