AccessEnum: el tutorial definitivo para auditar permisos en Windows

  • Vista rápida y comparativa de permisos frente al elemento padre para detectar desviaciones reales.
  • Portátil y ligera: ejecutable de ~135 KB con opción “Ejecute ahora” vía Sysinternals Live.
  • Exportación y comparación con líneas base para auditar cambios en archivos y Registro.
  • Complemento del ecosistema Sysinternals junto a Autoruns, Process Explorer, ProcMon y TCPView.
Daniel Terrasa

9 minutos

Tutorial AccessEnum en Windows

Administrar permisos en Windows puede convertirse en un auténtico rompecabezas cuando hablamos de árboles completos de carpetas o ramas del Registro. AccessEnum entra en juego como una utilidad ligera y directa, capaz de dibujar en segundos un mapa de quién puede leer, escribir o tiene denegado el acceso en rutas críticas, ahorrando tiempo y evitando que te pierdas entre ACL interminables y orientándote sobre cómo cambiar los permisos y propiedad de un archivo cuando sea necesario.

Creada bajo la suite Sysinternals por Mark Russinovich y Bryce Cogswell, su publicación en español referenciada se sitúa en el 29 de septiembre de 2022, con un ejecutable diminuto (alrededor de 135 KB) y posibilidad de “Ejecute ahora” a través de Sysinternals Live sin necesidad de instalación.

Qué es AccessEnum y qué resuelve

AccessEnum es una utilidad gratuita de Sysinternals pensada para hacer visible, de forma inmediata, la configuración de permisos sobre el sistema de archivos y el Registro de Windows. Su valor diferencial es comparar cada elemento con su padre (carpeta o clave), de modo que solo te muestra donde los permisos se han relajado o diferenciado, que es justo lo que indica posible riesgo o incoherencia.

En la práctica, verás un listado con tres dimensiones legibles: lectura, escritura y denegación. Gestionar los permisos de las aplicaciones queda fuera del alcance directo de AccessEnum, pero la herramienta te orienta sobre dónde actuar y priorizar.

La herramienta recurre a las API de seguridad estándar de Windows para consultar las listas de control de acceso (ACL) y presentar la información en su vista principal. En lugar de comparar bit a bit, aplica una lógica de equivalencia por tipo de acceso: si el elemento hijo mantiene “alguna forma de escritura” como el padre, lo considera equivalente en ese eje aunque el subconjunto exacto de derechos no coincida al 100%.

Esa forma de agrupar reduce falsos positivos y pone el foco donde realmente te interesa actuar. En cuestión de segundos tendrás una fotografía coherente de las desviaciones que afectan a la superficie de exposición, tanto en rutas del sistema de archivos como en ramas del Registro.

Guía de permisos con AccessEnum

Diferencias entre carpetas y archivos

Hay un matiz importante: en el caso de los archivos, AccessEnum solo los resalta cuando sus permisos son menos restrictivos que los de su carpeta contenedora. Esta decisión prioriza aquello que eleva el riesgo: un fichero concreto que se ha “abierto” más de la cuenta.

Si tu política exige otro comportamiento, puedes modificarlo desde el menú Options o, si procede, ejecutar una aplicación con permisos de administrador para realizar cambios y pruebas con privilegios.

Si tu política exige otro comportamiento, puedes modificarlo desde el menú Options. La herramienta es flexible y permite ajustar el criterio para encajar con las normas de tu organización. Además, por defecto, quedan fuera los archivos de sistema y las cuentas de servicio, evitando ruido innecesario en la salida.

Conviene revisar el menú Help/Contents. Ahí se explican con detalle las condiciones de búsqueda y comparación, con los matices que aclaran por qué un elemento aparece destacado y otro no.

Ejecución portátil, descarga y compatibilidad

No hay instaladores ni asistentes: estamos ante un ejecutable GUI portátil. Basta con copiar AccessEnum y hacer doble clic. Si prefieres cero huella en disco, opta por “Ejecute ahora” mediante Sysinternals Live y lánzalo en caliente desde la propia web de Microsoft.

En datos prácticos: el binario ronda los 135 KB, la versión estable referenciada es la 1.35, y figura en la categoría de Utilidades de Discos y Archivos. La compatibilidad abarca Windows 11, 10, 8.1, 8, 7 y Vista, tanto en entornos domésticos como corporativos, y su origen se remonta a los sistemas basados en Windows NT.

accessenum

Configurar el escaneo: alcance, filtros y exclusiones

El escaneo puede dirigirse a todo el sistema o acotarse a una ruta específica, y lo mismo para el Registro. Por defecto, verás directorios cuyos permisos difieren del padre y archivos con permisos más permisivos que su carpeta. Si trabajas en un compartido sensible o en una rama crítica, es buena idea acotar el alcance para centrarte en lo relevante.

Desde Options puedes perfilar el criterio de comparación, ajustar el ámbito y definir exclusiones de rutas o patrones, por ejemplo para cambiar los permisos de una aplicación y validar el impacto en áreas concretas. Las exclusiones son oro cuando tienes zonas con configuración “especial” que no quieres revisar en cada análisis. Mantener un set de exclusiones estable te ahorra tiempo en auditorías periódicas.

  • Ámbito flexible: sistema de archivos completo, carpeta concreta, Registro completo o rama concreta.
  • Criterios ajustables: qué se considera desviación frente al padre para lectura, escritura o denegar.
  • Exclusiones: rutas, cuentas o patrones que no deseas que aparezcan en cada ejecución.

Interfaz, ordenación y acciones rápidas

Una vez finalizado el análisis, se puede ordenar cualquier columna haciendo clic en la cabecera, alternando ascendente/descendente con pulsaciones sucesivas. Esta ordenación te ayuda a priorizar primero lo más sensible, ya sea por ruta, tipo de permiso o cuentas implicadas.

El menú contextual sobre cada línea ofrece varias acciones de ahorro de tiempo: ver propiedades del elemento (desde donde sí podrás cambiar permisos si procede), excluir de la vista ese ítem o abrir la ubicación correspondiente (carpeta o clave del Registro) con la opción Explore. Son pequeños atajos que evitan saltos innecesarios entre ventanas.

Guardar resultados, comparar y crear una línea base

AccessEnum permite exportar el resultado a un archivo .txt. Ese snapshot te sirve de línea base para comparar más adelante, tras una actualización, un cambio de política o la resolución de una incidencia. Es una forma sencilla de vigilar regresiones con el paso del tiempo.

Un ejemplo típico: guardas un estado de la carpeta “confidencial”, aplicas la política endurecida y semanas después vuelves a escanear para contrastar. La comparación te dirá si se han reintroducido permisos relajados o si todo sigue como toca. Es práctica, rápida y deja evidencia trazable.

sysinternals

AccessEnum dentro del ecosistema Sysinternals

Sysinternals nació en 1996 de la mano de Mark Russinovich y Bryce Cogswell para alojar utilidades avanzadas de sistema y contenido técnico. En julio de 2006 Microsoft adquirió Sysinternals y, desde entonces, sus herramientas siguen actualizándose con regularidad. La mayoría son portátiles, lo que reduce fricciones en entornos con controles estrictos.

Aunque aquí nos centramos en AccessEnum, es útil conocer compañía de primer nivel con la que se complementa. Con este kit podrás cubrir auditoría de permisos, arranques, procesos, red y forensia con una profundidad difícil de igualar:

  • Autoruns: muestra y gestiona ubicaciones de inicio automático con el listado más amplio. Permite ocultar entradas de Microsoft para centrarte en terceros e integra VirusTotal. Las entradas en rosa suelen señalar archivos sin firma válida o no verificable; las amarillas apuntan a rutas inexistentes o inaccesibles que conviene revisar antes de deshabilitar. Entre sus columnas clave: Autorun Entry, Description, Publisher, Image Path, Timestamp y veredicto de VirusTotal.
  • Process Explorer: la versión “pro” del Administrador de tareas. Muestra jerarquía de procesos, DLL cargadas y handles, incluye verificación de firmas, codificación por colores, línea temporal de procesos y un panel inferior con detalles profundos. Ideal para detectar empaquetados, pérdidas de identificadores o validar editores.
  • Process Monitor: monitoriza en tiempo real sistema de archivos, Registro y actividad de procesos. Ofrece filtros avanzados, propiedades de evento completas, pilas de threads con símbolos y registro a fichero. Es clave para entender interacciones complejas o tareas de caza de malware.
  • TCPView: lista en vivo los endpoints TCP/UDP con dirección local/remota, estado y proceso asociado, mucho más digerible que netstat, y fantástico para detectar conexiones sospechosas.
  • BGInfo: pinta en el fondo de escritorio datos del sistema (nombre del equipo, IP, etc.), muy práctico en inventariado visual cuando saltas entre equipos.
  • Contig: desfragmenta archivos individuales, útil para evitar desfragmentaciones completas cuando solo te preocupan ficheros que se fragmentan a menudo.
  • Desktops: crea hasta cuatro escritorios virtuales, incluso en versiones antiguas de Windows, para organizar contextos de trabajo.
  • DiskMon: permite observar en tiempo real sectores activos del disco. Entre sus campos más visibles: # (fila), Time, Duration, Disk, tipo de Request (lectura/escritura), Sector y Length.
  • Disk2vhd: convierte un disco físico a VHD para usar en máquinas virtuales de Microsoft, facilitando pruebas o migraciones.
  • PsTools y PsExec: conjunto de utilidades de línea de comandos para administración remota. PsExec ejecuta procesos remotamente sin agentes; puedes, por ejemplo, refrescar directivas en un equipo remoto lanzando «PsExec \\nombreDeEquipo gpupdate» y agilizar tareas de operación.
  • Sysmon: registra eventos avanzados de seguridad (creación de procesos, conexiones de red, cambios de timestamps, accesos a memoria, hilos remotos…), ideal para correlación posterior en SIEM.
  • ZoomIt: herramienta de zoom y dibujo en pantalla muy útil para presentaciones técnicas y formaciones.

Notas sobre fuentes y enlaces de navegación

En algunas publicaciones encontrarás enlaces a contenidos generales (“cómo cambiar una app predeterminada”, “cómo desinstalar un antivirus”, etc.) intercalados entre secciones. Son referencias de navegación del medio y no afectan al uso de AccessEnum. En el ámbito comunitario, también es habitual un tono cercano con mensajes personales como “Seguridad a lo Jabalí para Todos!!”, que contextualizan al autor, aunque no formen parte de la operativa técnica.

Si trabajas con Windows y te preocupa quién puede abrir, modificar o denegar acceso a datos y configuraciones, AccessEnum te da justo lo que necesitas: claridad y rapidez en algo que, sin ayuda, suele ser tedioso. Con su lógica de comparación inteligente, exportación a texto, opciones de exclusión y portabilidad, puedes blindar permisos sin perderte entre miles de entradas, y, si lo acompañas del resto del arsenal Sysinternals, te montas un flujo de trabajo sólido para operar y responder ante incidentes con solvencia.

accesschk
Artículo relacionado:
Cómo usar AccessChk para auditar permisos en Windows