AccessChk v6.15
Autor: Mark Russinovich
Opublikowano: 11 maja 2022 r.
Pobierz plik AccessChk (1 MB)
Uruchom teraz z programu Sysinternals Live.
Wprowadzenie
W ramach zapewnienia, że administratorzy systemu Windows utworzyli bezpieczne środowisko, często muszą wiedzieć, jakiego rodzaju dostęp do określonych użytkowników lub grup muszą mieć zasoby, w tym pliki, katalogi, klucze rejestru, obiekty globalne i usługi systemu Windows. Program AccessChk szybko odpowiada na te pytania za pomocą intuicyjnego interfejsu i danych wyjściowych.
Instalacja
AccessChk to program konsoli. Skopiuj plik AccessChk na ścieżkę wykonywalną. Wpisanie "accesschk" wyświetla jego składnię użycia.
Korzystanie z zestawu AccessChk
Usage:
accesschk [-s][-e][-u][-r][-w][-n][-v]-[f <account>,...][[-a]|[-k]|[-p [-f] [-t]]|[-h][-o [-t <object type>]][-c]|[-d]] [[-l [-i]]|[username]] <file, directory, registry key, process, service, object>
| Parametr | Opis |
|---|---|
| -a | Nazwa to prawo do konta systemu Windows. Określ "*" jako nazwę, aby wyświetlić wszystkie prawa przypisane do użytkownika. Należy pamiętać, że po określeniu określonego prawa wyświetlane są tylko grupy i konta bezpośrednio przypisane do prawa. |
| -c | Nazwa to usługa systemu Windows, np. ssdpsrv. Określ "*" jako nazwę, aby wyświetlić wszystkie usługi i scmanager sprawdzić zabezpieczenia Menedżera kontroli usług. |
| -d | Tylko katalogi procesów lub klucze najwyższego poziomu |
| -e | Pokaż tylko jawnie ustawione poziomy integralności (tylko system Windows Vista i nowsze) |
| -f | W przypadku wykonania poniższej -pinstrukcji są wyświetlane pełne informacje o tokenie procesu, w tym o grupach i uprawnieniach. W przeciwnym razie jest to lista kont rozdzielonych przecinkami do filtrowania z danych wyjściowych. |
| -h | Nazwa to udział plików lub drukarek. Określ "*" jako nazwę, aby wyświetlić wszystkie udziały. |
| -i | Ignoruj obiekty z dziedziczonej kontroli dostępu tylko podczas dumpingu pełnych list kontroli dostępu. |
| -k | Nazwa to klucz rejestru, np. hklm\software |
| -l | Pokaż deskryptor pełnego zabezpieczeń. Dodaj -i polecenie , aby zignorować dziedziczone acEs. |
| -n | Pokaż tylko obiekty, które nie mają dostępu |
| -o | Nazwa jest obiektem w przestrzeni nazw Menedżera obiektów (wartość domyślna to katalog główny). Aby wyświetlić zawartość katalogu, określ nazwę z ukośnikiem odwrotnym lub dodaj element -s. Dodaj -t i typ obiektu (np. sekcję), aby wyświetlić tylko obiekty określonego typu. |
| -p | Nazwa to nazwa procesu lub piD, np. cmd.exe (określ "*" jako nazwę, aby wyświetlić wszystkie procesy). Dodaj -f , aby wyświetlić pełne informacje o tokenie procesu, w tym grupy i uprawnienia. Dodaj -t , aby pokazać wątki. |
| -nobanner | Nie wyświetlaj baneru startowego i wiadomości o prawach autorskich. |
| -r | Pokaż tylko obiekty, które mają dostęp do odczytu |
| -s | Recurse |
| -t | Filtr typu obiektu, np. "section" |
| -u | Pomijanie błędów |
| -v | Pełne (obejmuje poziom integralności systemu Windows Vista) |
| -w | Pokaż tylko obiekty, które mają dostęp do zapisu |
Jeśli określisz nazwę użytkownika lub grupę i ścieżkę, program AccessChk zgłosi obowiązujące uprawnienia dla tego konta; w przeciwnym razie pokaże skuteczny dostęp dla kont przywoływalnych w deskryptorze zabezpieczeń.
Domyślnie nazwa ścieżki jest interpretowana jako ścieżka systemu plików (użyj prefiksu "\pipe\" , aby określić nazwaną ścieżkę potoku). W przypadku każdego obiektu program AccessChk drukuje R , jeśli konto ma dostęp do odczytu, W dostęp do zapisu i nic, jeśli nie ma żadnego z nich. Przełącznik -v ma zrzut AccessChk określone dostępy przyznane do konta.
Przykłady
Następujące polecenie zgłasza dostęp do plików i katalogów na koncie Power Users w programie \Windows\System32:
accesschk "power users" c:\windows\system32
To polecenie pokazuje, do których usług systemu Windows należących do grupy Użytkownicy mają dostęp do zapisu:
accesschk users -cw *
Aby zobaczyć, jakie klucze rejestru w HKLM\CurrentUser ramach określonego konta nie mają dostępu do:
accesschk -kns austin\mruss hklm\software
Aby wyświetlić zabezpieczenia klucza HKLM\Software:
accesschk -k hklm\software
Aby wyświetlić wszystkie pliki w obszarze \Users\Mark w systemie Vista, które mają jawny poziom integralności:
accesschk -e -s c:\users\mark
Aby wyświetlić wszystkie obiekty globalne, które wszyscy mogą modyfikować:
accesschk -wuo everyone \basednamedobjects
Pobierz plik AccessChk (1 MB)
Uruchom teraz z programu Sysinternals Live.