#author("2018-10-26T22:40:24+09:00","","") #navi(../) * PowerShellでファイルのセキュリティ情報を取得する [#m182eaad] ファイルのプロパティ画面のセキュリティタブの情報をPowerShellで取得する方法を以下に記します。~ 以下のキャプチャーは、ワードパットのセキュリティタブになります。 #ref(01.png) #contents #htmlinsertpcsp(win-top.html,win-sp.html) * [#e04228e6] * 動作確認環境 [#va352292] PS C:\> (Get-WmiObject Win32_OperatingSystem).Caption Microsoft Windows 10 Pro PS C:\> ($PSVersionTable).PSVersion.toString() 5.1.17134.228 * セキュリティタブ情報を取得する(その1) [#w55b6d38] セキュリティタブ情報を取得する場合、以下のような手順になります。~ CSV化などをしたい場合は、「[[セキュリティタブ情報を取得する(その2)]]」を参照してください。 ** ファイルのアクセス情報を取得する [#d2efef85] + Get-Itemコマンドレットを使用し、対象ファイルを指定します。 PS C:\> $f = Get-Item C:\windows\write.exe + GetAccessControlメソッドを呼び出します。 PS C:\> $a = $f.GetAccessControl() + AccessToStringスクリプトプロパティを指定すると以下のようにセキュリティタブに表示されている情報が表示されます。 PS C:\> $a.AccessToString 上記コマンドを実行したときの出力です。 NT AUTHORITY\SYSTEM Allow ReadAndExecute, Synchronize BUILTIN\Administrators Allow ReadAndExecute, Synchronize BUILTIN\Users Allow ReadAndExecute, Synchronize NT SERVICE\TrustedInstaller Allow FullControl APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES Allow ReadAndExecute, Synchronize APPLICATION PACKAGE AUTHORITY\制限されたすべてのアプリケーション パッケージ Allow ReadAndExecute, Synchronize 上記の出力を確認してみます。~ - NT SERVICE\TrustedInstaller -- PowerShellの出力 BUILTIN\Users Allow ReadAndExecute, Synchronize -- キャプチャー PowerShellの出力と比較すると ''ReadAndExecute'' は「読み取りと実行と読み取り」になります。~ #ref(02.png) ** ディレクトリのアクセス情報を取得する [#decb639e] ディレクトリも上記同様の操作で情報を取得することができます。 PS C:\> (Get-Item C:\Windows).GetAccessControl().AccessToString CREATOR OWNER Allow 268435456 NT AUTHORITY\SYSTEM Allow 268435456 NT AUTHORITY\SYSTEM Allow Modify, Synchronize BUILTIN\Administrators Allow 268435456 BUILTIN\Administrators Allow Modify, Synchronize BUILTIN\Users Allow -1610612736 BUILTIN\Users Allow ReadAndExecute, Synchronize NT SERVICE\TrustedInstaller Allow 268435456 NT SERVICE\TrustedInstaller Allow FullControl APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES Allow ReadAndExecute, Synchronize APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES Allow -1610612736 APPLICATION PACKAGE AUTHORITY\制限されたすべてのアプリケーション パッケージ Allow ReadAndExecute, Synchronize APPLICATION PACKAGE AUTHORITY\制限されたすべてのアプリケーション パッケージ Allow -1610612736 #ref(03.png) * AccessToStringのスクリプトを調べてみる [#z5a01f5a] AccessToStringには、実際にどのようなスクリプトが仕込まれているか確認してみます。 今回、以下のように ''AccessToString'' を使用しました。 PS C:\> $d = Get-Item C:\Windows\ PS C:\> $d.GetAccessControl() | Get-Member TypeName: System.Security.AccessControl.DirectorySecurity Name MemberType Definition ---- ---------- ---------- Access CodeProperty System.Security.AccessControl.AuthorizationRuleCollection Access{get=... Group CodeProperty System.String Group{get=GetGroup;} Owner CodeProperty System.String Owner{get=GetOwner;} Path CodeProperty System.String Path{get=GetPath;} Sddl CodeProperty System.String Sddl{get=GetSddl;} <省略> AccessToString ScriptProperty System.Object AccessToString {get=$toString = "";... <省略> ''AccessToString''の''Definition''を見ると、スクリプトが設定されています。~ このスクリプトは何が書かれているか確認してみます。~ Get-Itemで指定したファイルはなんでもいいです。オブジェクトを受け取るために指定しただけです。 PS C:\> ((Get-Item C:\Windows\).GetAccessControl() | Get-Member | ? { $_.Name -eq "AccessToString" }).Definition System.Object AccessToString {get=$toString = ""; $first = $true; if ( ! $this.Access ) { return "" } foreach($ace in $this.Access) { if($first) { $first = $false; } else { $tostring += "`n"; } $toString += $ace.IdentityReference.ToString(); $toString += " "; $toString += $ace.AccessControlType.ToString(); $toString += " "; if($ace -is [System.Security.AccessControl.FileSystemAccessRule]) { $toString += $ace.FileSystemRights.ToString(); } elseif($ace -is [System.Security.AccessControl.RegistryAccessRule]) { $toString += $ace.RegistryRights.ToString(); } } return $toString;;} 上記の通り、スクリプトにより、アクセス情報を取得し表示しているのがスクリプトからわかります。 * セキュリティタブ情報を取得する(その2) [#tb09b093] GetAccessControl().Accessで取得する例を以下に記します。~ CSV化など簡単にできます。 以下の構文のスクリプトを実行すると、指定したファイル・ディレクトリのアクセス情報を取得できます。 PS C:\> (Get-Item "C:\Windows\write.exe").GetAccessControl().Access FileSystemRights : ReadAndExecute, Synchronize AccessControlType : Allow IdentityReference : NT AUTHORITY\SYSTEM IsInherited : False InheritanceFlags : None PropagationFlags : None FileSystemRights : ReadAndExecute, Synchronize AccessControlType : Allow IdentityReference : BUILTIN\Administrators IsInherited : False InheritanceFlags : None PropagationFlags : None <省略> 実際に必要そうな項目をSelect-Objectで指定した場合の出力です。 PS C:\> (Get-Item "C:\Windows\write.exe").GetAccessControl().Access | Select-Object IdentityReference, AccessControlType, FileSystemRights IdentityReference AccessControlType FileSystemRights ----------------- ----------------- ---------------- NT AUTHORITY\SYSTEM Allow ReadAndExecute, Synchronize BUILTIN\Administrators Allow ReadAndExecute, Synchronize BUILTIN\Users Allow ReadAndExecute, Synchronize NT SERVICE\TrustedInstaller Allow FullControl APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES Allow ReadAndExecute, Synchronize APPLICATION PACKAGE AUTHORITY\制限されたすべてのアプリケーション パッケージ Allow ReadAndExecute, Synchronize ここまで出力されれば、あとは以下のような感じでCSV出力が可能です。 PS C:\> (Get-Item "C:\Windows\write.exe").GetAccessControl().Access | Select-Object IdentityReference, AccessControlType, FileSystemRights | Export-Csv -Encoding default $HOME\Desktop\ace.csv #ref(04.png) 以上、PowerShellでファイルやディレクトリのアクセス情報を取得する方法でした。 #htmlinsertpcsp(win-btm.html,win-sp.html)