Ha Windows rendszerrel dolgozol, és érdekel a biztonság, a rendszergazdai szolgáltatások vagy a behatolásvizsgálat, akkor ismerd a következőket: AccessChk elengedhetetlen. Ez ingyenes eszköz a Microsoft Sysinternals-tól Lehetővé teszi a fájlok, szolgáltatások, rendszerleíró kulcsok és egyéb rendszererőforrások hozzáférési engedélyeinek részletes feltárását. A legjobb az egészben, hogy minden a parancssorból működik.
Ebben a cikkben összegyűjtöttük az összes releváns információt a használatával, a lehetőségeivel és a gyakorlati alkalmazásával kapcsolatban. Minden világos és közérthető módon van elmagyarázva.
Mi az AccessChk, és miért érdemes tudni róla?
AccessChk Ez egy olyan segédprogram, amelyet eredetileg a Mark Russinovich és amelyet most a Microsoft tart karban a Sysinternals csomagon belül. Elsődleges funkciója a megjeleníti, hogy egy felhasználó vagy csoport milyen jogosultságokkal rendelkezik a Windows operációs rendszer erőforrásaihozHasználható fájlok, mappák, beállításkulcsok, szolgáltatások, folyamatok, megosztott erőforrások és globális objektumok elemzésére.
Különösen hasznos a észleli a helytelen konfigurációkat, amelyek nem kívánt hozzáférést tehetnek lehetővé, például olyan könyvtárak, amelyekbe bármely felhasználó írhat, olyan szolgáltatások, amelyek emelt szintű jogosultságok nélkül módosíthatók, vagy sebezhető beállításkulcsok. Emellett kulcsfontosságú eszköz a biztonsági auditokban és a red teaming gyakorlatokban is.
Az AccessChk használatának előnyei a Windows naplózásában és védelmében
A Windows rendszerben a hozzáférés-vezérlés biztonsági leírókon, hozzáférés-vezérlési listákon (ACL) és integritási szinteken alapul. Egyetlen konfigurációs hiba is jelenthet olyan behatolást, amely az egész rendszert veszélyezteti.Itt jelenti a különbséget az AccessChk:
- Lehetővé teszi a túlzott jogosultságok megtalálását fájlokban, könyvtárakban és szolgáltatásokban.
- Segít a veszélyes konfigurációk azonosításában például DLL-eltérítés vagy idézőjelek nélküli elérési utak.
- Megkönnyíti az örökölt vagy explicit hozzáférés ellenőrzését a fájlrendszerben és a rendszerleíró adatbázisban.
- Lehetővé teszi a hozzáférés nélküli objektumok észlelését vagy amelyekhez olvasási vagy írási hozzáféréssel rendelkezik.
Az AccessChk telepítése és használatának megkezdése
Az AccessChk egyik nagy előnye, hogy önmagában nem igényel telepítést. Ez egy hordozható futtatható fájl. amelyet letölthet a hivatalos Sysinternals weboldalról (Microsoft), vagy közvetlenül a Sysinternals Live-ból futtathat.
- Töltse le a futtatható fájlt a Microsoft Learnből vagy a Sysinternalsból.
- Másolja az accesschk.exe fájlt egy, a PATH környezeti változóban található mappában (például
C:\Windows). - Nyisson meg egy parancskonzolt és futni
accesschkaz összes elérhető opció megtekintéséhez.
Nem igényel emelt szintű jogosultságokat a futtatásához, bár az eredmények az aktuális felhasználó engedélyeitől függően változnak.
A leghasznosabb AccessChk parancsok és paraméterek
Az AccessChk számos módosítót kínál, amelyek lehetővé teszik a kimenet testreszabását a ténylegesen auditálandó adatokhoz. Az alábbiakban a leggyakoribb lehetőségeket és azok hasznosságát ismertetjük.:
| Paraméter | función |
|---|---|
| -a | Megjeleníti a felhasználói fiók jogosultságait. |
| -c | Windows-szolgáltatások engedélyeinek lekérdezése (például ssdpsrv). |
| -d | Csak a szülőkönyvtárakat vagy kulcsokat szűrje. |
| -e | Kifejezetten megadott integritási szinteket jelenít meg. |
| -f | Folyamattokenek listázása vagy felhasználók szűrése. |
| -h | Megosztott erőforrások auditálása. |
| -k | Működik a rendszerleíró kulcsokkal. |
| -l | Visszaadja a teljes biztonsági leírót. |
| -n | Hozzáférési engedély nélküli objektumokat jelenít meg. |
| -o | Globális objektumokkal való munka. |
| -p | Lehetővé teszi egy folyamat vagy PID megadását. |
| -r | Szűrés olvasási hozzáférés szerint. |
| -s | Rekurzívan hajtja végre a lekérdezést. |
| -t | Szűrés objektumtípus szerint. |
| -u | Kihagyja a kimeneti hibákat. |
| -v | Részletes információkat jelenít meg. |
| -w | Szűrés írási hozzáférés szerint. |
Alapértelmezés szerint az elérési utakat fájlrendszer-elérési utakként értelmezi a rendszer., de megadhat beállításkulcsokat, globális objektumokat vagy folyamatokat a megfelelő kapcsolókkal. A Windows 11-ben elérhető engedélyekkel kapcsolatos további információkért lásd: Engedélyek kezelése Windows 11 rendszerben.
Valós példák az AccessChk használatára
Az AccessChk erejét a konkrét példák segítségével érthetjük meg a legjobban. Íme néhány gyakorlati eset, amelyek segítenek a legtöbbet kihozni belőle:
Érvényes jogosultságok egy rendszermappára
accesschk "Power Users" c:\windows\system32
Ez a parancs megmutatja, hogy a Kiemelt felhasználók csoport tagjai milyen jogosultságokkal rendelkeznek az adott elérési úton található fájlokhoz és mappákhoz.
Rendszerszolgáltatások írási hozzáférésének ellenőrzése
accesschk users -cw *
Ideális a potenciális privilégiumok eszkalációjának vektorainak észlelésére, különösen, ha egy csoport felesleges engedélyekkel rendelkezik kritikus szolgáltatásokhoz.
Beállításkulcsok engedélyeinek elemzése
accesschk -kns austin\mruss hklm\software
Hasznos a nem kívánt hozzáférés blokkolására vagy a túlzott fiókkorlátozások auditálására.
Lekérdezésintegritási szintek és globális objektumok
accesschk -e -s c:\users\usuario
accesschk -wuo everyone \basednamedobjects
Az integritási szintek, amelyeket a Windows Vista rendszerben vezettek be, a folyamatok közötti elkülönítést határozzák meg. Az AccessChk segítségével ez könnyen áttekinthető.
Gyenge jogosultságok ellenőrzése mappákon és fájlokon
accesschk.exe -uwdqs Users c:\
accesschk.exe -uws q s Users c:\*.*
Nagyon hasznos nagyvállalati környezetekben, lehetővé teszi a kihasználható konfigurációk megtalálását.
AccessChk alkalmazások behatolásvizsgálati forgatókönyvekben
Az AccessChk sértő helyzetekben ragyog, ahol a jogosultságok eszkalálására vagy a laterálisabb szerepvállalásra törekszünk. Néhány a leggyakoribb felhasználási módok közül:
- Idézőjelek nélküli elérési utakkal rendelkező szolgáltatások észlelése amelyek lehetővé teszik a rosszindulatú DLL-ek végrehajtását, ha a felhasználó írhat az érintett könyvtárakba.
- Futtatható fájlok engedélyeinek ellenőrzése a rosszul konfigurált szolgáltatásokról.
- Fontos rendszerleíró kulcsok vizsgálata mint
Winlogonvagy az automatikus bejelentkezési beállítások. - Integráció más eszközökkel a bizonyítékok és sebezhetőségek gyűjtésének automatizálása.
Ezenkívül olyan eszközökkel együtt használják, mint a Procmon o msfvenom a hiányzó DLL-ekre irányuló hívások rögzítése és a feltört szolgáltatásokból hatékony hasznos adatok létrehozása.
Az AccessChk értékes betekintést nyújt abba, hogyan alkalmazzák a jogosultságokat valójában egy Windows rendszeren. Akár éles rendszereket véd, akár támadási vektorokat vizsgál egy tollteszt során, a használata szinte elengedhetetlen. Ha még nem próbáltad, tedd meg. Biztosan hamarosan az egyik kedvenc eszközöddé válik.