Утилита командной строки EFSDump
Начиная с Windows 2000, Microsoft предоставляет пользователям возможность шифровать файлы на жестких дисках серверов и рабочих станций, чтобы обеспечить дополнительный уровень защиты сверх стандартного предоставления прав NTFS. В случае использования EFS, даже если несанкционированный пользователь сможет получить физический доступ к зашифрованному файлу, он все равно не сможет прочитать содержимое файла. После того как пользователь зашифровал папку или файл, процесс доступа становится практически совершенно прозрачным. Санкционированному пользователю не нужно предпринимать никаких дополнительных шагов по дешифровке файла, перед тем как его открыть.
Подобно установке прав доступа к папкам и файлам, хорошей практикой является использование наследования (inheritance) при включении механизма шифрования папок и файлов. Вместо шифрования отдельных файлов, лучше шифровать всю папку, так чтобы любые создаваемые файлы или копируемые в эту папку шифровались бы автоматически.
EFSDump - еще одна свободно распространяемая утилита Sysinternals, ко-орая показывает кто имеет доступ к зашифрованным папкам или файлам. В отличие от AccessEnum, это средство является утилитой командной строки, которая имеет синтаксис, приведенный в следующем примере:
- sdump [-s] -[q] <file/directory path>
Ключ -s приводит к рекурсивному проходу EFSDump по подкаталогам ка-иога, выбранного для сканирования. Ключ -q переводит работу EFSDump в котором в процессе выполнения не выводится сообщений об ошибках.
Если EFSDump обнаруживает зашифрованный файл, который удовлетворяет заданным критериям, то выводит следующую информацию:
- Элементы Data Decryption Field (DDF) перечисляют пользователей, имеющих санкцию на дешифровку зашифрованного файла.
- Элементы Data Recover Field (DRF) перечисляют пользователей, сконфигурированных в качестве агентов Data Recovery Agents для зашифрованного файла.