Tags: Rechteverwaltung, Dateisystem, NTFS
Korrekt vergebene Zugriffsrechte sind ein wichtiger Schutz gegen den Missbrauch von sensiblen Informationen. Bei komplexen Verzeichnisstrukturen geben die meisten Bordmittel dem Admin nicht den benötigten Überblick. Der FolderSecurityViewer (FSV) soll diese Lücke mit vorkonfigurierten Reports schließen.
Die erweiterten Sicherheitseinstellungen von Dateien und Verzeichnissen, die man aus dem Explorer aufruft, dienen vor allem der Bearbeitung der ACLs. Als Reporting-Tool taugen sie aber nur wenig, auch wenn man dort etwa die effektiven Berechtigungen von Benutzern oder Gruppen berechnen kann.
Nische für Drittanbieter
PowerShell empfiehlt sich in solchen Fällen meist als flexible Alternative. Für die Analyse von NTFS-Berechtigungen enthält Windows das Cmdlet Get-Acl. Um etwa Änderungen in den Berechtigungen nachzuverfolgen, käme man aber nicht um einen größeren Programmieraufwand herum.
Aufgrund dieser Situation versuchen mehrere Hersteller, die Defizite der Bordmittel in diesem Bereich zu kompensieren. Einer davon ist die in Katzweiler ansässige Firma G-Tac Software mit dem FolderSecurityViewer. Wie der Name des Tools vermuten lässt, dient es dem Reporting von Sicherheitseinstellungen, nicht jedoch zum Bearbeiten derselben.
Analyse von Verzeichnisrechten
Kernstück ist zweifellos der so genannte Permissions Report, der die vorhandenen Berechtigungen auf Verzeichnisse anzeigt. Um ihn auszuführen, wählt man aus den lokalen Laufwerken, die in der Navigation automatisch angezeigt werden, den gewünschten Ordner und startet den Vorgang mit einem Doppelklick. Will man ein freigegebenes Verzeichnis im Netzwerk untersuchen, gibt man hier ihren UNC-Pfad ein.
Im Gegensatz zu der Sicht auf die ACLs in den Sicherheitseinstellungen des Explorers zeigt der Bericht keine Gruppen, sondern löst diese in ihre Mitglieder auf. Bei jedem aufgelisteten Konto ist aber erkennbar, aufgrund welcher Gruppenmitgliedschaft es bestimmte Rechte erhält.
Am unteren Rand dieses Berichts finden sich Schaltflächen, mit denen man die ACL oder den Besitzer anzeigen kann. Wenn der FolderSecurityViewer Abweichungen zwischen den Berechtigungen des aktuellen Ordners und seinen Unterverzeichnissen feststellt, dann kann man über den Button Differences Found die Detailansicht der Unterschiede einblenden.
Die angezeigten Listen lassen sich über die Spaltenüberschriften sortieren, damit sich der Anwender besser darin zurecht findet. Bei einer mehrseitigen Anzeige wirkt sich die Sortierung aber nicht auf das gesamte Set aus, sondern nur jeweilige Ansicht, so dass ihr Nutzen eher gering ist.
Update: Diese und andere Schwächen der GUI sollen laut Hersteller in nächsten Version behoben sein. Sie befindet sich derzeit in der Betaphase.
Welche Verzeichnisse besitzt ein User?
Der zweite Bericht, mit dem man Berechtigungen im Dateisystem untersucht, ist der Owner Report. Während der Permissions Report von einem bestimmten Verzeichnis ausgeht und die dazugehörigen Berechtigungen anzeigt, nimmt der Owner Report ein Benutzerkonto als Ausgangspunkt. Er zeigt dann für eine gewählte Verzeichnisstruktur an, wo der betreffende User überall Eigentümer von Ordnern ist.
Befindet man sich, wie nach dem Start des Tools üblich, im Permissions Report und möchte nun einen Owner Report generieren, dann zeigt sich die größte Schwäche des Tools, nämlich die wenig intuitive Bedienerführung.
Im Kontextmenü von Ordnern, die man in der linken Navigation auswählt, findet sich kein entsprechender Befehl. Wechselt man über die Hauptnavigation im Kopf der Anwendung zu Owner Report, dann landet man auf einer leeren Seite, die keine Möglichkeit zur Generierung eines solchen Berichts vorsieht.
Erforderlich ist vielmehr, dass man erst in der linken Navigation ein Verzeichnis markiert, dann im darüber liegenden Menü von Folders zu Users & Groups wechselt, dort aus dem Active Directory ein Konto auswählt und aus dessen Kontextmenü den Befehl Owner Report ausführt.
Die angezeigte Auswahl aus dem AD enthält auch Gruppen, obwohl für sie kein solcher Report generiert werden kann und in ihrem Kontextmenü der Eintrag Owner Report deshalb ausgegraut ist. Dafür kann man sich hier ihre Mitglieder anzeigen lassen, was in diesem Zusammenhang aber wohl nicht oft gebraucht wird.
Eigenschaften von Shares anzeigen
Während die beiden bisher beschriebenen Berichte einem Admin dazu dienen, sich eine Übersicht über die Berechtigung von Dateien und Verzeichnissen zu verschaffen, gibt der Share Report Auskunft über freigegebene Verzeichnisse.
Damit man den Pfad zu einer Freigabe überhaupt festlegen kann, muss man im Menü über der linken Navigation zu Server wechseln. Anschließend kann man den Namen eines Rechners manuell eingeben, aus dem Active Directory auswählen oder über einen Scan im Netzwerk ermitteln.
Bei meinen Tests mit einem nicht-administrativen Konto passierte es, dass bestimmte Server zwar gefunden wurden oder sich explizit eingeben ließen, aber nachher der Fehler Enumeration failed. Server not found auftrat. Dagegen ließen sich die Shares der betreffenden Maschinen mit net view klaglos anzeigen.
Aus den Server-Einträgen, die schließlich in der Navigation auftauchen, klappt man die Liste der Shares auf. Wählt man hier eine Freigabe aus, dann zeigt sich auf der Report-Seite eine Tabelle, aus der unter anderem die Berechtigungen auf dieses Share hervorgehen.
Statistiken zu Verzeichnisstrukturen
Der vierte Report schließlich, der Folder Report, widmet sich den Eigenschaften eines Verzeichnisses oder eines ganzen Baums. Unter den Informationen, die man auf diesem Weg erhält, kommt zwar auch der Owner vor, aber ansonsten geht es hier nicht um Sicherheit. Hier erfährt man, wie viele Dateien sich in einem Ordner befinden oder wie viel Speicherplatz diese belegen.
Die bis dato beschriebenen Funktionen stehen auch in der Free Edition zur Verfügung, allerdings mit der Einschränkung, dass sich die Berichte nicht anpassen lassen. Das betrifft etwa die anzeigten Spalten oder die Verzeichnistiefe für den Scan. Außerdem ist der Export auf das HTML-Format beschränkt.
Reports vergleichen in der Company Edition
Zu den wesentlichen Features der kostenpflichtigen Version gehört die Möglichkeit, Permissions Reports zu speichern und die verschiedenen Versionen später zu vergleichen, um Änderungen bei den Berechtigungen zu erkennen.
Bei einem frisch installierten und registrierten FolderSecurityViewer wird man aber erst vergeblich nach einer Option zum Speichern eines Berichts suchen. Damit das entsprechende Icon über dem Report erscheint, muss man erst in den Einstellungen eine Datenbank konfigurieren. Zur Auswahl stehen eine interne Database oder ein SQL Server.
Beim Speichern eines Permissions Report ist darauf zu schauen, dass man den UNC-Pfad für eine Freigabe immer genau gleich eingibt, also etwa auf Groß- und Kleinschreibung achtet. Andernfalls betrachtet der FSV diese als Reports zu verschiedenen Verzeichnissen und verweigert dann einen Vorher-Nachher-Vergleich.
Hat man in gewissen zeitlichen Abständen mehrere Versionen eines Reports gespeichert, dann kann man jeweils zwei davon mit der Compare-Funktion auf Unterschiede prüfen. Anhand von verschiedenen Icons lässt sich erkennen, ob Berechtigungen etwa hinzugefügt oder verändert wurden.
Das Tool zeigt in diesem Vergleich aber grundsätzlich auch alle Einträge an, die unverändert geblieben sind. Das erweist sich bei langen Listen mit vielen Benutzern, deren Rechte sich nicht geändert haben, als lästig.
Interessant sind in der Regel ja nur die Unterschiede, die man dann aber erst über mehrere Seiten suchen muss. Ein Filter zum Ausblenden der gleich gebliebenen Einträge wäre hier hilfreich.
Fazit
Der FolderSecurityViewer ist ein nützliches Werkzeug, um den Überblick über Verzeichnis- und Freigabeberechtigungen zu behalten und so den unerwünschten Zugriff auf Dokumente zu unterbinden. Dies ist auch angesichts der Anforderungen durch die DSGVO von großer Bedeutung.
Bereits die kostenlose Edition bietet wesentliche Einblicke in die Berechtigungsstruktur von File-Servern. Sie kann von der Website des Herstellers hier heruntergeladen werden. Der kostenpflichtigen Ausführung bleibt es vorbehalten, eine Historie der Verzeichnisrechte zu speichern und Änderungen zu entdecken.
Das größte Defizit des Tools besteht in einer umständlichen Bedienung, die den Benutzer gerade am Anfang immer wieder vor Rätsel stellt. Wünschenswert wären auch bessere Sortier- und Filterfunktionen, zudem fehlt eine Suche in den Reports.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- NTFS-Berechtigungen über Gruppenrichtlinien anpassen
- FolderSecurityViewer 2.0: Reports für Verzeichnis- und Freigaberechte, Owner und User-Berechtigungen
- NTFS-Rechte anzeigen, zuweisen und entfernen mit dem PowerShell-Modul NTFSSecurity
- NTFS-Rechte zurücksetzen und Besitzer ändern mit kostenloser GUI
- Ordner freigeben mit PowerShell
Weitere Links
1 Kommentar
Vielen Dank für den ausführlichen Testbericht!
Wir arbeiten ständig an Verbesserungen und Erweiterungen und freuen uns über jedes Feedback.
Eines sei hier noch schnell erwähnt: Das Tool bietet sogn. "Tours" an. Damit kann man sich in der UI zeigen lassen, wie man einen Report erstellt. Dieses Feature sollte helfen sich schnell zurecht zu finden.
Weitere Fragen oder Anregungen gerne jederzeit im Chat auf unserer Webseite. Ich freue mich auf Rückmeldungen.
Carsten Schäfer, G-TAC Software