AccessEnum: Benutzerrechte für NTFS und Registry analysieren

Ein akkurates Rechte-Management für Dateien und Ordner ist nicht nur kritisch, sondern unter Windows auch notorisch unübersichtlich. Einige Zusatz-Tools vereinfachen diese Aufgabe. Dazu zählt auch das kostenlose AccessEnum, das bei der Aufbereitung der Daten eigene Wege geht.

Nicht nur die große Zahl an verschiedenen Privilegien, die man auf NTFS-Volumes an User vergeben kann, macht ihr Management relativ kompliziert. Auch die Beschränkungen der Bordmittel können dazu beitragen, dass einzelne Benutzer zu viele oder unzureichende Rechte erhalten. Vor allem die grafischen Tools im Explorer bieten keinen Überblick über alle Zugriffrechte in einem Verzeichnisbaum, sondern nur für einzelne Objekte.

CLI oder externe Tools

Unter den Windows-eigenen Werkzeugen stellen Programme für die Kommandozeile und PowerShell eine Alternative zum Explorer dar, weil sie flexibler sind, um die benötigten Informationen zu extrahieren (siehe dazu: icacls, Get-ACL: Dateirechte anzeigen auf der Kommandozeile und in PowerShell). Darüber hinaus empfehlen sich aber einige kostenlose Tools wie der NTFS Permissions Reporter oder das altgediente Dumpsec.

Die Entscheidung für ein bestimmtes Programm wird vor allem davon abhängen, wie man Fehlkonfigurationen auf die Schliche kommen will. Das ungefilterte Anzeigen von sämtlichen Dateiobjekten inklusive aller Benutzer und der an sie vergebenen Rechte ist dabei selten hilfreich.

Implizite Filter in AccessEnum

AccessEnum, ein weiteres Werkzeug aus der Sammlung von Sysinternals, versucht diese Informationen durch einige plausible Reduktionen einzudampfen und so die Sicht auf die wesentlichen Aspekte freizugeben.

Wählt man nach dem Start des Programms das gewünschte Verzeichnis aus, dann scannt es rekursiv alle darin enthaltenen Dateien und Ordner. Eine Einschränkung auf bestimmte Dateitypen oder die Tiefe der Verzeichnis­struktur ist nicht vorgesehen.

Fokus auf abweichende Rechte

Der erste Filter, den AccessEnum standardmäßig anwendet, blendet alle Dateien aus, wenn sie gleiche oder geringere Rechte gewähren wie das übergeordnete Verzeichnis. Das Tool konzentriert sich somit auf solche Objekte, die durch laxere Zugriffsregeln auffallen.

Dieses Verhalten kann man unter Options => File display options so ändern, dass auch solche Dateien im Ergebnis aufscheinen, deren Zugriffsrechte restriktiver sind als im übergeordneten Container.

In der Regel will sich der Administrator schnell ein Bild davon machen, wer bestimmte Dateien lesen oder verändern darf. Dazu ist es nicht unbedingt notwendig, jedes der zahlreichen NTFS-Rechte einzeln angezeigt zu bekommen.

Aus diesem Grund sortiert AccessEnum alle Berechtigungen in drei Kategorien ein: Lesen, Schreiben und Verweigern. Fallen bestimmte Dateien durch ungewöhnliche Zugriffsrechte auf, dann kann man den zugehörigen Dialog Eigenschaften im Explorer direkt aus der Liste öffnen und die einzelnen ACL-Einträge studieren.

Das Anliegen des Entwicklers, das Ergebnis möglichst übersichtlich zu halten, schlägt sich auch darin nieder, dass AccessEnum standardmäßig das SYSTEM-Konto nicht anzeigt. Auch dies lässt sich unter Options ändern.

Analyse von Registry-Zweigen

Das Tool untersucht nicht nur NTFS-Volumes auf abweichende Rechte, sondern bietet die gleichen Funktionen auch für Registry-Schlüssel. Zu diesem Zweck kann durch die Baumstruktur der Datenbank navigieren, um einen bestimmten Zweig auszuwählen.

Schließlich erlaubt AccessEnum noch das Nachverfolgen von Änderungen, indem man ein Ergebnis speichert und zu einem späteren Zeitpunkt mit dem aktuellen Zustand vergleicht. Für ein ernsthaftes Auditing reicht dieses Feature indes nicht aus, wer mehr benötigt, wird wahrscheinlich NTFS-Auditing aktivieren.

AccessEnum kann kostenlos von Microsofts TechNet-Website heruntergeladen werden.