Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Windowsowe uprawnienia na filesystemie bez klikania
System uprawnień do obiektów na filesystemie jest pod Windowsem dość skomplikowany (przynajmniej w porównaniu z odpowiednikiem w systemach Linux/Unix).
Czasem sprawdzenie uprawnień (szczególnie tych „specjalnych”) to przeszło 5 klików + nawigacja po różnych tabach.
Ale z pomocą przychodzi nam nieco zapomniane, choć instalowane domyślnie w Windowsach, narzędzie konsolowe: icacls. Jest ono w stanie wylistować uprawnienia do danego zasobu, ale również ustawić odpowiednie uprawnienia czy sprawdzić czy wskazany użytkownik ma prawa do danego zasobu.
Przykład:
icacls x.txt
x.txt ZARZĄDZANIE NT\SYSTEM:(I)(F)
BUILTIN\Administratorzy:(I)(F)
secur-77\misa:(I)(F)
Wynik nie jest może zbyt intuicyjny do analizy (ale F – to po prostu Full Control; po uruchomieniu icacls bez parametrów mamy pełną pomoc).
Więcej informacji o icacls można znaleźć na przykład tutaj.
Będąc z kolei biegłym w używaniu tego narzędzia, można spróbować przygotować prosty skrypt, który wykona analizę windowsowego filesystemu pod względem występowania na nim plików o „niebezpiecznych” uprawnieniach – nie wyobrażam sobie realizacji tego zadania jedynie poprzez „klikanie”.
–ms
Dobry pomysł ze skryptem. Przypomina mi coś na kształt szukania suidów pod Linuksem przez chakierów ;)
Ano.
Kto wie, może ktoś już udostępnił przykładowe skrypty tego typu?
Co tu ze skryptem trudnego :-)
icacls C:\* /T /save %userprofile%\desktop\ACL
I masz cały dump uprawnień
Racja, choć skrypt powinien analizować pewne nietypowe sytuacje – np. write dla wszystkich czy full controll – można sobie to oczywiście przeszukać, ale lepsza byłaby automatyzacja. A la różne wywołania do linuksowego finda.
Właściwie to ciężko stworzyć skrypt pod każdą maszynę. Wszystko zależy od ustawień domeny (lub też grupy roboczej). Ww. skrypt można już zastosować np ładując %windir%\*.exe /T świeżo po instalacji maszyny, bo za pomocą tego utworzonego pliku można przywracać /restore ustawienia uprawnień wszystkich plików. A jak ktoś potrzebuje znaleźć coś konkretnego to bez opcji save, np.
icacls C:\*.exe /T | find „(F)” -> lista exe który użytkownik ma pełną kontrolę. I tu string można doprecyzować do własnych potrzeb. Pzdr :-)
@A. Pawlak
No OKi, choć fajnie cały czas byłoby mieć skrypcik który pokaże kilka ciekawych rzeczy (na podstawie wcześniej zebranej powiedzmy wiedzy eksperckiej zaszytej w skurpcik). Np. Everyone full controll na całym dysku to nie za dobra sprawa ;) Podobnie jak np. możliwość zapisu przez wszystkich do jakiś katalogów.
Dobrze to robić ręcznie, choć przy dużej ilości systemów / dużej ilości plików na FS to zaczyna być nierobialne ;/