Windows安全工具:AccessChk与Sysmon深度解析
在Windows系统的安全管理中,AccessChk和Sysmon是两款非常实用的工具。它们能帮助用户深入了解系统的安全设置和监控潜在的恶意活动。下面将详细介绍这两款工具的功能和使用方法。
AccessChk工具
AccessChk是一款用于检查系统对象访问权限的工具。在系统中,许多对象对普通用户是没有访问权限的,例如每个用户的个人资料内容对非管理员用户是隐藏的。要查看这些对象的访问权限,AccessChk必须以管理员权限运行。但有些对象甚至连管理员都没有访问权限,只有系统账户才有。为了能查看这些对象的权限,AccessChk会从Winlogon.exe进程复制一个系统令牌,并模拟该令牌重新尝试访问。
如果用户想查找设置了可继承权限的具体位置,可以使用-i选项。该选项只会列出具有显式权限的对象,而忽略那些仅继承了权限的对象。需要注意的是,-i选项只能与-l和-L选项一起使用,并且必须紧跟在它们后面。
AccessChk输出选项
AccessChk提供了多种输出选项,以满足不同用户的需求。
-详细权限查看(-v):在AccessChk命令行中添加-v选项,可以查看详细的权限信息。例如,在Windows 7系统上使用以下命令查看%SystemDrive%\的有效权限:
