Im Test: Folder Security Viewer
Zugriffsrechte auf NTFS-Ordner klären
Eine der wichtigsten Grundregeln der IT-Sicherheit besteht darin, Informationen immer nur denjenigen Personen zugänglich zu machen, die sie tatsächlich benötigen. Dieses Prinzip gilt auch für Netzwerkordner. Folder Security Viewer erlaubt es, die Zugriffsrechte auf NTFS-Ordner schnell und unkompliziert zu überprüfen.
Ein typisches Security-Problem: Es gibt einen Ordner im Netz, der kritische Informationen enthält. Der Administrator - oder ein Auditor - würde gern wissen, ob sie tatsächlich nur denjenigen Mitarbeitern zugänglich sind, die damit arbeiten müssen. Natürlich lässt sich diese Aufgabe bei allen Betriebssystemen mit Bordmitteln lösen, aber meist verstecken sich die Daten eher in den tieferen Ebenen der Eigenschaftenmenüs, sodass beispielsweise bei einer Audit-Vorbereitung ein langwieriges Herumklicken beginnt - ganz abgesehen davon, dass die Administration die Ergebnisse der Erkundung wahrscheinlich auch noch dokumentieren will oder muss.
Reines Viewer- und Reporting-Tool
Für NTFS-Ordner hat der Anbieter G-Tag Software deshalb ein kleines, leichtgewichtiges Desktop-Tool entwickelt, das die entsprechenden Informationen auf Knopfdruck liefert. Der Name "Folder Security Viewer" ist dabei ernst zu nehmen: Das Werkzeug dient ausschließlich der Informationsanzeige und dem Reporting, konfigurieren lässt sich damit nichts.
LANline hat sich die kostenlose Trial-Version 1.6.1 des Programms angesehen, die 14 Tage funktioniert und bei der der Export von Reports deaktiviert ist. Das Programm lässt sich auf der Webseite www.foldersecurityviewer.com/download anfordern. Interessenten müssen lediglich eine E-Mail-Adresse hinterlassen und erhalten dann einen Download-Link. Folder Security Viewer läuft unter Windows 10, 8, und 7 sowie unter Windows Server 2008, 2008 R2 und Windows Server 2012. Es kommt in einem Zip-Paket, das MSI-Dateien für 32-Bit- und 64-Bit-Computer enthält. Vollversionen sind von 290 bis 2.990 Euro erhältlich. Der Preis richtet sich nach der Zahl der Active-Directory-User und der Zahl der Arbeitsplätze, auf denen das Tool laufen soll.
Die Installation der Trial-Version war im Test auf einem 64-Bit-Windows-7-Client innerhalb von Sekunden erledigt, benötigte allerdings Administrator-Rechte. Analysieren lassen sich alle vom Programm aus erreichbaren NTFS-Ordner, die zu einer Active-Directory-Domain-Services-Domain (ADDS) gehören. Um alle Informationen sehen zu können, muss auch der Nutzer vorab eine Domain-Anmeldung hinter sich gebracht haben. Das Programm bietet eine moderne Benutzeroberfläche. Es handelt sich um eine Windows-Presentation-Foundation-Anwendung (WPF), die keine externe Datenbankanbindung erfordert. Links ist der Ordnerbaum zu finden, über den sich die zu analysierenden Folder auswählen lassen. Unten im Hauptfenster finden sich Tabs zur Eingrenzung der untersuchten Informationen. Leicht zu übersehen ist, dass es ganz oben rechts im Fenster auch noch ein "Settings"-Menü gibt, über das sich Netzwerkeinstellungen wie die Angabe eines Proxy-Servers erledigen und die Analysetiefe des Tools bestimmen lassen.
Folder Security Viewer bezeichnet User-Accounts, die auf der NTFS Discretionary Access Control List (DACL) eines Objekts zu finden sind, als "Trustees". Für einen Ordner, den der Anwender links im Verzeichnisbaum markiert, zeigt es über den Tab "Access Control List" im Detail an, welche Anwender über welche Lese- und Schreibrechte verfügen. Außerdem ist sichtbar, welche Active-Directory-Gruppen und System Identities zugeordnet sind. Erkennbar wird auch, ob die Rechtevererbung konsistent ist oder ob mögliche Konflikte Anwender am rechtmäßigen Zugriff auf bestimmte Ressourcen hindern.
Ein weiterer Funktionsbereich erlaubt es, gezielt nach Differenzen bei der Rechtevergabe für Ordner und ihre Unterordner zu fahnden. Dazu generiert man zunächst einen "Trustee-Report" für den übergeordneten Ordner und klickt dann auf die Schaltfläche "Differences". Diese Funktion hilft in der Praxis zum Beispiel dann, wenn es gilt, mysteriöse Zugriffsprobleme einzelner Anwender im Netz aufzuklären. Die Ergebnisse entsprechender Analysen lassen sich in der Vollversion des Programms im Excel-, CSV-, oder HTML-Format exportieren und so leicht in Dokumentationen übernehmen.
Lesen Sie mehr zum Thema
