AccesEnum.exe od Sysinternals – prosty raport uprawnień NTFS i uprawnień w rejestrze


 

Zarządzanie uprawnieniami NTFS na serwerze plików to temat-rzeka. Tak, jak wiele różnych może być podejść do samej struktury danych, tak samo wiele mamy narzędzi do zarządzania uprawnieniami i tworzenia przeróżnych raportów – i właśnie raportowaniu będzie mowa w tym artykule.

Dzisiaj zaproponuję jedno małe i poręczne narzędzie, które w bardzo prosty sposób stworzy dla nas zrzut uprawnień we wskazanym katalogu lub całym dysku, a jest nim AccessEnum.exe od Sysinternals (to od nich mamy genialny pakiet PSTOOLS i flagowy program PSEXEC.EXE).

Kilka słów o AccessEnum.exe

download-30x26Program ściągniecie za darmo ze strony sysinternals.com


Program działa tylko w środowisku graficznym i mimo, iż zawsze namawiam Was na używanie CMD i PowerShella, to być może raport uprawnień w Waszej firmie wykona właściciel danych lub osoba o małych umiejętnościach IT – prostota i interfejs graficzny w tym wypadku zaliczam do zalet.
AccessEnum.exe wspiera systemy od Windows XP wzwyż. Zajmuje niewiele miejsca (w chwili obecnej raptem 170kB). Nie trzeba nic instalować, bo składa się z jednego pliku .exe.


 

Raport uprawnień z użyciem AccessEnum.exe

Program wyświetla ścieżkę, oraz grupy, które mają dostęp, do odczytu, zapisu i „deny”. Warto zauważyć, że ma bardzo proste i przemyślane podejście do raportowania uprawnień, bo pokazuje tylko różnice między danym katalogiem, a katalogiem wyżej.

Przykład raportu:
Na dysku X jest kilka katalogów ponumerowanych od 1 do 10, a tam mnóstwo plików. Na całym dysku dostęp do zapisu ma grupa „Administratorzy”, a do odczytu grupa „Spece”.

Do katalogu X:\3 dopisano użytkownika Jkowalski do odczytu.

Do pliku X:\5\test.txt dopisano użytkownika Jsmith do zapisu.

Raport dla dysku X będzie wyglądał mniej więcej tak:

“Path” “Read” “Write” “Deny”

„X:\” „Spece” „Administratorzy” „(puste pole)”

“X:\3” „Spece, Jkowalski ” „Administratorzy” „(puste pole)”

“X:\5\test.txt” „Spece” „Administratorzy,Jsmith” „(puste pole)”

Raport świadomie pomija katalogi 1,2,4,6,7,8,9,10, gdyż te dziedziczą uprawnienia z góry, i pokazywanie ich uprawnień, a tym bardziej dla każdego pliku który się tam znajdzie, nie ma sensu :)

Chcecie praktyczny przykład?

Jeśli katalog 10 należy do działu finansowego i tam leży kilka tysięcy podkatalogów, a dostępem ma sterować jedna grupa przypisana do X:\10, to jak w razie audytu upewnić się, że nie ma gdzieś pliczku, do których ktoś dopisał niepowołaną osobę? Ja robię to z użyciem AccessEnum.exe. Znacie lepszy sposób na znajdywanie różnic, albo dziur w uprawnieniach?

Jak używać AccessEnum.exe

?
Oto szybki poradnik. Uruchamiamy program, wybieramy, czy będziemy audytowali uprawnienia NTFS, czy Rejestr:
AccessEnum1
Nawigujemy do dysku lub katalogu. Serwery plików dostępne przez sieć warto jednak raportować lokalnie np. przez RDP. Skanowanie tysięcy plików przez sieć może być czasochłonne.
AccessEnum2
Czekamy na wygenerowanie raportu:
AccessEnum3

Opcjonalnie zapisujemy wynik w formie pliku txt przyciskiem „Save”.

Umiejętność sporządzenia raportu z uprawnieniami (jakie grupy i użytkownicy mają dostęp do katalogów) jest bardzo istotna – nawet jeśli firma nie ma w dobrym zwyczaju audytować u siebie struktury uprawnień dla podniesienia poziomu bezpieczeństwa, może nas o to poprosić właściciel danych, urząd certyfikacyjny, organy ścigania (czego nikomu nie życzę).
Niebawem zaproponuje Wam inne sposoby na audyt uprawnień. Na pewno wrócimy tez do narzędzi Sysinternals służących do czegoś zupełnie innego.


Podobne Tematy: