- AccessChk consente di controllare accuratamente le autorizzazioni degli utenti e dei gruppi su file, cartelle, servizi e chiavi di registro in Windows.
- Lo strumento è essenziale sia per l'amministrazione quotidiana che per l'analisi della sicurezza e l'escalation dei privilegi, identificando configurazioni pericolose e percorsi vulnerabili.
- Consente di filtrare gli accessi in base al tipo (lettura, scrittura, totale) e di rilevare vettori sfruttabili quali percorsi non racchiusi tra virgolette, dirottamento di DLL o servizi modificabili.
- L'integrazione di AccessChk nei processi di rafforzamento o negli script di post-sfruttamento fornisce un livello avanzato di controllo e visibilità sul sistema.
Scoprire e controllare le autorizzazioni sui sistemi Windows è essenziale, sia per gli amministratori che desiderano rafforzare la sicurezza, sia per i professionisti IT. sicurezza informatica alla ricerca di configurazioni deboli o potenziali percorsi di escalation dei privilegi. Accedi Chk, uno strumento della suite Sysinternals di Microsoft, è una delle utilità più potenti, flessibili e sottovalutate per controllare l'accesso in tempo reale, filtrare i potenziali rischi e comprendere come è configurato l'accesso su un computer Windows, il tutto da una semplice interfaccia a riga di comando. comandi.
In questo articolo forniamo un'introduzione completa all'uso di AccessChk, che copre ogni aspetto: da cos'è e perché è rilevante a come installarlo, dalle opzioni principali del comando ad esempi pratici, integrando i dettagli che fanno davvero la differenza negli scenari di produzione e di pentesting. Se ti stai chiedendo come sfruttare al meglio AccessChk per controllare il tuo sistema Windows o valutare la sicurezza di un ambiente, qui troverai il compendio più completo in spagnolo.
Che cos'è AccessChk e a cosa serve?
Accedi Chk È un'utilità sviluppata da Mark Russinovich e gestita da Microsoft all'interno della rinomata raccolta Sysinternals. La sua funzione principale è visualizzare i permessi effettivi di un utente o di un gruppo su risorse specifiche del sistema operativo Windows, come file, cartelle, chiavi di registro, servizi, processi e oggetti globali. Questa capacità è essenziale per entrambi amministratori che desiderano proteggere i propri sistemi come per revisori e pentester interessati a individuare crepe o configurazioni errate che potrebbero causare violazioni della sicurezza.
L'operazione è diretta: AccessChk analizza e presenta i permessi di accesso che un account ha su un oggetto specifico, consentendo di filtrare in base al livello di accesso (lettura, scrittura, completo, ecc.), identificare oggetti non protetti, evidenziare impostazioni ereditate o esplicite e persino esplorare in dettaglio servizi e chiavi di registro. Non si limita alla semplice visualizzazione di un elenco; consente di filtrare, parametrizzare le query e rilevare rapidamente punti deboli che altrimenti richiederebbero decine di clic nell'ambiente grafico di Windows.
Perché AccessChk è fondamentale per la gestione e l'audit di Windows?
I sistemi Windows, per impostazione predefinita, delegano il controllo degli accessi a complessi descrittori di sicurezza ed elenchi di controllo degli accessi (ACL). Un singolo errore nei permessi può portare a gravi violazioni., consentendo di tutto, dalla scrittura di DLL dannose alla creazione di percorsi critici, fino all'assunzione del pieno controllo dei servizi. Pertanto, strumenti come AccessChk consentono:
- Rilevare permessi eccessivi o impropri in cartelle, file eseguibili e chiavi di registro.
- Verificare chi può avviare, interrompere o modificare i servizi, un vettore critico nell'escalation dei privilegi.
- Individuare i percorsi vulnerabili al dirottamento DLL (DLL Hijacking) e binari in percorsi non quotati (percorsi di servizio non quotati).
- Controllare l'accesso dell'utente o del gruppo che può facilitare il movimento laterale o la persistenza.
- Ottimizzare il rafforzamento del sistema verifica dell'accesso effettivo rispetto alla configurazione desiderata.
Installazione e primi passi con AccessChk
Accedi Chk Non si installa come un programma tradizionale. Essendo un eseguibile portatile, è sufficiente Scarica il file dal sito ufficiale di Sysinternals (Microsoft) e copialo in un percorso nel tuo PATH o nella directory in cui intendi lavorare. È compatibile con tutte le versioni moderne di Windows e non richiede privilegi speciali per l'esecuzione, sebbene le informazioni disponibili varino a seconda dei diritti dell'utente che lo esegue.
- Scaricare: Dal repository ufficiale Microsoft Learn/Sysinternals.
Scarica AccessChk - Utilizzo di base: Aprire una finestra di comando ed eseguire controllo accessi per consultare la guida e la sintassi.
- raccomandazione: Copia accesschk.exe en
C:\Windowsoppure in una cartella degli strumenti accessibile tramite PATH per una facile invocazione.
Opzioni di AccessChk e sintassi avanzata
AccessChk offre una vasta gamma di opzioni e parametri che consentono di personalizzare completamente ricerche e report. I modificatori e le loro funzioni più importanti sono descritti di seguito:
| parametro | Descrizione |
|---|---|
| -a | Indica che il nome corrisponde a un diritto dell'account Windows. "*" mostra tutti i diritti di un utente. |
| -c | Il nome è un servizio Windows. "*" per visualizzare tutto, "scmanager" per il gestore dei servizi. |
| -d | Limita le query alle directory di processo o alle chiavi di primo livello. |
| -e | Visualizza solo i livelli di integrità definiti in modo esplicito (Windows Vista+). |
| -f | Se seguito da -p, fornisce dettagli sul token del processo (gruppi e privilegi); in caso contrario, filtra account specifici dall'output. |
| -h | Il nome è una risorsa condivisa. "*" per elencarli tutti. |
| -i | Salta gli ACE ereditati quando si scaricano le checklist. |
| -k | Il nome è una chiave di registro (ad esempio hklm\software). |
| -l | Visualizza il descrittore di sicurezza completo. Da usare con -i per ignorare l'ereditarietà. |
| -n | Solo oggetti senza accesso per l'account specificato. |
| -o | Il nome è un oggetto dello spazio dei nomi dell'oggetto gestore. Aggiungi -s per la ricorsione o -t per filtrare per tipo. |
| -p | Il nome è un processo o un PID. "*" per tutti. Aggiungere -f o -t per maggiori dettagli. |
| -nessun banner | Non visualizza l'intestazione iniziale né il copyright. |
| -r | Filtra per oggetti con accesso in lettura. |
| -s | Esplora le directory in modo ricorsivo. |
| -t | Filtra per tipo di oggetto. |
| -u | Rimuove gli errori. |
| -v | Output dettagliato, incluso il livello di integrità. |
| -w | Filtra per oggetti con accesso in scrittura. |
Un aspetto fondamentale è questo Per impostazione predefinita, AccessChk interpreta il percorso fornito come percorso del file system., sebbene sia possibile controllare risorse condivise, oggetti globali, processi e chiavi di registro utilizzando le opzioni appropriate.
Esempi pratici: come utilizzare AccessChk nella vita reale
Accedi Chk È particolarmente indicato per l'audit di situazioni specifiche. Ecco alcuni casi di studio dettagliati per aiutarti a sfruttarlo al meglio:
Controlla le autorizzazioni su file e cartelle
Supponiamo di voler verificare i diritti effettivi di un utente su una cartella critica, ad esempio C:\Windows\System32:
accesschk "Power Users" c:\windows\system32Questo comando visualizza le autorizzazioni effettive di cui dispongono i membri del gruppo "Power Users" sui file e sulle directory nel percorso specificato. Perfetto per identificare potenziali lacune se determinati account hanno permessi di scrittura o il controllo completo su cose che non dovrebbero avere.
Visualizza le autorizzazioni sui servizi Windows
Una tattica comune di escalation dei privilegi consiste nello sfruttare servizi mal configurati o configurati in modo debole. Con AccessChk, è possibile elencare tutti i servizi a cui un gruppo ha accesso in scrittura utilizzando il comando:
accesschk users -cw *Questo comando filtra tutti i servizi ed elenca quelli con accesso in scrittura per il gruppo "utenti". È molto utile per identificare vettori di attacco o rafforzare configurazioni critiche.
Esaminare i permessi nel registro
Il registro di Windows è una fonte frequente di problemi di sicurezza. Per controllare le chiavi di HKLM \ Software a cui un utente specifico non ha accesso:
accesschk -kns austin\mruss hklm\softwareVengono elencate le password bloccate per l'account, consentendo di analizzare sia le impostazioni eccessivamente restrittive che quelle eccessivamente permissive.
Livello di integrità e oggetti globali
Su Windows Vista e sistemi successivi, i livelli di integrità aiutano a isolare i processi. Per visualizzare tutti i file in una directory con un livello di integrità esplicito:
accesschk -e -s c:\users\usuarioInoltre, puoi controllare tutti gli oggetti globali che tutti gli utenti possono modificare con:
accesschk -wuo everyone \basednamedobjectsRilevamento di file e cartelle con permessi deboli
Una delle utilità più potenti di AccessChk è quella di individuare in massa directory o file il cui accesso non è sicuro per gli "Utenti" o "Utenti autenticati":
accesschk.exe -uwdqs Users c:\accesschk.exe -uwqs Users c:\*.*Con questi comandi è possibile individuare rapidamente percorsi critici che potrebbero essere sfruttati durante un processo di pentest o di rafforzamento del sistema.
Scrittore appassionato del mondo dei byte e della tecnologia in generale. Adoro condividere le mie conoscenze attraverso la scrittura, ed è quello che farò in questo blog, mostrarti tutte le cose più interessanti su gadget, software, hardware, tendenze tecnologiche e altro ancora. Il mio obiettivo è aiutarti a navigare nel mondo digitale in modo semplice e divertente.