Upravljanje dozvolama u Windowsu može postati prava zagonetka kada govorimo o cijelim stablima mapa ili granama registra. AccessEnum dolazi u obzir kao lagan i jednostavan uslužni program., sposoban za nekoliko sekundi nacrtati mapu ko može čitati, pisati ili kome je zabranjen pristup na kritičnim putanjama, štedeći vrijeme i sprječavajući da se izgubite u beskrajnim ACL-ovima i vodeći vas kako promijeniti dozvole i vlasništvo nad datotekom kada je potrebno.
Kreiran u okviru Sysinternals paketa od strane Marka Russinovicha i Brycea Cogswella, njegova referencirana španska publikacija se nalazi u 29 September of 2022, sa malom izvršnom datotekom (otprilike 135 KB) i mogućnost "Trči sada"putem Sysinternals Live bez instalacije."
Šta je AccessEnum i šta rješava?
AccessEnum je besplatni uslužni program kompanije Sysinternals, dizajniran da odmah prikaže postavke dozvola datotečnog sistema i Windows registra. Njegova diferencijalna vrijednost je u poređenju svakog elementa sa njegovim roditeljem. (mapa ili ključ), tako da vam prikazuje samo gdje su dozvole ublažene ili diferencirane, što upravo ukazuje na mogući rizik ili nekonzistentnost.
U praksi ćete vidjeti listu s tri čitljive dimenzije: čitanje, pisanje i zabranjivanje. Upravljajte dozvolama aplikacija To je izvan direktnog opsega AccessEnuma, ali alat vas vodi gdje djelovati i odrediti prioritete.
Alat koristi Standardni Windows Security API za upite o listama kontrole pristupa (ACL) i prikazivanje informacija u glavnom prikazu. Umjesto poređenja bit po bit, primjenjuje logika ekvivalencije prema tipu pristupaAko podređeni element održava „neki oblik pisanja“ kao i roditeljski, smatra se ekvivalentnim na toj osi čak i ako se tačan podskup prava ne podudara 100%.
Ovaj način grupiranja smanjuje lažno pozitivne rezultate i stavlja fokus tamo gdje zaista želite djelovati. Za nekoliko sekundi imat ćete koherentnu fotografiju odstupanja koja utiču na površinu izloženosti, kako u putanjama datotečnog sistema, tako i u granama registra.
Razlike između foldera i datoteka
Postoji važna nijansa: u slučaju datoteka, AccessEnum ih ističe samo kada njihove dozvole su manje restriktivne nego one u mapi u kojoj se nalazi. Ova odluka daje prioritet onome što povećava rizik: određenoj datoteci koja je "otvorena" više nego što je namjeravano.
Ako vaša politika zahtijeva drugačije ponašanje, možete ga promijeniti iz menija Opcije ili, ako je primjenjivo, pokrenite aplikaciju s administratorskim dozvolama da vrši promjene i testira s privilegijama.
Ako vaša politika zahtijeva drugačije ponašanje, možete ga promijeniti u meniju Opcije. Alat je fleksibilan i omogućava vam prilagođavanje kriterija kako bi se uklopili u standarde vaše organizacije. Osim toga, sljedeće je isključeno prema zadanim postavkama: sistemske datoteke i servisni računi, izbjegavajući nepotrebnu buku na izlazu.
Preporučljivo je pregledati meni Pomoć/Sadržaj. Uslovi pretrage i poređenja su tamo detaljno objašnjeni., s nijansama koje pojašnjavaju zašto se jedan element pojavljuje istaknut, a drugi ne.
Prijenosno izvršavanje, preuzimanje i kompatibilnost
Nema instalacijskih programa ili čarobnjaka: ovo je prenosiva izvršna datoteka s grafičkim korisničkim interfejsom. Samo kopirajte AccessEnum i dvaput klikniteAko više volite da ne zauzima puno prostora na disku, odaberite "Pokreni sada" putem Sysinternals Live i pokrenite ga direktno s Microsoftove web stranice.
U praktičnom smislu: binarni sistem je otprilike 135 KB, referentna stabilna verzija je 1.35i nalazi se u kategoriji Uslužni programi za diskove i datotekeKompatibilni poklopci Windows 11, 10, 8.1, 8, 7 i Vista, kako u domaćem tako i u korporativnom okruženju, a njegovo porijeklo datira iz sistema zasnovanih na Windows NT-u.
Konfigurišite skeniranje: opseg, filtere i izuzeća
Skeniranje može biti usmjereno na cijeli sistem ili ograničeno na određenu putanju, a isto važi i za Registar. Podrazumevano, vidjet ćete direktoriji čije se dozvole razlikuju od roditeljskih y datoteke s širom dozvolom nego vaša mapa. Ako radite na osjetljivoj dijeljenoj mapi ili kritičnoj grani, dobra je ideja suziti opseg kako biste se fokusirali na ono što je relevantno.
Iz Opcije možete precizirati kriterije poređenja, prilagoditi opseg i definirati izuzeća putanje ili obrasca, na primjer za promijeniti dozvole aplikacije i potvrditi uticaj u određenim oblastima. Izuzeća su zlatna kada imate zone sa "posebnim" postavkama. koje ne želite pregledavati sa svakom analizom. Održavanje stabilnog skupa izuzeća štedi vam vrijeme na periodičnim revizijama.
- Fleksibilni opseg: cijeli datotečni sistem, određena mapa, cijeli registar ili određena grana.
- Podesivi kriteriji: šta se smatra odstupanjem od oca zbog čitanja, pisanja ili poricanja.
- Izuzeci: rute, račune ili obrasce koje ne želite da se pojavljuju pri svakom pokretanju.
Interfejs, sortiranje i brze akcije
Nakon što je analiza završena, možete sortirati bilo koju kolonu klikom na zaglavlje, prebacivanjem uzlazno/silazno uzastopnim pritiscimaOvo sortiranje vam pomaže da prvo date prioritet najosjetljivijim stavkama, bilo po ruti, vrsti dozvole ili uključenim računima.
Kontekstni meni iznad svakog reda nudi nekoliko akcija koje štede vrijeme: prikaz svojstava elementa (odakle možete promijeniti dozvole ako je potrebno), isključi iz prikaza taj predmet ili otvorite lokaciju odgovarajući (mapa ili ključ registra) pomoću opcije Istraži. To su male prečice koje izbjegavaju nepotrebne skokove između prozora.
Sačuvajte rezultate, uporedite i kreirajte osnovnu liniju
AccessEnum omogućava izvozite rezultat u .txt datotekuOvaj snimak služi kao osnova za buduća poređenja, nakon ažuriranja, promjene pravila ili rješavanja problema. To je jednostavan način za praćenje regresija tokom vremena.
Tipičan primjer: spremate stanje mape "povjerljivo", primjenjujete pooštrenu politiku i nekoliko sedmica kasnije ponovo skenirate da biste provjerili. Poređenje će vam pokazati da li su ponovo uvedene ublažene dozvole ili ako sve teče po planu. Praktično je, brzo i ostavlja sljedive dokaze.
AccessEnum unutar Sysinternals ekosistema
Sysinternals su osnovali Mark Russinovich i Bryce Cogswell 1996. godine kako bi hostovali napredne sistemske uslužne programe i tehnički sadržaj. Jula 2006. Microsoft je preuzeo Sysinternals. I od tada, njihovi alati se redovno ažuriraju. Većina ih je prenosiva, što smanjuje trenje u strogo kontroliranim okruženjima.
Iako se ovdje fokusiramo na AccessEnum, korisno je znati neku vrhunsku kompaniju koja ga dopunjuje. Pomoću ovog kompleta možete pokriti reviziju dozvola, startupa, procesa, mreže i forenzike s dubinom koju je teško dostići:
- Autoruns: Prikazuje i upravlja lokacijama automatskog pokretanja s najopsežnijom listom. Omogućava vam da sakrijete Microsoft unose kako biste se fokusirali na web-lokacije trećih strana i integrira se. VirusTotalUnosi u roze Obično označavaju datoteke bez važećeg ili neprovjerljivog potpisa; žuto Oni ukazuju na nepostojeće ili nedostupne rute koje treba pregledati prije onemogućavanja. Ključne kolone uključuju: Unos automatskog pokretanja, opis, izdavač, putanja slike, vremenska oznaka i presuda VirusTotala.
- Process Explorer: "pro" verzija Upravitelja zadataka. Prikazuje hijerarhija procesa, učitane DLL datoteke i ručke, uključuje verifikaciju potpisa, kodiranje bojama, vremenski slijed procesa i detaljnu donju ploču. Idealno za otkrivanje pakiranja, procurjelih identifikatora ili validaciju izdavača.
- Monitor procesa: pratiti u realnom vremenu Datotečni sistem, registar i aktivnost procesaNudi napredne filtere, sveobuhvatna svojstva događaja, nizove niti sa simbolima i evidentiranje u datoteku. Ovo je ključno za razumijevanje složenih interakcija ili zadataka lova na zlonamjerni softver.
- TCP prikaz: lista uživo TCP/UDP krajnje tačke sa lokalnom/udaljenom adresom, statusom i pridruženim procesom, mnogo probavljivije od netstata i fantastično za otkrivanje sumnjivih veza.
- BGInfo: farbati u pozadina radne površine sistemski podaci (ime računara, IP adresa itd.), veoma korisni za vizuelni inventar prilikom prelaska između računara.
- Kontig: defragmenti pojedinačne datoteke, korisno za izbjegavanje potpune defragmentacije kada vas brinu samo datoteke koje su često fragmentirane.
- Stolovi: stvara do četiri virtuelna desktopa, čak i u starijim verzijama Windowsa, za organiziranje radnih konteksta.
- DiskMon: omogućava posmatranje u realnom vremenu aktivni sektori diskaMeđu najvidljivijim poljima: # (red), vrijeme, trajanje, disk, vrsta zahtjev (čitanje/pisanje), Sektor y dužina.
- Disk2vhd: pretvara fizičkog diska na VHD za upotrebu na Microsoft virtuelnim mašinama, olakšavajući testiranje ili migracije.
- PsTools i PsExec: skup uslužnih programa Komandna linija za udaljenu administraciju. PsExec pokreće procese na daljinu bez agenata; možete, na primjer, osvježiti pravila na udaljenom računaru pokretanjem "PsExec \\nazivračunara gpupdate» i pojednostaviti operativne zadatke.
- Sysmon: Zapisuje napredne sigurnosne događaje (kreiranje procesa, mrežne veze, promjene vremenskih oznaka, pristupi memoriji, udaljene niti…), idealno za kasniju korelaciju u SIEM-u.
- ZoomIt: alat od zumiranje i crtanje na ekranu veoma korisno za tehničke prezentacije i obuku.
Napomene o izvorima i navigacijskim linkovima
U nekim objavama naći ćete linkove do općeg sadržaja („kako promijeniti zadanu aplikaciju“, „kako deinstalirati antivirus“ itd.) raspoređene između odjeljaka. Ovo su reference za navigaciju medija i ne utiču na korištenje AccessEnuma.Na nivou zajednice, prijateljski ton je također uobičajen, s ličnim porukama poput "Sigurnost od divljih svinja za sve!", koje kontekstualiziraju autora, čak i ako nisu dio tehničke operacije.
Ako radite sa Windowsom i brine vas ko može otvoriti, izmijeniti ili uskratiti pristup podacima i postavkama, AccessEnum vam pruža upravo ono što vam je potrebno: jasnoća i brzina u nešto što je, bez pomoći, često zamorno. Sa svojom pametnom logikom poređenja, izvozom teksta, opcijama isključenja i prenosivošću, Možete zaštititi dozvole bez da se izgubite među hiljadama unosa, a ako ga kombinujete sa ostatkom Sysinternals arsenala, imat ćete solidan tijek rada za solventnost i reagovanje na incidente.
