หากคุณทำงานกับ Windows และสนใจด้านความปลอดภัย การดูแลระบบ หรือการทดสอบการเจาะระบบ การทราบ การเข้าถึงChk เป็นสิ่งสำคัญ สิ่งนี้ เครื่องมือฟรีจาก Microsoft Sysinternals ช่วยให้คุณสามารถสำรวจสิทธิ์การเข้าถึงแบบเจาะลึกในไฟล์ บริการ คีย์รีจิสทรี และทรัพยากรระบบอื่นๆ ส่วนที่ดีที่สุดคือทุกอย่างทำงานจากบรรทัดคำสั่ง
ในบทความนี้ เราได้รวบรวมข้อมูลที่เกี่ยวข้องทั้งหมดเกี่ยวกับการใช้งาน ตัวเลือก และการประยุกต์ใช้จริง โดยอธิบายทุกอย่างไว้อย่างชัดเจนและเข้าถึงได้
AccessChk คืออะไร และทำไมคุณจึงควรรู้เรื่องนี้?
การเข้าถึงChk เป็นยูทิลิตี้ที่พัฒนาโดย มาร์ครัสซิโนวิช และขณะนี้ได้รับการดูแลโดย Microsoft ภายในชุด Sysinternals ฟังก์ชันหลักคือ แสดงสิทธิ์ที่ผู้ใช้หรือกลุ่มมีบนทรัพยากรระบบปฏิบัติการ Windowsสามารถใช้ในการวิเคราะห์ไฟล์ โฟลเดอร์ คีย์รีจิสทรี บริการ กระบวนการ ทรัพยากรที่ใช้ร่วมกัน และวัตถุทั่วโลก
มันมีประโยชน์อย่างยิ่งสำหรับ ตรวจจับการกำหนดค่าที่ไม่ถูกต้องซึ่งอาจทำให้เกิดการเข้าถึงที่ไม่จำเป็นเช่น ไดเร็กทอรีที่ผู้ใช้ทุกคนสามารถเขียนได้ บริการที่สามารถแก้ไขได้โดยไม่ต้องมีสิทธิ์ระดับสูง หรือคีย์รีจิสทรีที่เสี่ยงต่อการถูกโจมตี นอกจากนี้ยังเป็นเครื่องมือสำคัญในการตรวจสอบความปลอดภัยและการฝึกซ้อมการทำงานเป็นทีม
ข้อดีของการใช้ AccessChk ในการตรวจสอบและการป้องกันของ Windows
การควบคุมการเข้าถึงใน Windows ขึ้นอยู่กับตัวระบุความปลอดภัย ACL (รายการควบคุมการเข้าถึง) และระดับความสมบูรณ์ ข้อผิดพลาดในการกำหนดค่าเพียงครั้งเดียวอาจหมายถึงการละเมิดที่ส่งผลเสียต่อระบบทั้งหมดนี่คือจุดที่ AccessChk สร้างความแตกต่าง:
- ช่วยให้คุณค้นหาสิทธิ์ที่มากเกินไป ในไฟล์ ไดเร็กทอรี และบริการ
- ช่วยระบุการกำหนดค่าที่เป็นอันตราย เช่นการแย่งชิง DLL หรือเส้นทางที่ไม่ได้ใส่เครื่องหมายคำพูด
- อำนวยความสะดวกในการตรวจสอบการเข้าถึงที่สืบทอดหรือชัดเจน ในระบบไฟล์และรีจิสทรี
- ช่วยให้คุณสามารถตรวจจับวัตถุได้โดยไม่ต้องเข้าถึง หรือที่คุณมีสิทธิ์อ่านหรือเขียน
วิธีการติดตั้งและเริ่มใช้ AccessChk
ข้อดีประการหนึ่งของ AccessChk คือไม่จำเป็นต้องติดตั้ง นี่เป็นไฟล์ปฏิบัติการแบบพกพา ซึ่งคุณสามารถดาวน์โหลดได้จากเว็บไซต์ Sysinternals อย่างเป็นทางการ (Microsoft) หรือรันโดยตรงจาก Sysinternals Live
- ดาวน์โหลดไฟล์ปฏิบัติการ จาก Microsoft Learn หรือ Sysinternals
- คัดลอกไฟล์ accesschk.exe ในโฟลเดอร์ที่รวมอยู่ในตัวแปรสภาพแวดล้อม PATH ของคุณ (ตัวอย่างเช่น
C:\Windows). - เปิดคอนโซลคำสั่ง และเรียกใช้
accesschkเพื่อดูตัวเลือกที่มีอยู่ทั้งหมด
ไม่จำเป็นต้องมีสิทธิ์ระดับสูงเพื่อเรียกใช้แม้ว่าผลลัพธ์จะแตกต่างกันขึ้นอยู่กับการอนุญาตของผู้ใช้ปัจจุบันก็ตาม
คำสั่งและพารามิเตอร์ AccessChk ที่มีประโยชน์ที่สุด
AccessChk มีตัวปรับเปลี่ยนหลากหลายที่ช่วยให้คุณปรับแต่งผลลัพธ์ให้ตรงกับสิ่งที่คุณต้องการตรวจสอบจริงๆ ด้านล่างนี้เป็นตัวเลือกที่พบบ่อยที่สุดและประโยชน์ของมัน:
| พารามิเตอร์ | ฟังก์ชัน |
|---|---|
| -a | แสดงสิทธิ์บัญชีผู้ใช้ |
| -c | สอบถามสิทธิ์บนบริการ Windows (ตัวอย่างเช่น ssdpsrv). |
| -d | กรองเฉพาะไดเร็กทอรีหลักหรือคีย์เท่านั้น |
| -e | แสดงระดับความสมบูรณ์ที่ระบุไว้ชัดเจน |
| -f | รายการโทเค็นกระบวนการหรือกรองผู้ใช้ |
| -h | ตรวจสอบการใช้ทรัพยากรร่วมกัน |
| -k | ทำงานร่วมกับคีย์รีจิสทรี |
| -l | ส่งคืนตัวอธิบายความปลอดภัยที่สมบูรณ์ |
| -n | แสดงวัตถุโดยไม่มีการอนุญาตการเข้าถึง |
| -o | การทำงานกับวัตถุทั่วโลก |
| -p | ช่วยให้คุณสามารถระบุกระบวนการหรือ PID ได้ |
| -r | กรองตามการเข้าถึงการอ่าน |
| -s | ดำเนินการค้นหาแบบซ้ำซ้อน |
| -t | กรองตามประเภทวัตถุ |
| -u | ข้ามข้อผิดพลาดในการส่งออก |
| -v | แสดงข้อมูลอย่างละเอียด |
| -w | กรองตามการเข้าถึงการเขียน |
โดยค่าเริ่มต้น เส้นทางจะถูกตีความว่าเป็นเส้นทางระบบไฟล์แต่คุณสามารถระบุคีย์รีจิสทรี อ็อบเจ็กต์ทั่วโลก หรือกระบวนการด้วยสวิตช์ที่เกี่ยวข้องได้ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับสิทธิ์ใน Windows 11 คุณสามารถดูได้ที่ วิธีการจัดการสิทธิ์ใน Windows 11.
ตัวอย่างในชีวิตจริงของการใช้ AccessChk
วิธีที่ดีที่สุดในการทำความเข้าใจพลังของ AccessChk คือการดูตัวอย่างที่เป็นรูปธรรม ต่อไปนี้คือกรณีตัวอย่างบางส่วนที่จะช่วยให้คุณใช้ประโยชน์จากมันได้มากที่สุด:
การอนุญาตที่มีผลบนโฟลเดอร์ระบบ
accesschk "Power Users" c:\windows\system32
คำสั่งนี้จะแสดงให้คุณเห็นว่าสมาชิกในกลุ่ม Power Users มีสิทธิ์อะไรในไฟล์และโฟลเดอร์ภายในเส้นทางนั้น
ตรวจสอบการเข้าถึงการเขียนไปยังบริการระบบ
accesschk users -cw *
เหมาะอย่างยิ่งสำหรับการตรวจจับเวกเตอร์การเพิ่มสิทธิ์ที่อาจเกิดขึ้น โดยเฉพาะอย่างยิ่งหากกลุ่มมีการอนุญาตที่ไม่จำเป็นบนบริการที่สำคัญ
วิเคราะห์สิทธิ์บนคีย์รีจิสทรี
accesschk -kns austin\mruss hklm\software
มีประโยชน์สำหรับการบล็อกการเข้าถึงที่ไม่ต้องการหรือการตรวจสอบการจำกัดบัญชีที่มากเกินไป
สอบถามระดับความสมบูรณ์และวัตถุทั่วโลก
accesschk -e -s c:\users\usuario
accesschk -wuo everyone \basednamedobjects
ระดับความสมบูรณ์ที่นำมาใช้ใน Windows Vista จะกำหนดการแยกระหว่างกระบวนการ AccessChk ช่วยให้ดูได้ง่าย
ตรวจสอบสิทธิ์ที่อ่อนแอในโฟลเดอร์และไฟล์
accesschk.exe -uwdqs Users c:\
accesschk.exe -uws q s Users c:\*.*
มีประโยชน์มากในสภาพแวดล้อมองค์กรขนาดใหญ่ ช่วยให้คุณค้นหาการกำหนดค่าที่สามารถใช้ประโยชน์ได้
แอปพลิเคชัน AccessChk ในสถานการณ์การทดสอบการเจาะระบบ
AccessChk มีประโยชน์ในบริบทที่ไม่เหมาะสมซึ่งเราพยายามเพิ่มสิทธิ์หรือย้ายออกไปในแนวขวาง การใช้งานทั่วไปบางส่วน ได้แก่:
- การตรวจจับบริการที่มีเส้นทางที่ไม่ได้อยู่ในเครื่องหมายคำพูด ที่อนุญาตให้มีการเรียกใช้ DLL ที่เป็นอันตรายได้หากผู้ใช้สามารถเขียนลงในไดเร็กทอรีที่ได้รับผลกระทบได้
- การตรวจสอบสิทธิ์บนไฟล์ปฏิบัติการ ของบริการที่มีการกำหนดค่าผิดพลาด
- การสแกนคีย์รีจิสทรีที่สำคัญ ในขณะที่
Winlogonหรือการตั้งค่าการเข้าสู่ระบบอัตโนมัติ - การผสานรวมกับเครื่องมืออื่นๆ เพื่อทำให้การรวบรวมหลักฐานและช่องโหว่เป็นระบบอัตโนมัติ
นอกจากนี้ยังใช้งานร่วมกับเครื่องมือต่างๆ เช่น โปรคมอน o พิษ MSF เพื่อดักจับการเรียกไปยัง DLL ที่หายไปและสร้างเพย์โหลดที่มีประสิทธิภาพจากบริการที่ถูกบุกรุก
AccessChk มอบข้อมูลเชิงลึกอันมีค่าเกี่ยวกับการใช้สิทธิ์อนุญาตบนระบบ Windows ไม่ว่าคุณจะกำลังรักษาความปลอดภัยระบบการผลิตหรือกำลังสำรวจเวกเตอร์การโจมตีระหว่างการทดสอบการเจาะระบบ การใช้งานนั้นแทบจะเป็นสิ่งจำเป็น หากคุณยังไม่ได้ลองใช้ ให้ลองเลย รับรองว่าจะกลายเป็นหนึ่งในเครื่องมือโปรดของคุณในไม่ช้า