AccessChk v6.15

Autor: Mark Russinovich

Opublikowano: 11 maja 2022 r.

DownloadPobierz plik AccessChk(1 MB)
Uruchom teraz z programu Sysinternals Live.

Wprowadzenie

W ramach zapewnienia, że administratorzy systemu Windows utworzyli bezpieczne środowisko, często muszą wiedzieć, jakiego rodzaju dostęp do określonych użytkowników lub grup muszą mieć zasoby, w tym pliki, katalogi, klucze rejestru, obiekty globalne i usługi systemu Windows. Program AccessChk szybko odpowiada na te pytania za pomocą intuicyjnego interfejsu i danych wyjściowych.

Instalacja

AccessChk to program konsoli. Skopiuj plik AccessChk na ścieżkę wykonywalną. Wpisanie "accesschk" wyświetla jego składnię użycia.

Korzystanie z zestawu AccessChk

Usage:

accesschk [-s][-e][-u][-r][-w][-n][-v]-[f <account>,...][[-a]|[-k]|[-p [-f] [-t]]|[-h][-o [-t <object type>]][-c]|[-d]] [[-l [-i]]|[username]] <file, directory, registry key, process, service, object>
Parametr Opis
-a Nazwa to prawo do konta systemu Windows. Określ "*" jako nazwę, aby wyświetlić wszystkie prawa przypisane do użytkownika. Należy pamiętać, że po określeniu określonego prawa wyświetlane są tylko grupy i konta bezpośrednio przypisane do prawa.
-c Nazwa to usługa systemu Windows, np. ssdpsrv. Określ "*" jako nazwę, aby wyświetlić wszystkie usługi i scmanager sprawdzić zabezpieczenia Menedżera kontroli usług.
-D Tylko katalogi procesów lub klucze najwyższego poziomu
-E Pokaż tylko jawnie ustawione poziomy integralności (tylko system Windows Vista i nowsze)
-F W przypadku wykonania poniższej -pinstrukcji są wyświetlane pełne informacje o tokenie procesu, w tym o grupach i uprawnieniach. W przeciwnym razie jest to lista kont rozdzielonych przecinkami do filtrowania z danych wyjściowych.
-h Nazwa to udział plików lub drukarek. Określ "*" jako nazwę, aby wyświetlić wszystkie udziały.
-i Ignoruj obiekty z dziedziczonej kontroli dostępu tylko podczas dumpingu pełnych list kontroli dostępu.
-K Nazwa to klucz rejestru, np. hklm\software
-L Pokaż deskryptor pełnego zabezpieczeń. Dodaj -i polecenie , aby zignorować dziedziczone acEs.
-n Pokaż tylko obiekty, które nie mają dostępu
-o Nazwa jest obiektem w przestrzeni nazw Menedżera obiektów (wartość domyślna to katalog główny). Aby wyświetlić zawartość katalogu, określ nazwę z ukośnikiem odwrotnym lub dodaj element -s. Dodaj -t i typ obiektu (np. sekcję), aby wyświetlić tylko obiekty określonego typu.
-P Nazwa to nazwa procesu lub piD, np. cmd.exe (określ "*" jako nazwę, aby wyświetlić wszystkie procesy). Dodaj -f , aby wyświetlić pełne informacje o tokenie procesu, w tym grupy i uprawnienia. Dodaj -t , aby pokazać wątki.
-nobanner Nie wyświetlaj baneru startowego i wiadomości o prawach autorskich.
-r Pokaż tylko obiekty, które mają dostęp do odczytu
-s Recurse
-T Filtr typu obiektu, np. "section"
-U Pomijanie błędów
-v Pełne (obejmuje poziom integralności systemu Windows Vista)
-W Pokaż tylko obiekty, które mają dostęp do zapisu

Jeśli określisz nazwę użytkownika lub grupę i ścieżkę, program AccessChk zgłosi obowiązujące uprawnienia dla tego konta; w przeciwnym razie pokaże skuteczny dostęp dla kont przywoływalnych w deskryptorze zabezpieczeń.

Domyślnie nazwa ścieżki jest interpretowana jako ścieżka systemu plików (użyj prefiksu "\pipe\" , aby określić nazwaną ścieżkę potoku). W przypadku każdego obiektu program AccessChk drukuje R , jeśli konto ma dostęp do odczytu, W dostęp do zapisu i nic, jeśli nie ma żadnego z nich. Przełącznik -v ma zrzut AccessChk określone dostępy przyznane do konta.

Przykłady

Następujące polecenie zgłasza dostęp do plików i katalogów na koncie Power Users w programie \Windows\System32:

accesschk "power users" c:\windows\system32

To polecenie pokazuje, do których usług systemu Windows należących do grupy Użytkownicy mają dostęp do zapisu:

accesschk users -cw *

Aby zobaczyć, jakie klucze rejestru w HKLM\CurrentUser ramach określonego konta nie mają dostępu do:

accesschk -kns austin\mruss hklm\software

Aby wyświetlić zabezpieczenia klucza HKLM\Software:

accesschk -k hklm\software

Aby wyświetlić wszystkie pliki w obszarze \Users\Mark w systemie Vista, które mają jawny poziom integralności:

accesschk -e -s c:\users\mark

Aby wyświetlić wszystkie obiekty globalne, które wszyscy mogą modyfikować:

accesschk -wuo everyone \basednamedobjects

DownloadPobierz plik AccessChk(1 MB)
Uruchom teraz z programu Sysinternals Live.