好站交換

最新回應

<< 使用指令工具 Appcmd 管理與設定 IIS 7 | Home | [資安筆記] Clickjacking 點閱綁架攻擊的體驗 >>

 今天下午上班時,朋友突然急發 MSN,提到之前的廠商因為貪圖方便,將網站與其他 LAN 裡面的檔案資料夾安全性都設定為 "Everyone" 可 "完全控制",其中包括了機密的設計圖檔案...等。 “Everyone” 可完全控制的狀況下造成的安全漏洞可想而知,隨便一個有一點底子的惡意人士都可輕易的將檔案複製或刪除,惡搞一點還可以來個竄改。

這時 Will 過來,跟他討論到此事,聊著聊著突然提到一個自 Windows 2000 就存在的古老指令工具: Cacls.exe。聽到之後突然愣了一下,此工具真的好久沒用了,想當初還用得很熟的說...可以說是一個簡單好用的稽核工具啊~!在今天突然又回憶起這位老朋友的時候,當下就先在 Windows 2008 試試看還在不在。恩恩~老朋友還在~而且還有一個更新版本的:ICacls.exe,中間測試的過程發覺功能與語法差不多,但 ICacls.exe 在權限繼承控制方面似乎稍強了些~不過這些不是本文的重點~在此先掠過~

 

為何不用 GUI 介面瀏覽安全性 ACL 即可
如果能輕鬆處理工作的話,誰希望使用麻煩的方法?安全性的設定不是看一下資料夾的安全性設定即可,幹嘛要用到指令?首先,我們都知道 NTFS 的權限具有 "繼承" 的概念,父系目錄的 ACL 設定會影響到子目錄的 ACL,所以一般來說都只會看父系目錄的 ACL 設定。但 NTFS 安全性中有一個選項是可讓子目錄與檔案不繼承父系設定,移除繼承後該資料夾就變成獨立設置的權限了

image

資料夾少可用人工稽核一個目錄一個目錄的看,如果是 100 個資料夾以上,深度又達 8 層的目錄結構我想會讓人瘋掉吧 ,所以輕鬆的使用一行指令就可將資料夾與檔案的權限 LIST 出來,再根據 LIST 中的列表快速設定好適當的權限絕對比 "人肉設定" 快多了~

 

使用 Cacls.exe 找出權限設置達危險程度的區域

  • 在這裡 TigerLin 先建立一個測試資料夾名為 [TTT],使用預設的權限繼承;而在其中的子目錄 [Everyone] 則是不使用繼承權限並指設定讓 Everyone 有完全控制的權限,TTT 與 Everyone 中各有五個文字檔案。
    image
  •  
  • 接下來,使用 /T 參數對 D:\TTT 這個資料夾進行 ACL 的列出清單
    cacls d:\TTT /t

    如果想將結果輸出到文字檔以供查閱可以使用以下指令 --
    cacls d:\TTT /t > D:\ACLCheck.txt

    P.S 參數說明 /t 是變更其目錄與子目錄的 ACL 權限,但因為這裡沒有指定是 /G (Grant) 或是 /R (Revoke),所以只有將 ACL 列出的效果
     
  • 這裡可以看到,每個檔案都會有 ACL 的存取清單,中間抓出兩個差異較大的如下 --

    d:\TTT\TTT (5).txt BUILTIN\Administrators:(ID)F
                       NT AUTHORITY\SYSTEM:(ID)F
                       BUILTIN\Users:(ID)R
                       Everyone:(ID)R

    d:\TTT\Everyone\Everyone-FullControl (1).txt Everyone:(ID)F
                                                 BUILTIN\Users:(ID)R

    其中的 F 代表完全控制,R代表讀取,可以看到 d:\TTT\Everyone\Everyone-FullControl (1).txt  有 Everyone 完全控制的權限,這樣很危險!!
     
  • 那要如何在龐大的目錄中過濾只有 Everyone 完全控制權限的資料夾位置?這時候別忘了更老的朋友 – Findstr 的啦~
    Findstr 可媲美 Linux 下的 grep,多加利用可以擷取很多重要的資訊。

    要過濾 [只有 Everyone 擁有完全控制權限] 的檔案與資料夾時,我們可以這樣下指令 --
    cacls d:\TTT /t | findstr /i everyone:.*F
    其中的 ".*" 代表萬用字元,/i 為忽略大小寫
  • 出現的結果如下, Cacls 與 findstr 已經成功將危險的目錄與檔案抓出來了!!!!

    C:\>cacls d:\TTT /t | findstr /i everyone:.*F
    d:\TTT\Everyone Everyone:(OI)(CI)F
    d:\TTT\Everyone\Everyone-FullControl (1).txt Everyone:(ID)F
    d:\TTT\Everyone\Everyone-FullControl (2).txt Everyone:(ID)F
    d:\TTT\Everyone\Everyone-FullControl (3).txt Everyone:(ID)F
    d:\TTT\Everyone\Everyone-FullControl (4).txt Everyone:(ID)F
    d:\TTT\Everyone\Everyone-FullControl (5).txt Everyone:(ID)F

 

參考資料
Cacls http://technet.microsoft.com/en-us/library/bb490872.aspx
Findstr http://technet.microsoft.com/en-us/library/bb490907.aspx

 



2009/2/3 01:29 | 閱讀數 : 35873 3 人收藏 1 人推薦 我要推薦 | 4 Comments | 文章分類 : IT工具 Powershell & Scripts Windows 2003 Windows 2008 Windows Vista & XP 資安筆記 訂閱

DotBlogs Tags: Scripting windows Windows 2008

回應

  • Danny 2009/2/3 上午 09:35 回覆

    # re: 使用 Windows 內建指令工具 Cacls.exe + Findstr 快速找出權限設定不當的檔案與目錄

    好文~又讓企業稽核人員學到一招~這樣MIS就不會亂搞一通嚕~

  • Stan 2009/3/5 下午 02:04 回覆

    # re: 使用 Windows 內建指令工具 Cacls.exe + Findstr 快速找出權限設定不當的檔案與目錄

    請問能否指導一下小弟,我遇到一個問題,就是file server要從A網域轉至B網域,是否可以用以上的組合指令,先行大量新增B網域的使用者進來(小弟目前已建立好的環境是:只要是A網域有的account或group,B網域就會有一個一模一樣的)

  • tigerlin 2009/3/6 下午 02:07 回覆

    # re: 使用 Windows 內建指令工具 Cacls.exe + Findstr 快速找出權限設定不當的檔案與目錄

    Hi stan,
    以上的指令是針對 NTFS 權限作設置
    跟 ACCOUNT 沒有直接的關係唷

    你要新增使用者並且加到群組中的話
    這裡可以使用 net user 與 net

    net user 帳號名稱 密碼 /add /fullname:"名稱"
    net localgroup "群組名稱" "使用者名稱" /add

    另外,要加入網域的使用者則是使用 DSADD 來進行
    詳細的語法可以至 Google 搜尋一下,有很多範例可參考唷 ;)

     

  • min 2010/1/20 下午 11:44 回覆

    # re: 使用 Windows 內建指令工具 Cacls.exe + Findstr 快速找出權限設定不當的檔案與目錄

    請問
    cacls指令可以查NTFS的權限
    如果想查資料夾的"共用"權限,應該如何查呢?
    意思是如果我把everyone設在共用頁籤的使用權限上,而不是設在安全性上面,thanks.


*標 題:

*姓 名:

 電子郵件: (將不會被顯示)

 個人網頁:

*回應

登入後使用進階評論

Please add 4 and 4 and type the answer here: