AccessChk v6.15
Door Mark Russinovich
Gepubliceerd: 11 mei 2022
AccessChk downloaden (1 MB)
Nu uitvoeren vanuit Sysinternals Live.
Introductie
Als onderdeel van ervoor te zorgen dat ze een beveiligde omgeving hebben gemaakt, moeten Windows-beheerders vaak weten wat voor soort toegang heeft tot specifieke gebruikers of groepen tot resources, waaronder bestanden, mappen, registersleutels, globale objecten en Windows-services. AccessChk beantwoordt deze vragen snel met een intuïtieve interface en uitvoer.
Installatie
AccessChk is een consoleprogramma. Kopieer AccessChk naar het uitvoerbare pad. Als u 'accesschk' typt, wordt de gebruiksyntaxis weergegeven.
AccessChk gebruiken
Gebruik:
accesschk [-s][-e][-u][-r][-w][-n][-v]-[f <account>,...][[-a]|[-k]|[-p [-f] [-t]]|[-h][-o [-t <object type>]][-c]|[-d]] [[-l [-i]]|[username]] <file, directory, registry key, process, service, object>
| Parameter | Omschrijving |
|---|---|
| -A | De naam heeft het recht van een Windows-account. Geef "*" op als de naam om alle rechten weer te geven die aan een gebruiker zijn toegewezen. Houd er rekening mee dat wanneer u een specifiek recht opgeeft, alleen groepen en accounts die rechtstreeks aan de rechterkant zijn toegewezen, worden weergegeven. |
| -C | De naam is een Windows-service, bijvoorbeeld ssdpsrv. Geef "*" op als de naam om alle services weer te geven en scmanager om de beveiliging van Service Control Manager te controleren. |
| -d | Alleen procesmappen of sleutels op het hoogste niveau |
| -E | Alleen expliciet ingestelde integriteitsniveaus weergeven (alleen Windows Vista en hoger) |
| -F | Als u dit volgt -p, worden volledige procestokengegevens weergegeven, inclusief groepen en bevoegdheden. Anders is een lijst met door komma's gescheiden accounts om te filteren op basis van de uitvoer. |
| -h | De naam is een bestands- of printershare. Geef "*" op als de naam om alle shares weer te geven. |
| -i | Objecten met alleen overgenomen ACL's negeren bij het dumpen van volledige toegangsbeheerlijsten. |
| -K | De naam is een registersleutel, bijvoorbeeld hklm\software |
| -L | Volledige beveiligingsdescriptor weergeven. Toevoegen -i om overgenomen ACL's te negeren. |
| -n | Alleen objecten weergeven die geen toegang hebben |
| -O | De naam is een object in de Objectbeheer-naamruimte (standaard is root). Als u de inhoud van een map wilt weergeven, geeft u de naam op met een afsluitende backslash of voegt u deze toe -s. Voeg en een objecttype (bijvoorbeeld sectie) toe -t om alleen objecten van een specifiek type weer te geven. |
| -P | Naam is een procesnaam of PID, bijvoorbeeld cmd.exe (geef "*" op als de naam om alle processen weer te geven). Voeg toe -f om volledige procestokengegevens weer te geven, inclusief groepen en bevoegdheden. Toevoegen -t om threads weer te geven. |
| -nobanner | Geef de opstartbanner en het copyrightbericht niet weer. |
| -R | Alleen objecten met leestoegang weergeven |
| -S | Recurse |
| -T | Objecttypefilter, bijvoorbeeld "section" |
| -U | Fouten onderdrukken |
| -V | Uitgebreid (inclusief windows Vista-integriteitsniveau) |
| -W | Alleen objecten met schrijftoegang weergeven |
Als u een gebruikersnaam of groepsnaam en -pad opgeeft, rapporteert AccessChk de effectieve machtigingen voor dat account; anders wordt de effectieve toegang weergegeven voor accounts waarnaar wordt verwezen in de beveiligingsdescriptor.
Standaard wordt de padnaam geïnterpreteerd als een bestandssysteempad (gebruik het "\pipe\" voorvoegsel om een benoemd pipepad op te geven). Voor elk object wordt AccessChk afgedrukt R als het account leestoegang heeft, W voor schrijftoegang en niets als het geen van beide heeft. De -v switch heeft AccessChk-dump voor de specifieke toegangen die aan een account zijn verleend.
Voorbeelden
Met de volgende opdracht worden de toegangsrechten gerapporteerd die het Power Users-account heeft voor bestanden en mappen in \Windows\System32:
accesschk "power users" c:\windows\system32
Met deze opdracht ziet u voor welke Windows-services leden van de groep Gebruikers schrijftoegang hebben tot:
accesschk users -cw *
Als u wilt zien welke registersleutels onder HKLM\CurrentUser een specifiek account geen toegang hebben tot:
accesschk -kns austin\mruss hklm\software
De beveiliging van de HKLM\Software-sleutel bekijken:
accesschk -k hklm\software
Als u alle bestanden onder \Users\Mark Vista wilt zien met een expliciet integriteitsniveau:
accesschk -e -s c:\users\mark
Als u alle globale objecten wilt zien die iedereen kan wijzigen:
accesschk -wuo everyone \basednamedobjects
AccessChk downloaden (1 MB)
Nu uitvoeren vanuit Sysinternals Live.