Ako radite sa Windows sistemima i zabrinuti ste zbog dozvole za fajlove, servise i Registar, vjerovatno ste čuli za AccessChk, lagani uslužni program kompanije Sysinternals. To je konzolni alat dizajniran za brzu i jasnu provjeru pristupa korisnika ili grupe objektima koji se mogu sekuritizirati u Windowsu., od mapa i ključeva registra do servisa, procesa i globalnih objekata.
Njegova velika vrijednost leži u brzini kojom odgovara na tipična revizorska pitanja: Ko ovdje može čitati ili pisati? Kakav je integritet ove mape? Koju uslugu standardni korisnik može uređivati? itd. AccessChk prikazuje efektivne dozvole i, ako se zatraži, ispisuje kompletan sigurnosni deskriptor u detaljnom formatu.
Šta je AccessChk i za šta se koristi?
AccessChk je dio Sysinternals paketa, a objavio ga je Mark Russinovich. Njegova svrha je nenametljiva provjera efektivnih dozvola računa na više vrsta objekata u Windowsu.Datoteke, direktoriji, ključevi registra, servisi, procesi, dijeljeni resursi i objekti u imenskom prostoru Upravitelja objekata.
Kada navedete račun (korisnika ili grupu) i putanju/objekat, AccessChk vraća šta taj račun može da uradi na tom resursu; ako ne navedete račun, Uslužni program navodi efektivne pristupe računa navedenih u sigurnosnom deskriptoru objekta., izbjegavajući dvosmislene interpretacije lista kontrole pristupa (ACL).
Podrazumevano, prosleđeno ime se interpretira kao putanja datotečnog sistema. Ako želite ukazati na imenovani kanal, morate ispred putanje dodati prefiks "\"\\pipe\\\", tako da AccessChk ispravno razumije kontekst analiziranog objekta.
Izlaz je namijenjen čitanju na prvi pogled: ispisuje "R" kada postoji pristup za čitanje, "W" kada postoji pristup za pisanje i ne prikazuje ništa ako nijedno ne postojiUz detaljni modifikator, vidjet ćete i određeni odobreni pristup i nivo integriteta, kada je primjenjivo.
Preuzimanje, instalacija i osnovno izvršavanje
AccessChk se distribuira kao samostalna binarna datoteka i veličine je oko 1 MB. Možete ga preuzeti i kopirati izvršnu datoteku u mapu uključenu u vaš PATH da biste ga pokrenuli iz bilo koje konzole. bez punih putanja. To je uslužni program komandne linije bez grafičkog čarobnjaka.
Početak više nije misteriozan: Nakon kopiranja binarne datoteke, kucanje "accesschk" u konzoli će vam prikazati pomoć i njenu sintaksu., idealno za potvrdu opcija prije početka revizije.
Ako želite da ga pokrenete po potrebi, Postoji mogućnost korištenja iz Sysinternals Live-a ("Run Now") bez lokalne instalacijeI, kao i kod drugih Sysinternals alata, prvo pokretanje može od vas zatražiti da prihvatite EULA ugovor.
Da biste izričito prihvatili tu licencu i izbjegli prekide, Možete pokrenuti naredbu za prihvaćanje jednom: accesschk.exe /accepteula, nakon čega ćete ga moći normalno koristiti na tom računaru i profilu.
Sintaksa i načini korištenja po tipu objekta
AccessChk vam omogućava rad s različitim vrstama objekata promjenom opcija. Sintaksa se neznatno razlikuje ovisno o tome da li revidirate datoteke, registar, usluge, procese, prava računa ili dijeljene resurse., ali obrazac opcija je konzistentan u svim načinima rada.
Opšta sintaksa (kombinovani prikaz)
accesschk -
| | ] | ] | ]
] | ] <archivo, directorio, clave_registro, proceso, servicio, objeto>
Varijante po tipu (formatirane radi jasnoće)
// Recursos compartidos (archivo o impresora)
AccessChk - -h ]
] | ] archivo, directorio, objeto
// Registro
AccessChk - -k
] | ] clave_registro
// Procesos
AccessChk - -p
] | ] nombre_proceso_o_PID
// Derechos de cuenta de Windows
AccessChk - -a
] | ] derecho
// Servicios de Windows
AccessChk - -c
] | ] nombre_servicio
Kao što vidite, ideja je slična: Dodajete "slovo" tipa objekta (-k za Registar, -c za usluge, -p za procese, -h za dijeljeno, -a za prava), kombinujete sa filterima za pristup i predstavljate odredište upita.
Glavne opcije i šta svaka od njih radi
Da biste maksimalno iskoristili AccessChk, dobro je da se upoznate s njegovim prekidačima. U nastavku slijedi sažetak najkorisnijih modifikatora i njihove namjene, napisan na praktičan način. kako biste znali kada ih trebate koristiti.
| Opcija | opis |
|---|---|
| -a | Ispravno interpretira ime kao Windows računKoristite "*" za prikaz svih prava dodijeljenih korisniku. Ako navedete određeno pravo, prikazat će se samo računi i grupe kojima je to pravo direktno dodijeljeno. |
| -c | Cilj je Windows servis (npr. ssdpsrv). Koristite "*" za popis svih servisa ili "scmanager" za provjeru sigurnosti Upravitelja kontrole servisa. |
| -d | Ograničava obradu na direktorije ili ključeve najvišeg nivoa, korisno za izbjegavanje duboke rekurzije u početnim skeniranjima. |
| -e | Prikazuje samo eksplicitno postavljene nivoe integriteta (primjenjivo od Windows Viste). |
| -f | Dvostruki kontekst: ako pratite -p, ispisuje kompletne informacije o tokenima procesa (grupe i privilegije). U suprotnom, djeluje kao lista računa odvojenih zarezima za filtriranje izlaza. |
| -h | Tretira ime kao dijeljenje datoteke ili štampačaKoristite "*" da biste prikazali sve dijeljene timove. |
| -i | Zanemari naslijeđene ACE-ove prilikom ispisa punog sigurnosnog deskriptora (korisno sa -l). |
| -k | Cilj: ključ registra (npr. hklm\software). |
| -l | Prikazuje puni sigurnosni deskriptor u SDDL formatu. Možete kombinovati sa -i da biste preskočili naslijeđene unose. |
| -n | Ograničava izlaz na objekte koji ne dozvoljavaju nikakav pristup na konsultovani račun. |
| -bez banera / -q | Uklonite početni baner i autorska pravaU nekim kompilacijama vidjet ćete -nobanneru drugim slučajevima, -q sa istom svrhom. |
| -o | Rad s objektima u imenskom prostoru Upravitelja objekata (podrazumevano root). Da biste pregledali sadržaj direktorijuma, dodajte obrnutu kosu crtu na kraju imena ili koristite -s. Možete kombinirati -t filtrirati po vrsti (npr. sekcija). |
| -p | Cilj je proces po imenu ili PID-u (npr., cmd.exe). «*» navodi sve. Dodaj -f za detaljan token i -t da uključi niti. |
| -r | Filter za prikaz samo objekata s pristupom za čitanje za naznačeni račun. |
| -s | Rekurzivno pregledavanje direktorija ili kontejnera pod početnim ciljem. |
| -t | Filtriraj po vrsti objekta (npr. "odjeljak") kada se koristi sa -oili za prikaz niti kada se kombinuje sa -p. |
| -u | Uklanja greške tokom popisivanja radi čišćeg izlaza u masovnim revizijama. |
| -v | Opširni načinUključuje nivo integriteta (Windows Vista+) i detaljan pregled odobrenih pristupa. |
| -w | Filter za prikaz samo objekata s pristupom za pisanje na konsultovani račun. |
Kako interpretirati izlaz
Najkorisnija stvar kod AccessChka je to što vas ne prisiljava da ručno dešifrirate ACL-ove. Slovo "R" potvrđuje čitanje, "W" označava pisanje, a odsustvo slova ukazuje na to da nema pristupa. za račun na tom objektu. Ako aktivirate -v, vidjet ćete fine detalje prava.
kada koristite -l, dobijate puni sigurnosni deskriptor (SDDL) objekta, idealno za sveobuhvatne revizije ili za poređenje između sistema. Ako dodate i -i, izostavljate naslijeđene ACE-ove kako biste se fokusirali na eksplicitno definirane dozvole.
Modifikator -e Vrlo je praktično u okruženjima sa UAC i nivoima integriteta: Na ovaj način možete brzo filtrirati objekte koji imaju eksplicitno nametnute nivoe integriteta., bez podrazumijevane buke nasljeđivanja.
Imajte na umu da ako navedete korisničko ime/naziv grupe plus odredište, AccessChk izračunava efektivne dozvole za taj određeni identitet; ako to ne učinite, alat prikazuje efektivni pristup računa prisutnih u samom deskriptoru.
Registar, usluge i dijeljeni resursi
Za zapisnik, SAD -k nakon čega slijedi ciljni ključ (na primjer, hklm\\software)Možete kombinovati sa -s za rekurziju, -n da otkrije gdje nema pristupa, ili -v da biste vidjeli koje su specifične dozvole za pristup odobrene.
U uslugama, modifikator je -c i radi s eksplicitnim imenima (ssdpsrv), sa džoker znakom "*" za sve ili sa "scmanager" za pregled samog Upravitelja kontrole usluga. Dodati -w identificirati servise koji su potencijalno izloženi pisanju od strane određenih računa.
Ako je vaš fokus na zajedničkim resursima, nasloniti se na -h da se ime tretira kao dijeljenje datoteke ili štampačaDžoker "*" će navesti sve dijeljene resurse, a iste filtere za čitanje/pisanje možete primijeniti da biste pronašli postavke koje dozvoljavaju pristup.
Za objekte Upravitelja objekata, -o omogućava vam kretanje po tom imenskom prostoru (root je podrazumevano); zapamtite posljednju obrnutu kosu crtu ili -s ako želite vidjeti sadržaj direktorija u tom prostoru. Sa -t Možete filtrirati po vrstama kao što su sekcija.
Procesi, niti i tokeni
Kada je cilj proces, -p prihvata ime ili PID, pa čak i "*" za njihovu listu svihVrlo je korisno u okruženjima s više korisnika ili kada se servisi izvršavaju pod različitim identitetima.
Ako dodate -f trass -p, AccessChk dobija sve informacije iz tokena procesa: grupe i privilegije, nešto ključno za provjeru principi najmanjih privilegija ili problemi sa slučajnim nasljeđivanjem.
El conmutador -t u kombinaciji sa -p Takođe prikazuje niti procesa, što pomaže u potpunom uvidu u to šta se izvršava i pod kojim sigurnosnim kontekstom.
Ako želite utišati greške pristupa tokom širokih pregleda, -u je tvoj saveznik, a ako želite ograničiti samo na čitanje ili pisanje, sjetite se filtera -r y -w po potrebi.
Brza pitanja i odgovori
- Mogu li koristiti džoker znakove? Da, u mnogim kontekstima zvjezdica "*" vam omogućava da pretražujete sve stavke određene vrste (npr. sve usluge sa
-c *). - Kako filtriram račune na izlazu? con
-fkao lista računa odvojenih zarezima kada nije u načinu rada procesa; u načinu rada procesa,-fZamijenite uloge i pokažite cijeli token. - Koja je razlika između
-nobannery-q? U suštini, oboje uklanjaju transparent; U zavisnosti od konsultovane kompilacije ili dokumentacije, vidjet ćete jedno ili drugo., sa istim ciljem. - Mogu li vidjeti niti procesa? Da
-tu kombinaciji sa-pdodajte niti, dok-tcon-oTo je filter po tipu objekta u Upravitelju objekata.
AccessChk je jednostavan, transparentan i vrlo svestran alat. Kada se pravilno koristi, omogućava vam brzu reviziju efektivnih dozvola za datoteke, Registar, servise, procese, dijeljene resurse i sistemske objekte. Pomoću filtera i detaljnih načina rada možete preći s općeg pregleda na detaljnu dijagnozu za nekoliko sekundi, uvijek u okviru ovlaštene i odgovorne upotrebe.
