Test: Verzeichnis- und Freigabe-Berechtigungen analysieren mit dem (kostenlosen) FolderSecurityViewer

PowerShell empfiehlt sich in solchen Fällen meist als flexible Alternative. Für die Analyse von NTFS-Berechtigungen enthält Windows das Cmdlet Get-Acl. Um etwa Änderungen in den Berechtigungen nach­zuverfolgen, käme man aber nicht um einen größeren Programmier­aufwand herum.

Aufgrund dieser Situation versuchen mehrere Hersteller, die Defizite der Bordmittel in diesem Bereich zu kompensieren. Einer davon ist die in Katzweiler ansässige Firma G-Tac Software mit dem FolderSecurityViewer. Wie der Name des Tools vermuten lässt, dient es dem Reporting von Sicherheits­einstellungen, nicht jedoch zum Bearbeiten derselben.

Analyse von Verzeichnisrechten

Kernstück ist zweifellos der so genannte Permissions Report, der die vorhandenen Berechtigungen auf Verzeichnisse anzeigt. Um ihn auszuführen, wählt man aus den lokalen Laufwerken, die in der Navigation automatisch angezeigt werden, den gewünschten Ordner und startet den Vorgang mit einem Doppelklick. Will man ein freigegebenes Verzeichnis im Netzwerk untersuchen, gibt man hier ihren UNC-Pfad ein.

Im Gegensatz zu der Sicht auf die ACLs in den Sicherheits­einstellungen des Explorers zeigt der Bericht keine Gruppen, sondern löst diese in ihre Mitglieder auf. Bei jedem aufgelisteten Konto ist aber erkennbar, aufgrund welcher Gruppen­mitglied­schaft es bestimmte Rechte erhält.

Am unteren Rand dieses Berichts finden sich Schaltflächen, mit denen man die ACL oder den Besitzer anzeigen kann. Wenn der FolderSecurityViewer Abweichungen zwischen den Berechtigungen des aktuellen Ordners und seinen Unter­verzeichnissen feststellt, dann kann man über den Button Differences Found die Detailansicht der Unterschiede einblenden.

Die angezeigten Listen lassen sich über die Spalten­überschriften sortieren, damit sich der Anwender besser darin zurecht findet. Bei einer mehr­seitigen Anzeige wirkt sich die Sortierung aber nicht auf das gesamte Set aus, sondern nur jeweilige Ansicht, so dass ihr Nutzen eher gering ist.

Update: Diese und andere Schwächen der GUI sollen laut Hersteller in nächsten Version behoben sein. Sie befindet sich derzeit in der Betaphase.

Welche Verzeichnisse besitzt ein User?

Der zweite Bericht, mit dem man Berech­tigungen im Dateisystem untersucht, ist der Owner Report. Während der Permissions Report von einem bestimmten Verzeichnis ausgeht und die dazu­gehörigen Berechtigungen anzeigt, nimmt der Owner Report ein Benutzerkonto als Ausgangspunkt. Er zeigt dann für eine gewählte Verzeichnis­struktur an, wo der betreffende User überall Eigentümer von Ordnern ist.

Befindet man sich, wie nach dem Start des Tools üblich, im Permissions Report und möchte nun einen Owner Report generieren, dann zeigt sich die größte Schwäche des Tools, nämlich die wenig intuitive Bediener­führung.

Im Kontext­menü von Ordnern, die man in der linken Navigation auswählt, findet sich kein entsprechender Befehl. Wechselt man über die Haupt­navigation im Kopf der Anwendung zu Owner Report, dann landet man auf einer leeren Seite, die keine Möglichkeit zur Generierung eines solchen Berichts vorsieht.

Erforderlich ist vielmehr, dass man erst in der linken Navigation ein Verzeichnis markiert, dann im darüber liegenden Menü von Folders zu Users & Groups wechselt, dort aus dem Active Directory ein Konto auswählt und aus dessen Kontext­menü den Befehl Owner Report ausführt.

Die angezeigte Auswahl aus dem AD enthält auch Gruppen, obwohl für sie kein solcher Report generiert werden kann und in ihrem Kontext­menü der Eintrag Owner Report deshalb ausgegraut ist. Dafür kann man sich hier ihre Mitglieder anzeigen lassen, was in diesem Zusammen­hang aber wohl nicht oft gebraucht wird.

Eigenschaften von Shares anzeigen

Während die beiden bisher beschriebenen Berichte einem Admin dazu dienen, sich eine Übersicht über die Berechtigung von Dateien und Verzeichnissen zu verschaffen, gibt der Share Report Auskunft über freige­gebene Verzeichnisse.

Damit man den Pfad zu einer Freigabe überhaupt festlegen kann, muss man im Menü über der linken Navigation zu Server wechseln. Anschließend kann man den Namen eines Rechners manuell eingeben, aus dem Active Directory auswählen oder über einen Scan im Netzwerk ermitteln.

Bei meinen Tests mit einem nicht-administrativen Konto passierte es, dass bestimmte Server zwar gefunden wurden oder sich explizit eingeben ließen, aber nachher der Fehler Enumeration failed. Server not found auftrat. Dagegen ließen sich die Shares der betreffenden Maschinen mit net view klaglos anzeigen.

Aus den Server-Einträgen, die schließlich in der Navigation auftauchen, klappt man die Liste der Shares auf. Wählt man hier eine Freigabe aus, dann zeigt sich auf der Report-Seite eine Tabelle, aus der unter anderem die Berechtigungen auf dieses Share hervorgehen.

Statistiken zu Verzeichnisstrukturen

Der vierte Report schließlich, der Folder Report, widmet sich den Eigenschaften eines Verzeichnisses oder eines ganzen Baums. Unter den Informationen, die man auf diesem Weg erhält, kommt zwar auch der Owner vor, aber ansonsten geht es hier nicht um Sicherheit. Hier erfährt man, wie viele Dateien sich in einem Ordner befinden oder wie viel Speicherplatz diese belegen.

Die bis dato beschriebenen Funktionen stehen auch in der Free Edition zur Verfügung, allerdings mit der Einschränkung, dass sich die Berichte nicht anpassen lassen. Das betrifft etwa die anzeigten Spalten oder die Verzeichnistiefe für den Scan. Außerdem ist der Export auf das HTML-Format beschränkt.

Reports vergleichen in der Company Edition

Zu den wesentlichen Features der kosten­pflichtigen Version gehört die Möglichkeit, Permissions Reports zu speichern und die verschiedenen Versionen später zu vergleichen, um Änderungen bei den Berechtigungen zu erkennen.

Bei einem frisch installierten und registrierten Folder­Security­Viewer wird man aber erst vergeblich nach einer Option zum Speichern eines Berichts suchen. Damit das entsprechende Icon über dem Report erscheint, muss man erst in den Einstellungen eine Datenbank konfigurieren. Zur Auswahl stehen eine interne Database oder ein SQL Server.

Beim Speichern eines Permissions Report ist darauf zu schauen, dass man den UNC-Pfad für eine Freigabe immer genau gleich eingibt, also etwa auf Groß- und Kleinschreibung achtet. Andernfalls betrachtet der FSV diese als Reports zu verschiedenen Verzeichnissen und verweigert dann einen Vorher-Nachher-Vergleich.

Hat man in gewissen zeitlichen Abständen mehrere Versionen eines Reports gespeichert, dann kann man jeweils zwei davon mit der Compare-Funktion auf Unterschiede prüfen. Anhand von verschiedenen Icons lässt sich erkennen, ob Berechtigungen etwa hinzugefügt oder verändert wurden.

Das Tool zeigt in diesem Vergleich aber grundsätzlich auch alle Einträge an, die unverändert geblieben sind. Das erweist sich bei langen Listen mit vielen Benutzern, deren Rechte sich nicht geändert haben, als lästig.

Interessant sind in der Regel ja nur die Unterschiede, die man dann aber erst über mehrere Seiten suchen muss. Ein Filter zum Ausblenden der gleich gebliebenen Einträge wäre hier hilfreich.

Fazit

Der FolderSecurityViewer ist ein nützliches Werkzeug, um den Überblick über Verzeichnis- und Freigabe­berechtigungen zu behalten und so den uner­wünschten Zugriff auf Dokumente zu unterbinden. Dies ist auch angesichts der Anforderungen durch die DSGVO von großer Bedeutung.

Bereits die kostenlose Edition bietet wesentliche Einblicke in die Berechtigungs­struktur von File-Servern. Sie kann von der Website des Herstellers hier heruntergeladen werden. Der kostenpflichtigen Ausführung bleibt es vorbehalten, eine Historie der Verzeichnis­rechte zu speichern und Änderungen zu entdecken.

Das größte Defizit des Tools besteht in einer umständlichen Bedienung, die den Benutzer gerade am Anfang immer wieder vor Rätsel stellt. Wünschens­wert wären auch bessere Sortier- und Filter­funktionen, zudem fehlt eine Suche in den Reports.