AccessChk v6.15
Von Mark Russinovich
Veröffentlicht am: 11. März 2022
AccessChk herunterladen (1 MB)
Führen Sie jetzt aus Sysinternals Live aus.
Einführung
Um sich zu vergewissern, dass sie eine sichere Umgebung erstellt haben, müssen Windows-Administrator*innen häufig wissen, welche Art von Zugriff bestimmte Benutzer*innen oder Gruppen auf Ressourcen wie Dateien, Verzeichnisse, Registrierungsschlüssel, globale Objekte und Windows-Dienste haben. AccessChk beantwortet diese Fragen schnell mit einer intuitiven Benutzeroberfläche und Ausgabe.
Installation
AccessChk ist ein Konsolenprogramm. Kopieren Sie AccessChk in ihren ausführbaren Pfad. Wenn Sie „accesschk“ eingeben, wird die zugehörige Syntax angezeigt.
Verwenden von AccessChk
Syntax:
accesschk [-s][-e][-u][-r][-w][-n][-v]-[f <account>,...][[-a]|[-k]|[-p [-f] [-t]]|[-h][-o [-t <object type>]][-c]|[-d]] [[-l [-i]]|[username]] <file, directory, registry key, process, service, object>
Parameter | BESCHREIBUNG |
---|---|
-a | Der Name ist ein Windows-Kontorecht. Geben Sie "*" als Name an, um alle Rechte anzuzeigen, die einem Benutzer bzw. einer Benutzerin zugewiesen sind. Beachten Sie, dass beim Angeben eines bestimmten Rechts nur Gruppen und Konten angezeigt werden, die direkt dem Recht zugewiesen sind. |
-c | Der Name ist ein Windows-Dienst (z. B. ssdpsrv ). Geben Sie "*" als Name an, um alle Dienste anzuzeigen, und scmanager , um die Sicherheit des Dienststeuerungs-Managers zu überprüfen. |
-d | Gibt an, dass nur Verzeichnisse oder Schlüssel der obersten Ebene verarbeitet werden sollen. |
-e | Gibt an, dass nur explizit festgelegte Integritätsstufen angezeigt werden sollen (ab Windows Vista). |
-f | Wenn diese Option nach -p angegeben wird, werden vollständige Prozesstokeninformationen einschließlich Gruppen und Berechtigungen angezeigt. Andernfalls handelt es sich um eine kommagetrennte Liste mit Konten, die aus der Ausgabe gefiltert werden sollen. |
-h | Der Name ist eine Datei- oder Druckerfreigabe. Geben Sie "*" als Name an, um alle Freigaben anzuzeigen. |
-i | Gibt an, dass beim Sichern vollständiger Zugriffssteuerungslisten Objekte ignoriert werden sollen, die nur über geerbte ACEs verfügen. |
-k | Der Name ist ein Registrierungsschlüssel (z. B. hklm\software ). |
-l | Gibt an, dass der vollständige Sicherheitsdeskriptor angezeigt werden soll. Fügen Sie -i hinzu, um geerbte ACEs zu ignorieren. |
-n | Gibt an, dass nur Objekte ohne Zugriff angezeigt werden sollen. |
-o | Der Name ist ein Objekt im Objekt-Manager-Namespace (Standard: root). Um den Inhalt eines Verzeichnisses anzuzeigen, geben Sie den Namen mit einem nachfolgenden umgekehrten Schrägstrich an, oder fügen Sie -s hinzu. Fügen Sie -t und einen Objekttyp (z. B. „section“) hinzu, um nur Objekte eines bestimmten Typs anzuzeigen. |
-p | Der Name ist ein Prozessname oder eine PID wie cmd.exe . (Geben Sie "*" als Name an, um alle Prozesse anzuzeigen.) Fügen Sie -f hinzu, um vollständige Prozesstokeninformationen einschließlich Gruppen und Berechtigungen anzuzeigen. Fügen Sie -t hinzu, um Threads anzuzeigen. |
-nobanner | Zeigt kein Startbanner und keine Copyrightmeldung an. |
-r | Gibt an, dass nur Objekte mit Lesezugriff angezeigt werden sollen. |
-s | Recurse |
-t | Objekttypfilter, z. B. "section" |
-u | Gibt an, dass Fehler unterdrückt werden sollen. |
-v | Ausführlich (einschließlich Windows Vista-Integritätsebene) |
-w | Gibt an, dass nur Objekte mit Schreibzugriff angezeigt werden sollen. |
Wenn Sie einen Benutzer- oder Gruppennamen und -pfad angeben, meldet AccessChk die effektiven Berechtigungen für das Konto. Andernfalls wird der effektive Zugriff für Konten angezeigt, auf die im Sicherheitsdeskriptor verwiesen wird.
Standardmäßig wird der Pfadname als Dateisystempfad interpretiert. (Verwenden Sie das Präfix "\pipe\"
, um einen Named Pipe-Pfad anzugeben.) AccessChk gibt für jedes Objekt R
aus, wenn das Konto Lesezugriff hat, W
für Schreibzugriff und nichts, wenn es weder Lese- noch Schreibzugriff hat. Der Schalter -v
bewirkt, dass AccessChk die spezifischen Zugriffe sichert, die einem Konto gewährt wurden.
Beispiele
Der folgende Befehl meldet die Zugriffe des Kontos „Powerusers“ auf Dateien und Verzeichnisse in \Windows\System32
:
accesschk "power users" c:\windows\system32
Der folgende Befehl zeigt, auf welche Windows-Dienste Mitglieder der Gruppe „Benutzer“ Schreibzugriff haben:
accesschk users -cw *
So sehen Sie, auf welche Registrierungsschlüssel unter HKLM\CurrentUser
ein bestimmtes Konto keinen Zugriff hat:
accesschk -kns austin\mruss hklm\software
So zeigen Sie die Sicherheit für den Schlüssel „HKLM\Software“ an:
accesschk -k hklm\software
So sehen Sie unter Vista alle Dateien unter \Users\Mark
, die über eine explizite Integritätsebene verfügen:
accesschk -e -s c:\users\mark
So sehen Sie alle globalen Objekte, die von allen Benutzer*innen geändert werden können:
accesschk -wuo everyone \basednamedobjects
AccessChk herunterladen (1 MB)
Führen Sie jetzt aus Sysinternals Live aus.