Jos työskentelet Windowsin kanssa ja olet kiinnostunut tietoturvasta, järjestelmänvalvojasta tai penetraatiotestauksesta, tiedät AccessChk on välttämätöntä. Tämä ilmainen työkalu Microsoft Sysinternalsilta Sen avulla voit tutkia tiedostojen, palveluiden, rekisteriavainten ja muiden järjestelmäresurssien perusteellisia käyttöoikeuksia. Parasta on, että kaikki toimii komentoriviltä.
Tässä artikkelissa olemme koonneet kaikki olennaiset tiedot sen käytöstä, vaihtoehdoista ja käytännön sovelluksista. Kaikki selitetään selkeästi ja helposti lähestyttävästi.
Mikä on AccessChk ja miksi sinun pitäisi tietää siitä?
AccessChk Se on alun perin kehittämä apuohjelma Mark Russinovich ja jota Microsoft nyt ylläpitää Sysinternals-ohjelmistopaketissa. Sen ensisijainen tehtävä on näyttää käyttäjän tai ryhmän oikeudet Windows-käyttöjärjestelmän resursseihinSitä voidaan käyttää tiedostojen, kansioiden, rekisteriavainten, palveluiden, prosessien, jaettujen resurssien ja globaalien objektien analysointiin.
Se on erityisen hyödyllinen havaita virheelliset kokoonpanot, jotka voivat sallia ei-toivotun pääsyn, kuten hakemistoja, joihin kuka tahansa käyttäjä voi kirjoittaa, palveluita, joita voidaan muokata ilman laajennettuja käyttöoikeuksia, tai haavoittuvia rekisteriavaimia. Se on myös keskeinen työkalu tietoturvatarkastuksissa ja red teaming -harjoituksissa.
AccessChkin käytön edut Windowsin auditoinnissa ja suojauksessa
Windowsin käyttöoikeuksien hallinta perustuu suojauskuvauksiin, käyttöoikeusluetteloihin (ACL) ja eheystasoihin. Yksikin konfigurointivirhe voi merkitä tietomurtoa, joka vaarantaa koko järjestelmän.Tässä kohtaa AccessChk tekee eron:
- Antaa sinun löytää liiallisia käyttöoikeuksia tiedostoissa, hakemistoissa ja palveluissa.
- Auttaa tunnistamaan vaaralliset kokoonpanot kuten DLL-kaappaus tai lainaamattomat polut.
- Helpottaa perittyjen tai eksplisiittisten käyttöoikeuksien tarkistamista tiedostojärjestelmässä ja rekisterissä.
- Mahdollistaa kohteiden havaitsemisen ilman pääsyä tai ne, joihin sinulla on luku- tai kirjoitusoikeus.
AccessChkin asentaminen ja käytön aloittaminen
Yksi AccessChkin suurimmista eduista on, että se ei vaadi asennusta sellaisenaan. Tämä on kannettava suoritettava tiedosto. jonka voit ladata Sysinternalsin viralliselta verkkosivustolta (Microsoft) tai suorittaa suoraan Sysinternals Livestä.
- Lataa suoritettava tiedosto Microsoft Learnista tai Sysinternalsista.
- Kopioi accesschk.exe-tiedosto PATH-ympäristömuuttujaan sisältyvässä kansiossa (esimerkiksi
C:\Windows). - Avaa komentokonsoli ja juokse
accesschknähdäksesi kaikki käytettävissä olevat vaihtoehdot.
Ei vaadi laajennettuja oikeuksia suorittaakseen, vaikka tulokset vaihtelevatkin nykyisen käyttäjän oikeuksien mukaan.
Hyödyllisimmät AccessChk-komennot ja -parametrit
AccessChk tarjoaa laajan valikoiman muokkaajia, joiden avulla voit räätälöidä tulosteen sen mukaan, mitä todella tarvitset auditoitavaksi. Alla on yleisimmät vaihtoehdot ja niiden hyödyllisyys:
| Parametri | funcion |
|---|---|
| -a | Näyttää käyttäjätilin oikeudet. |
| -c | Kyselyoikeudet Windows-palveluissa (esimerkiksi ssdpsrv). |
| -d | Suodata vain ylätason hakemistot tai avaimet. |
| -e | Näyttää nimenomaisesti ilmoitetut eheystasot. |
| -f | Listaa prosessitunnukset tai suodata käyttäjät. |
| -h | Auditoi jaettuja resursseja. |
| -k | Toimii rekisteriavainten kanssa. |
| -l | Palauttaa täydellisen suojauskuvauksen. |
| -n | Näyttää objekteja, joille ei ole käyttöoikeutta. |
| -o | Työskentele globaalien objektien kanssa. |
| -p | Voit määrittää prosessin tai PID:n. |
| -r | Suodata lukuoikeuden mukaan. |
| -s | Suorittaa kyselyn rekursiivisesti. |
| -t | Suodata objektityypin mukaan. |
| -u | Ohittaa tulosteen virheet. |
| -v | Näyttää yksityiskohtaiset tiedot. |
| -w | Suodata kirjoitusoikeuksien mukaan. |
Oletusarvoisesti polut tulkitaan tiedostojärjestelmän poluiksi., mutta voit määrittää rekisteriavaimia, globaaleja objekteja tai prosesseja niiden vastaavilla valitsimilla. Lisätietoja Windows 11:n käyttöoikeuksista on osoitteessa Käyttöoikeuksien hallinta Windows 11:ssä.
AccessChkin käyttöesimerkkejä käytännössä
Paras tapa ymmärtää AccessChkin teho on nähdä konkreettisia esimerkkejä. Tässä on joitakin käytännön tapauksia, jotka auttavat sinua saamaan siitä kaiken irti:
Järjestelmäkansion voimassa olevat käyttöoikeudet
accesschk "Power Users" c:\windows\system32
Tämä komento näyttää, mitä oikeuksia Tehokäyttäjät-ryhmän jäsenillä on kyseisen polun tiedostoihin ja kansioihin.
Tarkista järjestelmäpalveluiden kirjoitusoikeudet
accesschk users -cw *
Ihanteellinen mahdollisten oikeuksien eskaloitumisvektorien havaitsemiseen, erityisesti jos ryhmällä on tarpeettomia käyttöoikeuksia kriittisiin palveluihin.
Rekisteriavainten käyttöoikeuksien analysointi
accesschk -kns austin\mruss hklm\software
Hyödyllinen ei-toivotun käytön estämiseen tai liiallisten tilirajoitusten tarkastamiseen.
Kyselyn eheystasot ja globaalit objektit
accesschk -e -s c:\users\usuario
accesschk -wuo everyone \basednamedobjects
Windows Vistassa käyttöön otetut eheystasot määrittävät prosessien välisen eristäytymisen. AccessChk tekee tämän tarkastelemisesta helppoa.
Tarkista kansioiden ja tiedostojen heikot käyttöoikeudet
accesschk.exe -uwdqs Users c:\
accesschk.exe -uws q s Users c:\*.*
Erittäin hyödyllinen suurissa yritysympäristöissä, sen avulla voit löytää hyödynnettävissä olevia kokoonpanoja.
AccessChk-sovellukset penetraatiotestausskenaarioissa
AccessChk loistaa hyökkäävissä tilanteissa, joissa pyrimme laajentamaan etuoikeuksia tai siirtymään lateraalisesti. Joitakin yleisimpiä käyttötarkoituksia ovat:
- Palveluiden havaitseminen lainaamattomilla poluilla jotka sallivat haitallisten DLL-tiedostojen suorittamisen, jos käyttäjä voi kirjoittaa kyseisiin hakemistoihin.
- Suoritettavien tiedostojen oikeuksien tarkistaminen väärin konfiguroiduista palveluista.
- Tärkeiden rekisteriavainten skannaus kuten
Winlogontai automaattisen kirjautumisen asetukset. - Integrointi muihin työkaluihin automatisoida todisteiden ja haavoittuvuuksien keräämisen.
Lisäksi sitä käytetään yhdessä työkalujen kanssa, kuten Procmon o msfvenom sieppaamaan puuttuviin DLL-tiedostoihin liittyviä kutsuja ja luomaan tehokkaita hyötykuormia vaarantuneista palveluista.
AccessChk tarjoaa arvokasta tietoa siitä, miten käyttöoikeuksia todellisuudessa sovelletaan Windows-järjestelmässä. Olitpa sitten suojaamassa tuotantojärjestelmiä tai tutkimassa hyökkäysvektoreita kynätestauksen aikana, sen käyttö on lähes välttämätöntä. Jos et ole vielä kokeillut sitä, kokeile nyt. Siitä tulee varmasti nopeasti yksi suosikkityökaluistasi.