AccessEnum: Benutzerrechte für NTFS und Registry analysieren

    NTFS-Berechtigungen für Dateien und OrdnerEin akkurates Rechte-Management für Dateien und Ordner ist nicht nur kritisch, sondern unter Windows auch notorisch unübersichtlich. Einige Zusatz-Tools vereinfachen diese Aufgabe. Dazu zählt auch das kostenlose AccessEnum, das bei der Aufbereitung der Daten eigene Wege geht.

    Nicht nur die große Zahl an verschiedenen Privilegien, die man auf NTFS-Volumes an User vergeben kann, macht ihr Management relativ kompliziert. Auch die Beschränkungen der Bordmittel können dazu beitragen, dass einzelne Benutzer zu viele oder unzureichende Rechte erhalten. Vor allem die grafischen Tools im Explorer bieten keinen Überblick über alle Zugriffrechte in einem Verzeichnisbaum, sondern nur für einzelne Objekte.

    CLI oder externe Tools

    Unter den Windows-eigenen Werkzeugen stellen Programme für die Kommandozeile und PowerShell eine Alternative zum Explorer dar, weil sie flexibler sind, um die benötigten Informationen zu extrahieren (siehe dazu: icacls, Get-ACL: Dateirechte anzeigen auf der Kommandozeile und in PowerShell). Darüber hinaus empfehlen sich aber einige kostenlose Tools wie der NTFS Permissions Reporter oder das altgediente Dumpsec.

    Die Entscheidung für ein bestimmtes Programm wird vor allem davon abhängen, wie man Fehlkonfigurationen auf die Schliche kommen will. Das ungefilterte Anzeigen von sämtlichen Dateiobjekten inklusive aller Benutzer und der an sie vergebenen Rechte ist dabei selten hilfreich.

    Implizite Filter in AccessEnum

    AccessEnum, ein weiteres Werkzeug aus der Sammlung von Sysinternals, versucht diese Informationen durch einige plausible Reduktionen einzudampfen und so die Sicht auf die wesentlichen Aspekte freizugeben.

    AccessEnum hält das Ergebnis übersichtlich, indem es nur Dateien mit abweichenden Rechten anzeigt.

    Wählt man nach dem Start des Programms das gewünschte Verzeichnis aus, dann scannt es rekursiv alle darin enthaltenen Dateien und Ordner. Eine Einschränkung auf bestimmte Dateitypen oder die Tiefe der Verzeichnis­struktur ist nicht vorgesehen.

    Fokus auf abweichende Rechte

    Der erste Filter, den AccessEnum standardmäßig anwendet, blendet alle Dateien aus, wenn sie gleiche oder geringere Rechte gewähren wie das übergeordnete Verzeichnis. Das Tool konzentriert sich somit auf solche Objekte, die durch laxere Zugriffsregeln auffallen.

    Dieses Verhalten kann man unter Options => File display options so ändern, dass auch solche Dateien im Ergebnis aufscheinen, deren Zugriffsrechte restriktiver sind als im übergeordneten Container.

    In der Regel will sich der Administrator schnell ein Bild davon machen, wer bestimmte Dateien lesen oder verändern darf. Dazu ist es nicht unbedingt notwendig, jedes der zahlreichen NTFS-Rechte einzeln angezeigt zu bekommen.

    Aus diesem Grund sortiert AccessEnum alle Berechtigungen in drei Kategorien ein: Lesen, Schreiben und Verweigern. Fallen bestimmte Dateien durch ungewöhnliche Zugriffsrechte auf, dann kann man den zugehörigen Dialog Eigenschaften im Explorer direkt aus der Liste öffnen und die einzelnen ACL-Einträge studieren.

    Das Anliegen des Entwicklers, das Ergebnis möglichst übersichtlich zu halten, schlägt sich auch darin nieder, dass AccessEnum standardmäßig das SYSTEM-Konto nicht anzeigt. Auch dies lässt sich unter Options ändern.

    Analyse von Registry-Zweigen

    Das Tool untersucht nicht nur NTFS-Volumes auf abweichende Rechte, sondern bietet die gleichen Funktionen auch für Registry-Schlüssel. Zu diesem Zweck kann durch die Baumstruktur der Datenbank navigieren, um einen bestimmten Zweig auszuwählen.

    Das Tool untersucht die Rechte auf Registry-Einträge nach dem gleichen Prinzip wie das Dateisystem.

    Schließlich erlaubt AccessEnum noch das Nachverfolgen von Änderungen, indem man ein Ergebnis speichert und zu einem späteren Zeitpunkt mit dem aktuellen Zustand vergleicht. Für ein ernsthaftes Auditing reicht dieses Feature indes nicht aus, wer mehr benötigt, wird wahrscheinlich NTFS-Auditing aktivieren.

    AccessEnum kann kostenlos von Microsofts TechNet-Website heruntergeladen werden.

    1 Kommentar

    Bild von dirk
    dirk sagt:
    20. November 2015 - 9:04

    Ich habe vor wenigen Wochen dieses Tool durch Zufall entdeckt und über einen unserer zentralen Shares laufen lassen. Grandios...endlich ein einfacher Überblick über alle NTFS-Berechtigungen...ich bin schon seit 4 Tagen damit beschäftigt, Wildwuchs einzudämmen...