Bezpečnost je jednou z nejvyšších prioritSprávci sítě a jedna ze součástí zabezpečení zajišťuje, že uživatelé mají přístup ke všem potřebným datům a nemají přístup k tomu, co by neviděli. Jak je vidět z datového hlediska, data by měla být přístupná pouze uživatelům, kteří k nim potřebují přístup. Ale s dědičností přístupových práv, která je zabudována do systému NTFS, a interakcí mezi právy systému souborů a sdílenými právy, může být složité mít jasnou představu o tom, kdo přesně může daný soubor získat. To je přesně to, s čím vám nástroje pro podávání zpráv o oprávnění mohou pomoci, a dnes přezkoumáváme nejlepší nástroje pro podávání zpráv o oprávnění NTFS.
Naše diskuse začne krátkýmúvod do oprávnění NTFS. Poté se přesuneme k objasnění zděděných oprávnění a k rozpracování rozdílů mezi oprávněními k souborům, sdílenými oprávněními a jejich důsledky: účinná oprávnění. Je důležité pochopit, jak tyto různé koncepty interagují a život každého administrátora bude mnohem snazší. Tím se konečně dostaneme k jádru našeho příspěvku: přezkoumáme některé z nejlepších nástrojů pro podávání zpráv o oprávnění NTFS a představíme jejich hlavní funkce a vlastnosti.
Oprávnění NTFS v kostce
Nový technologický systém souborů NTFS jeproprietární systém souborů vyvinutý společností Microsoft pro operační systém Windows NT. Nahradil souborový systém FAT používaný předchozími operačními systémy Microsoft. Jeho hlavním cílem bylo řešit limit názvu souboru s 8 znaky a zahrnout určité vestavěné zabezpečení. Jednou z primárních vlastností systému NTFS je proto propracovaný bezpečnostní systém založený na seznamech řízení přístupu (ACL).
Oprávnění se týká toho, co je daný uživatel povolenco do činění s konkrétním souborem nebo adresářem. Existuje několik základních oprávnění, jako je čtení, zápis, úprava, spuštění a seznam složek. Plná kontrola je dalším základním povolením, které uděluje uživateli právo dělat se souborem cokoli. Kromě těchto existují i pokročilá oprávnění, jako jsou atributy čtení, oprávnění ke čtení, změna oprávnění nebo převzetí vlastnictví, abychom jmenovali alespoň některé.
Seznamy řízení přístupu (ACL) se používají k přiřazení oprávnění k objektům v systému souborů NTFS s tím, že každý objekt má ACL, který definuje, jaké oprávnění má na něj jakýkoli uživatel nebo skupina uživatelů.
SOUVISEJÍCÍ ČTENÍ: 4 nejlepší varianty Varonis pro analýzu povolení
Zděděná oprávnění
Ve skupinovém rámečku NTFS mohou být oprávněníexplicitně přiřazené nebo mohou být zděděny. Ve výchozím nastavení při vytvoření objektu NTFS - například souboru nebo složky - zdědí přesně stejná oprávnění jako jeho rodič. Například uživatel, který má ke složce přístup pro čtení, bude mít přístup ke svému obsahu, pokud není výslovně uvedeno jinak.
Explicitní oprávnění jsou ve výchozím nastavení nastavenakdyž je objekt vytvořen nebo jsou nastaveny akcí uživatele. Příkladem výchozího explicitního oprávnění je, že uživatel, který vytvořil soubor, má nad ním plnou kontrolu. Pokud jde o zděděná oprávnění, jsou dána objektu, protože je podřízeným objektem nadřazeného objektu. Nemusí být upřesněny. Oprávnění jsou obvykle nejlépe spravována pro kontejnery objektů. Objekty v kontejneru zdědí všechna přístupová oprávnění v tomto kontejneru. Tento přístup bývá mnohem jednodušší než přidělení nebo úprava oprávnění pro velké množství objektů.
Samozřejmě mohou být zděděná oprávněnípřepsáno. Například můžete odebrat oprávnění pro zápis do konkrétního souboru pro uživatele nebo skupinu s oprávněním pro zápis do složky obsahující tento soubor. Ve skutečnosti máte právo udělit nebo odebrat oprávnění k souborům, jak uznáte za vhodné. Nezapomeňte, že k úpravě oprávnění k souboru vám musí toto ACL udělit toto právo. Vlastník souboru může obvykle měnit svá práva, stejně jako uživatel, který je členem skupiny Domain Administrators.
ZAJÍMAVÉ ČTENÍ: 10 nejlepších nástrojů pro detekci narušení
Existují dvě místa, kde jsou oprávněníudělené. Nejprve existují oprávnění k souborům. To jsou oprávnění, o kterých jsme doposud diskutovali. Jedná se o oprávnění přiřazená každému objektu v systému souborů NTFS.
Dalším místem, kde jsou přidělena oprávnění, jena úrovni sdílení. Kdykoli je prostředek sdílen, aby byl použitelný vzdálenými uživateli v síti - například s tím, co by se normálně dělo na souborovém serveru - ke sdílené složce lze přiřadit stejné typy oprávnění.
Kombinace oprávnění ke sdílení souborů aexplicitních vs zděděných oprávnění je to, co obvykle označujeme jako účinná oprávnění. Jedná se o skutečná práva, která má uživatel k souboru nebo složce. Který prvek má přednost při určování efektivních oprávnění, je poměrně složitý a náchylný k chybám. To je ve skutečnosti jeden z mnoha důvodů, proč byly v první řadě vytvořeny nástroje pro podávání zpráv o oprávnění NTFS.
Nejlepší nástroje pro podávání zpráv o oprávnění NTFS
Nyní, když jsme všichni na stejné stránce o NTFSpovolení, konečně přišel čas na revizi různých nástrojů, které jsme mohli najít. Jak se chystáte vidět, máme širokou škálu nástrojů od malých nástrojů, které budou zobrazovat účinná oprávnění pouze jednomu uživateli k plnohodnotnému softwaru pro správu přístupových práv. Nejlepší nástroj pro vás do značné míry závisí na tom, jaké jsou vaše skutečné potřeby.
1. SolarWinds Permission Analyzer for Active Directory (STAŽENÍ ZDARMA)
SolarWinds je jedním z nejznámějších výrobců nástrojů pro správu sítě a systému. Její vlajková loď se jmenovala Sledování výkonu sítě trvale patří mezi nejlepší síťsystémy pro monitorování šířky pásma. Stejně jako to nestačí, společnost je také známá svým svobodným softwarem. Jsou to menší nástroje, z nichž každý řeší specifickou potřebu správců sítě. Dva skvělé příklady těchto nástrojů jsou Pokročilá kalkulačka podsítě a Server Kiwi Syslog.
Další skvělý bezplatný nástroj od SolarWinds, zejména v souvislosti s tímto příspěvkem, je SolarWinds Permission Analyzer for Active Directory. Přestože se jedná o velmi základní bezplatný nástroj, můžezískáte okamžitý přehled o uživatelských a skupinových oprávněních. Pomocí tohoto nástroje můžete odhalit oprávnění uživatelů a skupin k objektům služby Active Directory, síťovým sdíleným položkám a složkám a souborům NTFS.
- STAŽENÍ ZDARMA: SolarWinds Permission Analyzer for Active Directory
- Oficiální odkaz ke stažení: https://www.solarwinds.com/free-tools/permissions-analyzer-for-active-directory/registration
Mezi klíčové funkce nástroje to může rychleidentifikovat, jak jsou zděděna uživatelská oprávnění, umožní vám procházet oprávnění podle skupiny nebo podle jednotlivých uživatelů a umožní vám analyzovat uživatelská oprávnění na základě členství ve skupině a oprávnění. Nejdůležitější nevýhodou tohoto nástroje je, že z něj nelze exportovat informace. Pokud potřebujete pouze podrobné informace o uživatelských oprávněních, může to být užitečné.
2. SolarWinds Správce přístupových práv (ZKUŠEBNÍ VERZE ZDARMA)
Pokud potřebujete více než holé minimum, které nabízí Analyzátor povolení, SolarWinds má další produkt, který by vás mohl zajímat. Říká se tomu SolarWinds Správce přístupových práv. Tento nástroj je mnohem víc než jen povolenínástroj pro podávání zpráv. Jeho primárním cílem je usnadnit poskytování a neprovozování uživatelů, sledování a monitorování. Nabízí výkonný a snadný způsob správy a monitorování uživatelských oprávnění, aby bylo zajištěno, že nebudou udělena zbytečná oprávnění.
Jedna z největších sil SolarWinds Správce přístupových práv je to intuitivní panel pro správu uživatelůmůžete použít k vytvoření, úpravě, odstranění, aktivaci a deaktivaci přístupů uživatelů k různým souborům a složkám. Obsahuje šablony specifické pro role, které mohou uživatelům snadno poskytnout přístup ke konkrétním prostředkům ve vaší síti.
- ZKUŠEBNÍ VERZE ZDARMA: SolarWinds Správce přístupových práv
- Oficiální odkaz ke stažení: https://www.solarwinds.com/access-rights-manager/registration
Ještě zajímavější pro nás dnes jsou SolarWinds Správce přístupových právFunkce hlášení. Software může vytvářet zprávy, které lze použít jako důkaz v případě budoucích sporů nebo případných soudních sporů. K dispozici jsou také podrobné zprávy pro účely auditu a dodržování specifikací stanovených regulačními normami, které se vztahují na vaše podnikání. Přehledy lze rychle a snadno vytvořit pomocí několika kliknutí. Mohou obsahovat jakékoli informace, které považujete za užitečné. Například do protokolu mohou být zahrnuty činnosti protokolu v přístupu ke službě Active Directory a přístup k souborovému serveru. Je na uživateli, aby je učinil tak souhrnným nebo podrobným, jak je potřeba.
K útokům nebo únikům dat často dochází, kdyžke složkám a / nebo jejich obsahu přistupují uživatelé, kteří k nim nemají nebo by neměli mít oprávnění, což je běžná situace, kdy je uživatelům umožněn široký přístup ke složkám nebo souborům. SolarWinds Správce přístupových práv vám může pomoci zabránit těmto typům úniků aneautorizované změny důvěrných dat a souborů. Nabízí správcům vizuální reprezentaci oprávnění pro více souborových serverů. To snadno a vizuálně umožňuje vidět, kdo má jaké oprávnění k jakému souboru.
The SolarWinds Správce přístupových práv je licencován na základě počtu aktivovanýchuživatelé v rámci služby Active Directory. Aktivovaný uživatel je aktivní účet uživatele nebo účet služby. Ceny za produkt začínají na 2 995 USD až pro 100 aktivních uživatelů. Pro více uživatelů (až 10 000) lze podrobné ceny získat kontaktováním prodejů společnosti SolarWinds. Pokud chcete, aby nástroj před jeho zakoupením vyzkoušel, můžete získat bezplatnou neomezenou 30denní zkušební verzi.
Přečtěte si naši úplnou recenzi o přístupových právech a.
30denní bezplatná zkušební verze: https://www.solarwinds.com/access-rights-manager/registration
3. ManageEngine ADManager Plus
SpravovatEngine je další známé jméno mezi správci sítí a systémů. Své ADManager Plus sada nástrojů obsahuje reportér oprávnění NTFS, který vám umožní spravovat oprávnění za chodu hned od ADManager PlusNástroj pro podávání zpráv.
ADManager Plus generuje a také exportuje zprávy o přístupuoprávnění všech složek NTFS i souborů a jejich vlastností pro souborové servery Windows ve snadno srozumitelném formátu. To může správcům pomoci rychle zobrazit a analyzovat nastavení zabezpečení na úrovni souborů v jejich prostředích. Generované sestavy lze exportovat do formátů Excel, CSV, HTML, PDF a CSVDE pro další zpracování pomocí externích nástrojů.
Některé zprávy generované tímto nástrojemzahrnují přehled Shares in Servers, který zobrazuje všechny Shares dostupné na určených serverech, spolu s důležitými detaily, jako je jejich umístění, seznam účtů s oprávněními ke sdíleným položkám, jakož i jejich přidružená oprávnění a rozsah oprávnění. V přehledu Složky přístupné podle účtů jsou uvedeny složky a soubory, ke kterým mají zadané účty oprávnění. Můžete vyhledat složky v zadané cestě a dále definovat úroveň přístupu pro generování výsledků. Toto je jen několik dostupných přehledů, které vám poskytnou představu o tom, co pro vás může tento nástroj udělat.
The ManageEngine ADManager Plus je k dispozici v Zdarma vydání a Profesionální vydání. Zdarma vydání umožňuje spravovat a vykazovat až 100 objektů v jedné doméně. Profesionální vydání je nainstalován zdarma a může být vyhodnocen po dobu 30 dnů, po kterém se automaticky vrátí na Zdarma vydáníOmezení, pokud Profesionální vydání licence je zakoupena. Pro podrobnosti o různých dostupných edicích a jejich cenách byste se měli obrátit SpravovatEngine.
4. Reportér oprávnění NTFS CJWDEV
The Reportér oprávnění NTFS z CJWDEV (často jednoduše označované jako CJWDEV) je výkonný nástroj pro prohlížení oprávnění NTFSv celém adresářovém stromu. Tento nástroj, který je uživatelsky přívětivý, lze použít k podávání zpráv o souborových a adresářových právech vašich serverů Windows. Umožní vám rychle zjistit, kteří uživatelé a skupiny mají přístup ke kterým adresářům souborů.
Mezi nejvýznamnější funkce tohoto nástroje patříjeho vysoce přizpůsobitelný filtrační systém, který usnadňuje vyhledávání požadovaného uživatele nebo skupiny. Můžete například filtrovat výsledky na základě široké škály atributů, jako je název účtu, typ účtu, doména, povaha oprávnění, zděděná oprávnění a stav účtu. Výsledky mohou být zobrazeny ve stromovém nebo tabulkovém formátu. Různá oprávnění jsou zvýrazněna různými barvami, což vám umožní snadno identifikovat potřebné informace. Budete moci snadno identifikovat podvodná oprávnění, která porušují vaše standardy a zásady.
The Reportér oprávnění NTFS je k dispozici ve dvou edicích: Volný, uvolnit a Standard. Volný, uvolnit edice s omezením funkcí a má být používán jako úvod do Standard edice. Stále má několik funkcí včetně:
- Inteligentní ukládání do mezipaměti
- Možnost zobrazit členy skupiny přímo ve svých přehledech
- Integrace s Průzkumníkem souborů Windows, který poskytuje možnost kliknout pravým tlačítkem myši na soubor nebo adresář a získat přehled oprávnění
- Přesné a spolehlivé informace
- Výsledky, které lze snadno exportovat do HTML
The Standard edice staví na vlastnostech bezplatné edice a přidává několik dalších, například:
- Mnoho dalších exportních formátů, jako jsou CSV, HTML, NTPR a XLSX.
- Flexibilita při porovnávání dvou přehledů pro zdůraznění rozdílů v povolení
- Automatické zasílání zpráv e-mailem
- Schopnost vytvářet filtry, které pomáhají najít to, co chcete; ve filtrech je také možnost vyloučit určitá oprávnění
- Plná podpora příkazového řádku usnadňuje plánování sestav podle vašich potřeb
- Automatické načtení vašich oblíbených nastavení při spuštění aplikace
- Bezplatné upgrady po celou dobu životnosti produktu.
Cenová struktura pro EU Reportér oprávnění NTFS je docela jednoduché. Zatímco Volný, uvolnit vydání je, no, zdarma, Standard vydání vám vrátí 149 $ pro jednoho uživatelelicence, 359 $ za webovou licenci, nebo 579 USD za podnikovou licenci. Podnikovou licenci lze použít na více místech v rámci jedné organizace. K dispozici je také licence konzultanta. Umožňuje použití softwaru až na třech místech klienta najednou za 199 USD. K dispozici je také neomezená licence konzultanta 620 $, kterou lze použít s neomezeným počtem klientů.
5. Oprávnění Reportér
The Oprávnění Reportér je vysoce specializovaný a velmiprofesionálně vypadající nástroj, který nabízí rychlý a snadný audit oprávnění systému souborů pro Windows. Jedná se o vizuální, interaktivní softwarový nástroj, který vám pomůže spravovat oprávnění systému souborů. Prodejce prohlašuje, že je „nejlepším reportérem oprávnění NTFS s povolenou sítí pro Windows“. Umožňuje rychle a efektivně ověřit stav zabezpečení celého souborového systému pomocí několika formátů exportu, podpory příkazového řádku, vestavěného plánování, pokročilého filtrování a ještě mnohem více.
Nástroj obsahuje robustní, vestavěnou zprávuplánování s podporou doručování e-mailů. Má také analýzu oprávnění adresáře se zobrazeními stromů a tabulek a také zprávu vlastníka souboru s hierarchickou vizualizací stromové mapy. Pokud dáváte přednost zprávě o oprávněních ke sdílení v síti, jsou k dispozici také pro servery nebo celé domény. Jeho rychlý výkon a působivá škálovatelnost vám umožňují rychle analyzovat celé souborové systémy s důvěrou a účinností. Nástroj se také může pochlubit rozhraním příkazového řádku, které lze snadno integrovat do vlastních skriptů
The Oprávnění Reportér je k dispozici v bezplatném základním vydání, které jezcela zdarma bez reklam, malwaru nebo spywaru). Chcete-li získat přístup ke všem pokročilým funkcím nástroje, můžete si zakoupit profesionální edici. Odemkne funkce, jako je plánování sestav, pokročilé filtrování a další. Licence pro jednoho uživatele je pouze 69,00 $, a to i méně, pokud je zakoupeno v 5 nebo 10 balíčcích. K dispozici jsou také celostátní, celostátní a podnikové verze.
6. Nástroj pro hlášení efektivních povolení Netwrix
The Nástroj pro hlášení efektivních povolení Netwrix je freewarový nástroj od Netwrix který poskytuje reálný pohled na to, kdo máoprávnění k tomu, co ve službě Active Directory a ke sdíleným souborům. Může vám pomoci zajistit, aby oprávnění zaměstnanců odpovídala jejich rolím v organizaci. Přehledy tohoto nástroje vám umožňují zobrazit oprávnění uživatelů ke skupině AD a sdílení souborů uživatelů v jediné zprávě spolu s tím, zda byla tato oprávnění ke sdílení souborů přiřazena explicitně nebo zděděna.
The Efektivní nástroj pro podávání zpráv o povoleních poskytuje informace, které lze použítzrušit nepotřebná přístupová práva, a zajistit tak, aby uživatelé měli pouze oprávnění potřebná k provedení své práce. Může pomoci snížit bezpečnostní rizika zajištěním přístupu k vašim cenným datům pouze kvalifikovanými pracovníky. Jedná se o jednoduchý nástroj, který vám umožní rychle vysledovat oprávnění všech uživatelů přes Active Directory a souborové servery a získat přehledy připravené k použití pouhými několika kliknutími.
Tento nástroj vám také může pomoci zajistit dodržování předpisůPomáhá vám při shromažďování důkazů, že všechna oprávnění jsou v souladu s popisy úloh a rolemi zaměstnanců v organizaci. To je často nařízeno regulačními rámci, například SOX nebo PCI-DSS.
Existuje pouze jedna nevýhoda Nástroj pro hlášení efektivních povolení Netwrix. Nedá vám účinná oprávnění pro konkrétní soubor nebo adresář. Ukáže pouze efektivní oprávnění konkrétního uživatele nebo skupiny.
Komentáře