AccessEnum

Téléchargez AccessEnum (http://www.sysinternals.com/) sur un système Windows Server 2003, Windows XP ou Windows 2000, puis exécutez le programme. La figure 1 montre la fenêtre principale de l’outil. Dans la boîte de texte située à la partie supérieure, entrez le chemin d’accès racine de l’arbre de répertoires ou de la sous-clé de registre que vous voulez examiner, puis cliquez sur Scan. AccessEnum examine les descripteurs de sécurité de chaque objet sous la racine spécifiée, puis n’affiche que les objets dont la sécurité diffère de celle de leurs conteneurs parents.

AccessEnum résume les permissions dans l’une de trois catégories – Read, Write et Deny – qu’il présente sous forme de colonnes. Si un utilisateur ou un groupe bénéficie d’un type quelconque d’accès Read (Read Permissions, Read Data, par exemple) sur un fichier, AccessEnum montre que l’utilisateur a l’accès Read. L’outil traite les accès Write et Deny de la même manière. (L’outil regroupe les permissions de cette manière pour empêcher une sortie trop volumineuse.)

Ainsi, si un utilisateur possède l’un des accès Read possibles à un répertoire particulier mais pas au répertoire parent, AccessEnum place le nom du répertoire dans la colonne Path et le compte utilisateur dans la colonne Read de l’entrée. Supposons qu’un utilisateur ait l’accès Write au répertoire et à tous les sous-répertoires \Windows\System32 mais pas au répertoire \Windows. AccessEnum renverra une entrée pour \Windows\System32 avec le compte utilisateur dans la colonne Write.

L’outil optimise la sortie d’une autre manière : en condensant les comptes affichés en groupes d’appartenance. Quand un groupe a l’accès Read à un répertoire mais pas à son répertoire parent et qu’il en est de même pour un ou plusieurs membres de groupes, AccessEnum ne présentera le groupe que dans la colonne Read plutôt que dans le groupe de chaque membre de groupe.

Le menu Options de AccessEnum offre deux paramètres servant à modifier le mode de fonctionnement de l’outil. La première option, Show Local System Account, est activée par défaut. Si vous la désactivez en inversant l’entrée du menu, AccessEnum ignore les permissions qui font référence au compte Local System. Seuls les services Windows et les composantes OS centrales utilisent le compte Local System, donc si vous essayez simplement de déterminer les discordances de permissions des utilisateurs et des groupes sur votre système ou réseau, vous pouvez désactiver ce paramètre sans aucun risque. Cependant, pour que Windows puisse s’initialiser et fonctionner correctement, le compte Local System doit pouvoir accéder aux nombreux répertoires et clés de registres système. Par conséquent, en laissant cette option activée (afin que AccessEnum puisse analyser les problèmes de permissions impliquant le compte Local System), vous préviendrez ou corrigerez les problèmes que pourrait entraîner un verrouillage de sécurité trop rigoureux.

La seconde option, File Permissions Options, influence le moyen dont AccessEnum traite les permissions de fichiers. Par défaut, l’outil donne la liste des fichiers qui ont des permissions moins restrictives que leurs répertoires parents. Les File Permissions Options, auxquelles vous pouvez accéder en sélectionnant Options, File display options dans la barre de menu, vous permet de configurer AccessEnum pour qu’il traite les fichiers comme il traite les répertoires, en affichant un fichier quand ses permissions diffèrent un tant soit peu de celles de son répertoire parent.