Coup de projecteur sur les utilitaires : Sécuriser l'accès, sécuriser vos systèmes
L'utilitaire gratuit AccessChk vous permet de vous assurer que les systèmes de bureau sont sécurisés le plus possible en comparant les droits d'accès.
Lance Whitney
Sécurisation des serveurs et systèmes de bureau client est une priorité dans toute organisation. Il peut aussi être une tâche complexe nécessitant plusieurs outils et tactiques. Vous avez maintenant une autre flèche dans votre carquois de sécurité — un utilitaire Microsoft pratique appelé AccessChk, créé par le célèbre développeur de Windows Sysinternals Mark Russinovich.
AccessChk peut vous dire quels utilisateurs spécifiques d'autorisations et les groupes tenir différents fichiers, dossiers, clés de Registre, des services Windows et autres objets. C'est un moyen utile pour déterminer si vous devez serrer ou de restreindre l'accès à un de ces éléments pour s'assurer qu'un environnement de bureau ou un serveur local est aussi sécurisé que possible.
Télécharger AccessChk de sa page sur le site de Sysinternals. Vous trouverez également une brève description et un aperçu de l'utilitaire. Extrayez le fichier accesschk.zip téléchargé pour décharger les deux files—accesschk.exe, le fichier, vous devez exécuter l'utilitaire ; et eula.txt, le contrat de licence.
Comme tous les programmes de Sysinternals, il est inutile d'installer le programme. AccessChk est un utilitaire de ligne de commande, cependant, ainsi vous devrez ouvrir une invite de commandes pour exécuter le fichier exécutable. Pour la facilité d'utilisation, vous voudrez probablement stocker le fichier dans un dossier qui fait partie de votre déclaration de chemin d'accès, tels que Windows ou Windows\System32.
Tapez accesschk à la ligne de commande, par lui-même ou avec un / ? option pour afficher toutes les variables disponibles pour l'outil. Voici quelques-unes des façons base que vous pouvez utiliser la commande :
- Par dossier : accesschk de Type suivie d'un nom de dossier pour afficher les privilèges d'accès pour tous les groupes d'utilisateurs pour ce dossier spécifique et de ses sous-dossiers. Par exemple, c:\windows accesschk vous montre l'accès pour le dossier Windows et tous les sous-dossiers (voir Figure 1).
- Par la clé de Registre : ajouter l'option – k suivie du nom d'une clé de Registre pour afficher qui a accès à cette clé particulière. Par exemple, accesschk -k HKLM\software vous montre toutes les autorisations pour la clé de logiciel sous HKEY_LOCAL_MACHINE.
- Par service Windows : ajouter l'option – c suivie du nom d'un service Windows pour afficher la liste des utilisateurs ayant accès à ce service. Par exemple, accesschk –cnetlogon montre les privilèges pour le service Netlogon.
- Par groupe d'utilisateurs : accesschk de Type suivie par un groupe d'utilisateurs spécifique et le nom d'un dossier pour voir les niveaux d'autorisation pour ce groupe pour tous les objets dans le dossier spécifié. Par exemple, accesschk utilisateurs c:\windows vous montre les niveaux d'accès pour tous les membres du groupe « utilisateurs » pour le dossier de Windows et de ses sous-dossiers.
- Par utilisateur : accesscheck de Type suivie d'un nom d'utilisateur spécifique pour afficher les autorisations pour cet utilisateur. Par exemple, accesschk administrateur c:\windows montre les autorisations pour le compte de l'administrateur pour le dossier de Windows, tandis que l'administrateur accesschk -k HKLM\Software montre l'accès pour le compte de l'admin de la clé de logiciel sous HKEY_LOCAL_MACHINE.
.jpg)
La figure 1 Accesschk peut vous montrer qui a accès à un fichier particulier ou le dossier.
Vous pouvez également utiliser le * symbole avec certains de ces commandes pour afficher l'accès pour tous les éléments, au lieu de simplement celles qui le sont. Par exemple, accesschk * montre l'accès pour tous les objets dans le dossier actuel pour tous les utilisateurs, tout en accesschk – c * montre l'accès pour tous les services Windows.
Vous pouvez également utiliser l'option – s pour montrer récursive des autorisations pour le dossier spécifique et tous les sous-dossiers et fichiers, ou la clé de Registre spécifique et toutes les clés sous celui-ci. Par exemple, accesschk – s c:\ affiche les autorisations pour le lecteur C: ensemble, tandis qu'accesschk – s – k HKLM affiche l'accès pour toutes les clés sous HKEY_LOCAL_MACHINE.
Options d'accès
Ces variations sont quelques-unes des bases disponibles dans AccessChk. L'outil est capable d'afficher des informations encore plus. Vous pouvez trouver une liste complète à la page de Sysinternals ou en tapant accesschkat l'invite de commandes et en expérimentant avec différentes options. AccessChk affiche le nom de l'élément que vous avez spécifié et ses autorisations. Il y aura un r en face de l'élément si le compte a accès en lecture, W, s'il a accès en écriture et rien si n'a aucune autorisation.
Idéalement, vous devriez exécuter cet outil sur tous les systèmes de votre bureau. Au lieu d'utiliser l'approche sneakernet, vous pouvez inclure la commande et les options nécessaires dans un script de connexion ou d'autres processus automatisé pour s'exécuter sur chaque PC.
Pour enregistrer les résultats de l'accès pour tous vos PC en réseau dans les fichiers de texte individuels, simplement canaliser la sortie vers un fichier texte qui contient le nom de l'ordinateur. Par exemple, accesschk c:\windows > \\winserver\files\%computername%.txt pipes les résultats pour chaque PC individuel dans un fichier texte avec le nom de l'ordinateur et stocke ce fichier texte dans un partage de fichiers sur un serveur nommé winserver.
Comme un utilitaire de ligne de commande, AccessChk peut parfois être difficile à exécuter, surtout si vous avez besoin de combiner ou de définir des autorisations pour des objets spécifiques ou d'inclure plusieurs options à la fois. Pourtant, c'est un outil puissant capable de montrer vos niveaux d'accès à un niveau très granulaire. Cette information est très utile pour définir les niveaux d'accès appropriés et assurant que votre environnement est aussi sécuritaire et sécurisé que possible.
.jpg)
Lance Whitney est un écrivain, un formateur de consultant et de logiciels informatiques. Il a passé un nombre d'heures incalculable à affiner des postes de travail et serveurs Windows. À l'origine un journaliste, il a pris un bond aveugle en le monde dans le début des années 90.