AccessChk v6.15
作成者: Mark Russinovich
公開日: 2022 年 5 月 11 日
AccessChk をダウンロード(1 MB)
Sysinternals Live から今すぐ実行します。
はじめに
Windows 管理者は通常、セキュリティで保護された環境が作成されていることを確認する作業の一環として、ファイル、ディレクトリ、レジストリ キー、グローバル オブジェクト、Windows サービスなどのリソースに対して特定のユーザーまたはグループがどのようなアクセス権を持っているのか把握する必要があります。 AccessChk を使用すると、直感的なインターフェイスと出力によってこうした質問の答えをすばやく得ることができます。
インストール
AccessChk はコンソール プログラムです。 AccessChk を実行可能パスにコピーします。 「accesschk」と入力すると、その使用法の構文が表示されます。
AccessChk の使用
使用法:
accesschk [-s][-e][-u][-r][-w][-n][-v]-[f <account>,...][[-a]|[-k]|[-p [-f] [-t]]|[-h][-o [-t <object type>]][-c]|[-d]] [[-l [-i]]|[username]] <file, directory, registry key, process, service, object>
| パラメーター | 説明 |
|---|---|
| -a | 名前は Windows アカウントの権限です。 ユーザーに割り当てられているすべての権限を表示するには、名前として "*" を指定します。 特定の権限を指定する場合は、その権限に直接割り当てられたグループとアカウントのみが表示されることに注意してください。 |
| -c | 名前は Windows サービス (例: ssdpsrv) です。 すべてのサービスを表示する場合は名前として "*" を指定し、サービス コントロール マネージャーのセキュリティをチェックする場合は scmanager を指定します。 |
| -d | ディレクトリまたは最上位のキーのみが処理されます |
| -e | 明示的に設定された整合性レベルのみが表示されます (Windows Vista 以降のみ) |
| -f | 下の -p を指定した場合、グループと特権を含む完全なプロセス トークン情報が表示されます。 それ以外の場合は、出力からフィルター処理できる、コンマ区切りのアカウント一覧が表示されます。 |
| -h | 名前は、ファイルまたはプリンターの共有です。 すべての共有を表示するには、名前として "*" を指定します。 |
| -i | 完全なアクセス制御リストをダンプするときに、継承された ACE のみを持つオブジェクトが無視されます。 |
| -k | 名前はレジストリ キーです (例: hklm\software)。 |
| -l | 完全なセキュリティ記述子が表示されます。 継承された ACE を無視するには、-i を追加します。 |
| -n | アクセス権のないオブジェクトのみが表示されます |
| -o | 名前は、オブジェクト マネージャーの名前空間内のオブジェクトです (既定値は root)。 ディレクトリの内容を表示するには、名前を指定して末尾に円記号を付けるか、-s を追加します。 特定の種類のオブジェクトのみを表示するには、-t とオブジェクトの種類 (例: セクション) を追加します。 |
| -p | 名前はプロセス名または PID (例: cmd.exe) です (すべてのプロセスを表示するには、名前として "*" を指定します)。 グループと特権を含む完全なプロセス トークン情報を表示するには、-f を追加します。 スレッドを表示するには、-t を追加します。 |
| -nobanner | スタートアップ バナーと著作権メッセージを表示しないでください。 |
| -r | 読み取りアクセス権を持つオブジェクトのみが表示されます |
| -s | Recurse |
| -t | オブジェクトの種類のフィルター (例: "section") |
| -u | エラーが抑制されます |
| -v | 詳細 (Windows Vista の整合性レベルを含む) |
| -w | 書き込みアクセス権を持つオブジェクトのみが表示されます |
ユーザーまたはグループの名前とパスを指定すると、AccessChk によってそのアカウントの有効なアクセス許可が報告されます。それ以外の場合は、セキュリティ記述子で参照されているアカウントの有効なアクセス権が表示されます。
既定では、パス名はファイル システム パスとして解釈されます (名前付きパイプ パスを指定するには、"\pipe\" プレフィックスを使用します)。 オブジェクトごとに、アカウントに読み取りアクセス権がある場合は R、書き込みアクセス権がある場合は W が出力され、どちらもない場合は何も出力されません。 -v スイッチを指定すると、アカウントに付与された特定のアクセス権が AccessChk によってダンプされます。
例
次のコマンドは、\Windows\System32 にあるファイルとディレクトリに対して Power Users アカウントが持つアクセス権を報告します。
accesschk "power users" c:\windows\system32
このコマンドは、Users グループのどの Windows サービス メンバーが書き込みアクセス権を持っているかを示します。
accesschk users -cw *
特定のアカウントがアクセス権を持たない、HKLM\CurrentUser のレジストリ キーを確認するには:
accesschk -kns austin\mruss hklm\software
HKLM\Software キーのセキュリティを確認するには:
accesschk -k hklm\software
明示的な整合性レベルを持つ、Vista 上の \Users\Mark にあるすべてのファイルを表示するには:
accesschk -e -s c:\users\mark
すべてのユーザーが変更できるすべてのグローバル オブジェクトを表示するには:
accesschk -wuo everyone \basednamedobjects
AccessChk をダウンロード(1 MB)
Sysinternals Live から今すぐ実行します。