Ако работите с Windows и се интересувате от сигурност, системна администрация или penettesting, познаването AccessChk е от съществено значение. Това безплатен инструмент от Microsoft Sysinternals Позволява ви да проучите подробни разрешения за достъп до файлове, услуги, ключове в системния регистър и други системни ресурси. Най-хубавото е, че всичко работи от командния ред.
В тази статия сме събрали цялата необходима информация за неговото използване, опции и практическо приложение. Всичко е обяснено по ясен и достъпен начин.
Какво е AccessChk и защо е добре да знаете за него?
AccessChk Това е помощна програма, първоначално разработена от Марк Русинович и сега се поддържа от Microsoft в рамките на пакета Sysinternals. Основната му функция е показва какви разрешения има потребител или група за ресурсите на операционната система WindowsМоже да се използва за анализ на файлове, папки, ключове в системния регистър, услуги, процеси, споделени ресурси и глобални обекти.
Особено полезно е за откриване на неправилни конфигурации, които могат да позволят нежелан достъп, като например директории, в които всеки потребител може да пише, услуги, които могат да бъдат променяни без повишени привилегии, или уязвими ключове в системния регистър. Това е и ключов инструмент при одити на сигурността и упражнения за „червени екипи“.
Предимства на използването на AccessChk в одита и защитата на Windows
Контролът на достъпа в Windows се основава на дескриптори за сигурност, ACL (списъци за контрол на достъпа) и нива на интегритет. Една единствена грешка в конфигурацията може да представлява нарушение, което компрометира цялата система.Ето къде AccessChk прави разликата:
- Позволява ви да намерите прекомерни разрешения във файлове, директории и услуги.
- Помага за идентифициране на опасни конфигурации като например отвличане на DLL файлове или пътища без кавички.
- Улеснява проверката за наследен или изричен достъп във файловата система и системния регистър.
- Позволява ви да откривате обекти без достъп или тези, до които имате достъп за четене или запис.
Как да инсталирате и започнете да използвате AccessChk
Едно от големите предимства на AccessChk е, че не изисква инсталация като такава. Това е преносим изпълним файл. който можете да изтеглите от официалния уебсайт на Sysinternals (Microsoft) или да стартирате директно от Sysinternals Live.
- Изтеглете изпълнимия файл от Microsoft Learn или Sysinternals.
- Копирайте файла accesschk.exe в папка, включена във вашата променлива на средата PATH (например,
C:\Windows). - Отворете командна конзола и бягай
accesschkза да видите всички налични опции.
Не изисква повишени привилегии за изпълнение, въпреки че резултатите ще варират в зависимост от разрешенията на текущия потребител.
Най-полезните команди и параметри на AccessChk
AccessChk предлага голямо разнообразие от модификатори, които ви позволяват да персонализирате резултата според това, което наистина трябва да одитирате. По-долу са най-често срещаните опции и тяхната полезност:
| Параметър | Función |
|---|---|
| -a | Показва правата на потребителския акаунт. |
| -c | Заявки за разрешения за услуги на Windows (например, ssdpsrv). |
| -d | Филтрирайте само родителски директории или ключове. |
| -e | Показва изрично посочени нива на интегритет. |
| -f | Избройте токените на процеса или филтрирайте потребителите. |
| -h | Одит на споделени ресурси. |
| -k | Работи с ключове в системния регистър. |
| -l | Връща пълния дескриптор на сигурността. |
| -n | Показва обекти без разрешение за достъп. |
| -o | Работете с глобални обекти. |
| -p | Позволява ви да укажете процес или PID. |
| -r | Филтриране по достъп за четене. |
| -s | Изпълнява заявката рекурсивно. |
| -t | Филтриране по тип обект. |
| -u | Пропуска грешки в изхода. |
| -v | Показва подробна информация. |
| -w | Филтриране по достъп за запис. |
По подразбиране пътищата се интерпретират като пътища на файловата система., но можете да укажете ключове в системния регистър, глобални обекти или процеси със съответните им превключватели. За повече информация относно разрешенията в Windows 11 можете да се обърнете към Как да управлявате разрешенията в Windows 11.
Примери от реалния живот за използване на AccessChk
Най-добрият начин да разберете силата на AccessChk е да видите конкретни примери. Ето някои практически случаи, които ще ви помогнат да извлечете максимума от него:
Ефективни разрешения за системна папка
accesschk "Power Users" c:\windows\system32
Тази команда ви показва какви права имат членовете на групата Power Users върху файловете и папките в този път.
Проверете достъпа за запис до системните услуги
accesschk users -cw *
Идеално за откриване на потенциални вектори за ескалация на привилегиите, особено ако дадена група има ненужни разрешения за критични услуги.
Анализирайте разрешенията за ключовете в системния регистър
accesschk -kns austin\mruss hklm\software
Полезно за блокиране на нежелан достъп или одит на прекомерни ограничения за акаунти.
Нива на интегритет на заявките и глобални обекти
accesschk -e -s c:\users\usuario
accesschk -wuo everyone \basednamedobjects
Нивата на интегритет, въведени в Windows Vista, определят изолацията между процесите. AccessChk улеснява преглеждането им.
Проверете за слаби разрешения за папки и файлове
accesschk.exe -uwdqs Users c:\
accesschk.exe -uws q s Users c:\*.*
Много полезно в големи корпоративни среди, позволява ви да намерите конфигурации, които могат да бъдат използвани.
Приложения на AccessChek в сценарии за тестване за проникване
AccessChk блести в обидни контексти, където се стремим да ескалираме привилегии или да се движим странично. Някои от най-често срещаните приложения включват:
- Откриване на услуги с пътища без кавички които позволяват изпълнението на злонамерени DLL файлове, ако потребителят може да пише в засегнатите директории.
- Проверка на разрешенията за изпълними файлове на неправилно конфигурирани услуги.
- Сканиране на важни ключове в системния регистър като
Winlogonили настройки за автоматично влизане. - Интеграция с други инструменти да се автоматизира събирането на доказателства и уязвимости.
Освен това се използва заедно с инструменти като Procmon o msfvenom за улавяне на повиквания към липсващи DLL файлове и създаване на ефективни полезни товари от компрометирани услуги.
AccessChk предлага ценна информация за това как разрешенията всъщност се прилагат в Windows система. Независимо дали защитавате производствени системи или проучвате вектори на атака по време на тест с писалка, използването му е почти задължително. Ако все още не сте го пробвали, направете го. Със сигурност бързо ще се превърне в един от любимите ви инструменти.