-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Windowsowe uprawnienia na filesystemie bez klikania

22 sierpnia 2013, 10:49 | W biegu | komentarzy 6

System uprawnień do obiektów na filesystemie jest pod Windowsem dość skomplikowany (przynajmniej w porównaniu z odpowiednikiem w systemach Linux/Unix).

Czasem sprawdzenie uprawnień (szczególnie tych „specjalnych”) to przeszło 5 klików + nawigacja po różnych tabach.

Ale z pomocą przychodzi nam nieco zapomniane, choć instalowane domyślnie w Windowsach, narzędzie konsolowe: icacls. Jest ono w stanie wylistować uprawnienia do danego zasobu, ale również ustawić odpowiednie uprawnienia czy sprawdzić czy wskazany użytkownik ma prawa do danego zasobu.

Przykład:

icacls x.txt
x.txt ZARZĄDZANIE NT\SYSTEM:(I)(F)
      BUILTIN\Administratorzy:(I)(F)
      secur-77\misa:(I)(F)

Wynik nie jest może zbyt intuicyjny do analizy (ale F – to po prostu Full Control; po uruchomieniu icacls bez parametrów mamy pełną pomoc).

Więcej informacji o icacls można znaleźć na przykład tutaj.

Będąc z kolei biegłym w używaniu tego narzędzia, można spróbować przygotować prosty skrypt, który wykona analizę windowsowego filesystemu pod względem występowania na nim plików o „niebezpiecznych” uprawnieniach – nie wyobrażam sobie realizacji tego zadania jedynie poprzez „klikanie”.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Dobry pomysł ze skryptem. Przypomina mi coś na kształt szukania suidów pod Linuksem przez chakierów ;)

    Odpowiedz
    • Ano.
      Kto wie, może ktoś już udostępnił przykładowe skrypty tego typu?

      Odpowiedz
  2. A.Pawlak

    Co tu ze skryptem trudnego :-)

    icacls C:\* /T /save %userprofile%\desktop\ACL

    I masz cały dump uprawnień

    Odpowiedz
    • Racja, choć skrypt powinien analizować pewne nietypowe sytuacje – np. write dla wszystkich czy full controll – można sobie to oczywiście przeszukać, ale lepsza byłaby automatyzacja. A la różne wywołania do linuksowego finda.

      Odpowiedz
  3. A.Pawlak

    Właściwie to ciężko stworzyć skrypt pod każdą maszynę. Wszystko zależy od ustawień domeny (lub też grupy roboczej). Ww. skrypt można już zastosować np ładując %windir%\*.exe /T świeżo po instalacji maszyny, bo za pomocą tego utworzonego pliku można przywracać /restore ustawienia uprawnień wszystkich plików. A jak ktoś potrzebuje znaleźć coś konkretnego to bez opcji save, np.

    icacls C:\*.exe /T | find „(F)” -> lista exe który użytkownik ma pełną kontrolę. I tu string można doprecyzować do własnych potrzeb. Pzdr :-)

    Odpowiedz
  4. @A. Pawlak

    No OKi, choć fajnie cały czas byłoby mieć skrypcik który pokaże kilka ciekawych rzeczy (na podstawie wcześniej zebranej powiedzmy wiedzy eksperckiej zaszytej w skurpcik). Np. Everyone full controll na całym dysku to nie za dobra sprawa ;) Podobnie jak np. możliwość zapisu przez wszystkich do jakiś katalogów.

    Dobrze to robić ręcznie, choć przy dużej ilości systemów / dużej ilości plików na FS to zaczyna być nierobialne ;/

    Odpowiedz

Odpowiedz na sekurak