6 най-добри инструменти за управление на разрешения NTFS + най-добри практики

Сигурността е един от най-важните приоритети намрежовите администратори и един от компонентите на сигурността гарантират, че потребителите имат достъп до всички необходими данни и нямат достъп до онова, което не трябва да виждат. Както се вижда от гледна точка на данните, данните трябва да бъдат достъпни само от тези потребители, които имат нужда от достъп до тях. Но с наследяването на права за достъп, което е вградено в NTFS и взаимодействието между правата на файловата система и правата за споделяне, може да се усложни да има ясна картина за това кой точно може да получи даден файл. Точно в това могат да ви помогнат инструментите за отчитане на разрешения и днес ще разгледаме най-добрите инструменти за отчитане на разрешенията за NTFS.

Нашата дискусия ще започне с кратковъведение в NTFS разрешения. След това ще преминем да обясним наследените разрешения и да разберем разликите между разрешенията за файлове, разрешенията за споделяне и тяхното следствие: ефективни разрешения. Важно е да разберете как взаимодействат тези различни понятия и това ще улесни живота на всеки администратор. Това най-накрая ще ни доведе до основата на нашия пост: преглед на някои от най-добрите инструменти за отчитане на разрешения за NTFS и представяне на техните основни характеристики и характеристики.

Разрешения за NTFS накратко

Файловата система за нови технологии от NTFS е aсобствена файлова система, разработена от Microsoft за операционната система Windows NT. Той замести файловата система FAT, използвана от предишни операционни системи на Microsoft. Основните му цели бяха да се справи с ограничението за име на файл с осем знака и да включи някои вградени защити. Следователно, една от основните характеристики на NTFS е неговата сложна система за сигурност, базирана на списъци за контрол на достъпа (ACL).

Разрешенията се отнасят до това, което е разрешено на даден потребителда се прави с конкретен файл или директория. Има няколко основни разрешения като четене, запис, промяна, изпълнение и списък на папката. Пълният контрол е друго основно разрешение, което предоставя на потребителя правото да прави всичко с файл. В допълнение към тях има и разширени разрешения като атрибути за четене, разрешения за четене, промяна на разрешения или заемане на собственост, само за да назовем няколко.

Списъците за контрол на достъпа (ACL) се използват за даване на разрешение на обекти във файловата система NTFS, като всеки обект има ACL, който определя какво разрешение има всеки потребител или група потребители на него.

СВЪРЗАНО ЧЕТЕНЕ: 4 най-добри Varonis алтернативи за анализ на разрешенията

Наследени разрешения

При NTFS разрешенията могат да бъдат илиизрично назначени или те могат да бъдат наследени. По подразбиране, когато NTFS обект - като файл или папка - е създаден, той наследява точно същите разрешения като неговия родител. Например, потребител, който е прочел достъп до папка, ще има достъп за четене до нейното съдържание, освен ако изрично не е посочено друго.

Изричните разрешения или са зададени по подразбиранекогато обектът е създаден или те са зададени чрез действия на потребителя. Пример за изрично разрешение по подразбиране е, че потребителят, създал файл, има пълен контрол над него. Що се отнася до наследствените разрешения, те се дават на обект, защото това е дете на родителски обект. Не е необходимо да се уточняват. Разрешенията обикновено се управляват най-добре за контейнери с обекти. Обектите в контейнера наследяват всички разрешения за достъп в този контейнер. Този подход обикновено е много по-опростен от присвояване или промяна на разрешения на множество обекти.

Разбира се, наследствени разрешения могат да бъдатподтиснат. Например, можете да премахнете разрешението за запис в конкретен файл за потребител или група с разрешение за запис в папката, съдържаща този файл. Всъщност вие можете да предоставяте или премахвате разрешения на файлове, както сметнете за добре. Само не забравяйте, че за да промените разрешенията за файл, неговият ACL трябва да ви даде това право. Обикновено собственикът на файл може да променя неговите права и така може и потребител, който е член на групата Администратори на домейни.

ИНТЕРЕСНО ЧЕТЕТЕ: 10 най-добри инструменти за откриване на проникване

За разрешения за файлове, споделяне и ефективни

Има две места, където има разрешениядаденост. Първо, има разрешения за файлове. Това са разрешенията, които обсъждахме досега. Те са разрешенията, присвоени на всеки обект във файлова система NTFS.

Друго място, където са назначени разрешения, ена ниво акции. Всеки път, когато даден ресурс е споделен, за да бъде годен за използване от отдалечени потребители в мрежата - например това, което обикновено се прави на файлов сървър, например - за споделянето могат да бъдат присвоени същите типове разрешения.

Комбинацията разрешения за споделяне срещу файлове ина изричните срещу наследените разрешения е това, което обикновено наричаме ефективни разрешения. Те са действителните права, които потребителят има на файл или папка. Кой елемент има предимство при определяне на ефективните разрешения е доста сложен и склонен към грешки обект. Всъщност това е една от многото причини, поради които на първо място са създадени инструменти за отчитане на разрешения за NTFS.

Най-добрите инструменти за отчитане на разрешения за NTFS

Сега, когато всички сме на една и съща страница за NTFSразрешение, най-накрая дойде време за преглед на различните инструменти, които бихме могли да намерим. Както ще видите, ние разполагаме с широк набор от инструменти от малки инструменти, които ще показват ефективни разрешения само за един потребител в даден момент до пълнофункционален софтуер за управление на права за достъп. Най-добрият инструмент за вас до голяма степен зависи от това какви са действителните ви нужди.

1. Анализатор на разрешенията на SolarWinds за Active Directory (БЕЗПЛАТНО СВАЛЯНЕ)

SolarWinds е един от най-известните производители на инструменти за мрежово и системно администриране. Нейният водещ продукт, наречен the Монитор на ефективността на мрежата последователно оценява сред топ мрежатасистеми за мониторинг на честотната лента. Както не е достатъчно, компанията е известна и със своя безплатен софтуер. Те са по-малки инструменти, всеки от които адресира конкретна нужда от мрежови администратори. Два страхотни примера за тези инструменти са Разширен калкулатор на подмрежата и на Киви Syslog сървър.

Друг страхотен безплатен инструмент от SolarWinds, особено в контекста на тази публикация е Анализатор на разрешенията на SolarWinds за Active Directory, Въпреки че това е много основен безплатен инструмент, той можеви дава незабавна видимост на потребителските и груповите разрешения. Можете да използвате този инструмент за разкриване на разрешения на потребители и групи за обекти на Active Directory, мрежови споделяния и папки и файлове NTFS.

• БЕЗПЛАТНО СВАЛЯНЕ: Анализатор на разрешенията на SolarWinds за Active Directory
• Официална връзка за изтегляне: https://www.solarwinds.com/free-tools/permissions-analyzer-for-active-directory/registration

Сред основните функции на инструмента той може бързоидентифицирайте как се наследяват разрешенията на потребителя, той ще ви позволи да разглеждате разрешенията по група или по отделен потребител и ще ви позволи да анализирате потребителски разрешения въз основа на членство в групата и разрешения. Най-важният недостатък на този инструмент е, че човек не може да експортира информация от него. Ако всичко, от което се нуждаете, е подробна информация за потребителските разрешения, тя може да бъде доста полезна.

2. SolarWinds Мениджър за права на достъп (БЕЗПЛАТЕН ПРОБЕН ПЕРИОД)

Ако имате нужда от повече от най-големия минимум, предлаган от Разрешител анализатор, SolarWinds има друг продукт, който може да ви заинтересува. Той се нарича SolarWinds Мениджър за права на достъп, Този инструмент е много повече от разрешениеинструмент за отчитане обаче. Тя е насочена основно към улесняване на предоставянето и отнемането на информация, проследяването и мониторинга на потребителите. Той предлага мощен и лесен начин за управление и наблюдение на потребителското разрешение, за да се гарантира, че не се предоставят ненужни разрешения.

Една от най-големите сили на SolarWinds Мениджър за права на достъп е нейното интуитивно табло за управление на потребителите, коетоможете да използвате за създаване, промяна, изтриване, активиране и деактивиране на потребителски достъп до различни файлове и папки. Той има шаблони, специфични за ролите, които лесно могат да дадат на потребителите достъп до конкретни ресурси във вашата мрежа.

• БЕЗПЛАТЕН ПРОБЕН ПЕРИОД: SolarWinds Мениджър за права на достъп
• Официална връзка за изтегляне: https://www.solarwinds.com/access-rights-manager/registration

Още по-интересни за нас днес са SolarWinds Мениджър за права на достъпФункции за отчитане. Софтуерът може да създава доклади, които могат да бъдат използвани като доказателства в случай на бъдещи спорове или евентуални съдебни спорове. Налични са и подробни отчети за одитни цели и за съответствие със спецификациите, определени от регулаторните стандарти, приложими за вашия бизнес. Отчетите могат да бъдат създадени бързо и лесно само с няколко кликвания. Те могат да включват всяка информация, която може да ви се стори полезна. Например дейностите в журнала в Active Directory и достъпа до файлов сървър могат да бъдат включени в отчет. От потребителя зависи да ги направи максимално обобщени или подробни, колкото им е необходимо.

Атаките и / или течовете на данни често се случват, когатопапки и / или тяхното съдържание се осъществява от потребители, които нямат или не би трябвало да имат разрешение за достъп до тях, често срещана ситуация, когато потребителите получават широкообхватен достъп до папки или файлове. Най- SolarWinds Мениджър за права на достъп може да ви помогне да предотвратите тези видове течове инеоторизирани промени в поверителни данни и файлове. Той предлага на администраторите визуално представяне на разрешения за множество файлови сървъри. Той лесно и визуално позволява да се види кой има какво разрешение за какъв файл.

Най- SolarWinds Мениджър за права на достъп се лицензира въз основа на броя активиранипотребители в Active Directory. Активиран потребител е или активен потребителски акаунт, или акаунт за услуга. Цените за продукта започват от $ 2 995 за до 100 активни потребители. За повече потребители (до 10 000), подробни цени могат да бъдат получени, като се свържете с продажбите на SolarWinds. Ако искате да изпробвате инструмента преди да го закупите, може да получите безплатна, неограничена 30-дневна пробна версия.

Прочетете пълния ни преглед на Мениджър за права на достъп a.

30-дневна БЕЗПЛАТНА пробна версия: https://www.solarwinds.com/access-rights-manager/registration

3. ManageEngine ADManager Plus

ManageEngine е друго добре познато име сред мрежовите и системните администратори. негов ADManager Plus набор от инструменти включва репортер на разрешения за NTFS, който ви позволява да управлявате разрешения в движение направо от ADManager PlusПолезност за отчитане

ADManager Plus генерира и също изнася отчети за достъпаразрешения за всички папки NTFS, както и файлове и техните свойства за файлови сървъри на Windows в лесно разбираем формат. Това може да помогне на администраторите бързо да преглеждат и анализират настройките за защита на ниво файл в техните среди. Генерираните отчети могат да бъдат експортирани в Excel, CSV, HTML, PDF и CSVDE формати за по-нататъшна обработка чрез външни инструменти.

Някои от отчетите, генерирани от този инструментвключва отчета „Споделяне в сървъри“, който показва всички налични Сподели в посочените сървъри, заедно с важни подробности като тяхното местоположение, списъка с акаунти с разрешения за споделяния, както и свързаните с тях разрешения, и обхвата на разрешенията. Докладът за папки, достъпни от акаунти, съдържа папки и файлове, над които посочените акаунти имат разрешения. Можете да проверите за папки в определен път и допълнително да определите нивото на достъп, за да генерирате резултатите. Това са само няколко от наличните доклади, за да ви дам представа какво може да направи инструментът за вас.

Най- ManageEngine ADManager Plus се предлага в Безплатно издание и a Професионално издание, Най- Безплатно издание ви позволява да управлявате и отчитате до 100 обекта в един домейн. Най- Професионално издание се инсталира безплатно и може да бъде оценена за 30 дни, след което автоматично се връща към Безплатно изданиеОграничения, освен ако Професионално издание лиценз е закупен. За подробности относно различните издания и техните цени трябва да се свържете ManageEngine.

4. CJWDEV's NTFS Permissions Reporter

Най- NTFS Permissions Reporter от CJWDEV (често просто се нарича CJWDEV) е мощен инструмент за преглед на разрешения на NTFSпрез цялото ви дърво на директория. Модерен за потребителите, този инструмент може да се използва за отчитане на разрешения за файлове и директории на вашите Windows сървъри. Той ще ви позволи бързо да видите кои потребители и групи имат достъп до кои файлове директории.

Някои от най-забележителните функции на инструмента включватнейната силно приспособима филтрираща система, която улеснява търсенето на потребителя или групата, която искате. Можете, например, да филтрирате резултатите въз основа на широк спектър от атрибути като име на акаунт, тип акаунт, домейн, характер на разрешение, наследени разрешения и състояние на акаунта, само за да посочите няколко. Резултатите могат да бъдат показани или във формат на дърво, или в таблица. Различните разрешения са подчертани в различни цветове, което ви позволява лесно да идентифицирате информацията, от която се нуждаете. Ще можете лесно да идентифицирате нерегламентирани разрешения, които нарушават вашите стандарти и правила.

Най- NTFS Permissions Reporter се предлага в две издания: Безплатно и стандарт, Най- Безплатно изданието е намалено и е предназначено да се използва като въведение към стандарт издание. Той все още има доста функции, включително:

• Интелигентно кеширане
• Опцията за преглед на членовете на групата директно в нейните отчети
• Интеграция с Windows File Explorer, който предоставя възможност да щракнете с десния бутон върху файл или директория и да получите отчет за разрешенията
• Точна и достоверна информация
• Резултати, които лесно могат да бъдат експортирани в HTML

Най- стандарт изданието надгражда характеристиките на безплатното издание и добавя още няколко такива като:

• Много повече експортни формати като CSV, HTML, NTPR и XLSX.
• Гъвкавостта да се сравняват два отчета, за да се подчертаят разликите в разрешението
• Автоматично изпращане на имейли на отчети
• Възможност за създаване на филтри, които помагат да намерите това, което искате; във филтрите също има опция за изключване на определени разрешения
• Пълна поддръжка на команден ред, което улеснява планирането на отчетите по ваше удобство
• Автоматично зареждане на вашите любими настройки при стартиране на приложението
• Безплатни ъпгрейди през целия период на експлоатация на продукта.

Ценовата структура за NTFS Permissions Reporter е доста прям. Докато Безплатно изданието е, добре, безплатно стандарт изданието ще ви върне 149 долара за един потребителлиценз, 359 долара за лиценз на сайт или 579 долара за лиценз за предприятие. Корпоративният лиценз може да се използва на множество места в рамките на една организация. Наличен е и лиценз за консултант. Той позволява софтуерът да се използва на до три местоположения на клиента наведнъж срещу $ 199. Има и неограничен консултантски лиценз за 620 долара, който може да се използва с неограничен брой клиенти.

5. Разрешител Репортер

Най- Разрешител Репортер е високо специализирана и многопрофесионално изглеждащ инструмент, който предлага бърз и лесен одит на разрешения за файлова система за Windows. Това е визуален, интерактивен софтуерен инструмент, който може да ви помогне да управлявате разрешенията на файловата система. Неговият доставчик твърди, че това е „най-добрият мрежово разрешен NTFS репортер за Windows“. Той ви позволява бързо и ефективно да проверите състоянието на защита на цели файлови системи с множество формати за експортиране, поддръжка на команден ред, вградено планиране, разширено филтриране и много други.

Инструментът разполага със здрав, вграден отчетпланиране с поддръжка за доставка по имейл. Той също така има анализ на разрешенията на Directory с изгледи на дърво и таблица, както и отчет на собственика на файл с йерархична визуализация на дървовата карта. И ако предпочитате отчет за разрешенията за споделяне на мрежа, те са достъпни и за сървъри или цели домейни. Неговата бърза производителност и впечатляваща мащабируемост ви позволяват бързо да анализирате цели файлови системи с увереност и ефективност. Освен това, инструментът може да се похвали и с интерфейс на командния ред, за да може лесно да бъде интегриран в персонализирани скриптове

Най- Разрешител Репортер се предлага в безплатно основно издание, което еизцяло безплатно, без реклами, злонамерен софтуер или шпионски софтуер). За да получите достъп до всички разширени функции на инструмента, може да бъде закупено професионално издание. Той отключва функции като планиране на отчети, разширено филтриране и др. Професионалният лиценз за един потребител е само $ 69,00, още по-малко при покупка в 5 или 10 пакета. Предлагат се и версии за целия сайт, за цялата страна и за предприятия.

6. Инструмент за докладване на ефективни разрешения на Netwrix

Най- Инструмент за докладване на ефективни разрешения на Netwrix е безплатен инструмент от Netwrix което дава полезна представа за това кой имаразрешения за това, което има в Active Directory и споделяния на файлове. Може да ви помогне да гарантирате, че разрешенията на служителите се привеждат в съответствие с техните роли в организацията. Отчетите на инструмента ви дават възможност да видите членството на потребители в AD групата и разрешенията за споделяне на файлове в един отчет, заедно с това дали тези разрешения за споделяне на файлове са присвоени изрично или са наследени.

Най- Ефективен инструмент за отчитане на разрешенията предоставя полезна информация, която можете да използватеда отмени ненужните права за достъп, като по този начин гарантира на потребителите само разрешенията, от които се нуждаят, за да свършат работата си. Това може да помогне за намаляване на рисковете за сигурността, като се увери, че вашите ценни данни могат да бъдат достъпни само от отговарящ на изискванията персонал. Това е прост за използване инструмент, който ви позволява бързо да проследявате разрешенията на всеки потребител в Active Directory и файлови сървъри и да получавате отчети за готовност за употреба само с няколко кликвания.

Този инструмент може също да ви помогне да гарантирате спазването отпомагайки ви за събирането на доказателства, че всички разрешения са приведени в съответствие с длъжностните характеристики и ролите на служителите в организацията. Това често се налага от регулаторни рамки като SOX или PCI-DSS, например.

Има само един недостатък на Инструмент за докладване на ефективни разрешения на Netwrix, Няма да ви даде ефективните разрешения за конкретен файл или директория. Той ще показва само ефективните разрешения, притежавани от конкретен потребител или група.