セキュリティは、最優先事項の1つです。ネットワーク管理者とセキュリティのコンポーネントの1つは、ユーザーが必要なすべてのデータにアクセスし、表示すべきでないものにはアクセスできないようにすることです。データの観点から見ると、データにアクセスする必要があるユーザーのみがデータにアクセスできる必要があります。しかし、NTFSに組み込まれているアクセス権の継承と、ファイルシステムの権利と共有権の相互作用により、特定のファイルに誰がアクセスできるのかを正確に把握するのは複雑になります。 これはまさに、権限レポートツールがあなたを助けることができるものであり、今日、最高のNTFS権限レポートツールをレビューします。
私たちの議論は短いから始まりますNTFSアクセス許可の概要。次に、継承されたアクセス許可の説明に移り、ファイルアクセス許可、共有アクセス許可、およびその結果の違いである実効アクセス許可について詳しく説明します。これらのさまざまな概念がどのように相互作用するかを理解することは重要であり、管理者の生活をはるかに楽にします。これにより、最終的に私たちは投稿の核心になります。最高のNTFSアクセス許可レポートツールのいくつかをレビューし、それらの主要な機能と特性を紹介します。
簡単に言えばNTFSアクセス許可
NTFSの新技術ファイルシステムは、MicrosoftがWindows NTオペレーティングシステム用に開発した独自のファイルシステム。これは、以前のMicrosoftオペレーティングシステムで使用されていたFATファイルシステムに取って代わりました。その主な目標は、8文字のファイル名の制限に対処し、組み込みのセキュリティを含めることでした。したがって、NTFSの主要な機能の1つは、アクセス制御リスト(ACL)に基づく精巧なセキュリティシステムです。
許可とは、特定のユーザーに許可されるものを指します。特定のファイルまたはディレクトリを処理します。フォルダーコンテンツの読み取り、書き込み、変更、実行、一覧表示など、いくつかの基本的なアクセス許可があります。フルコントロールは、ユーザーにファイルを操作する権利を与えるもう1つの基本的なアクセス許可です。これらに加えて、いくつか例を挙げると、読み取り属性、読み取り許可、許可の変更、所有権の取得などの高度な許可もあります。
アクセス制御リスト(ACL)は、NTFSファイルシステム内のオブジェクトにアクセス許可を割り当てるために使用されます。各オブジェクトには、ユーザーまたはユーザーのグループが持つアクセス許可を定義するACLがあります。
関連する読書: 許可分析のための4つのベストVaronis代替
継承された許可
NTFSでは、許可は次のいずれかです。明示的に割り当てられるか、継承されます。既定では、ファイルやフォルダーなどのNTFSオブジェクトが作成されると、親とまったく同じ権限が継承されます。たとえば、フォルダへの読み取りアクセス権を持つユーザーは、特に明示的に指定されていない限り、そのコンテンツへの読み取りアクセス権を持ちます。
明示的な許可はデフォルトで設定されますオブジェクトが作成されたとき、またはユーザーアクションによって設定されたとき。デフォルトの明示的許可の例は、ファイルを作成したユーザーがそれを完全に制御できることです。継承された権限については、親オブジェクトの子であるため、オブジェクトに付与されます。指定する必要はありません。通常、権限はオブジェクトのコンテナに対して最適に管理されます。コンテナ内のオブジェクトは、そのコンテナ内のすべてのアクセス許可を継承します。このアプローチは、多数のオブジェクトのアクセス許可を割り当てたり変更したりするよりもはるかに単純になる傾向があります。
もちろん、継承されたパーミッションはオーバーライドされました。たとえば、そのファイルを含むフォルダへの書き込み権限を持つユーザーまたはグループの特定のファイルへの書き込み権限を削除できます。実際、必要に応じてファイルへのアクセス許可を自由に付与または削除できます。ファイルへのアクセス許可を変更するには、ACLがその権利を付与する必要があることを覚えておいてください。通常、ファイルの所有者はその権利を変更できるため、Domain Administratorsグループのメンバーであるユーザーも変更できます。
興味深い読み物: 10の侵入検知ツール
許可は2つの場所にあります認めた。まず、ファイルのアクセス許可があります。これらはこれまで議論してきた許可です。これらは、NTFSファイルシステム内のすべてのオブジェクトに割り当てられるアクセス許可です。
権限が割り当てられる別の場所は共有レベルで。ネットワーク上のリモートユーザーが使用できるようにリソースを共有する場合(たとえば、通常ファイルサーバーで実行される場合など)、共有に同じ種類のアクセス許可を割り当てることができます。
共有とファイルのアクセス許可の組み合わせ明示的なアクセス許可と継承されたアクセス許可の組み合わせは、通常、有効なアクセス許可と呼ばれます。これらは、ユーザーがファイルまたはフォルダーに対して持つ実際の権利です。有効なアクセス許可を決定するときに優先される要素は、かなり複雑でエラーが発生しやすい主題です。これは、実際のところ、NTFSアクセス許可レポートツールが最初に作成された多くの理由の1つです。
最高のNTFSアクセス許可レポートツール
NTFSについてはすべて同じページにいます。許可を得て、ついに私たちが見つけることができるさまざまなツールを検討する時が来ました。ご覧のとおり、一度に1人のユーザーにのみ有効な権限を表示する小さなツールから、フル機能のアクセス権管理ソフトウェアまで、幅広いツールがあります。最適なツールは、実際のニーズに大きく依存します。
1. Active Directory用のSolarWinds Permission Analyzer (無料ダウンロード)
SolarWinds ネットワークおよびシステム管理ツールの最も有名なメーカーの1つです。その主力製品と呼ばれる ネットワークパフォーマンスモニター 上位ネットワーク間で一貫してスコアを付ける帯域幅監視システム。十分ではないように、同社はフリーソフトウェアでも有名です。これらは小さなツールであり、それぞれがネットワーク管理者の特定のニーズに対応しています。これらのツールの2つの優れた例は 高度なサブネット計算機 そしてその Kiwi Syslogサーバー.
からの別の素晴らしい無料ツール SolarWinds、特にこの投稿のコンテキストでは Active Directory用のSolarWinds Permission Analyzer。これは非常に基本的な無料ツールですが、ユーザーとグループのアクセス許可をすぐに確認できます。このツールを使用して、Active Directoryオブジェクト、ネットワーク共有、およびNTFSフォルダーとファイルに対するユーザーとグループのアクセス許可を明らかにすることができます。
- 無料ダウンロード: Active Directory用のSolarWinds Permission Analyzer
- 公式ダウンロードリンク: https://www.solarwinds.com/free-tools/permissions-analyzer-for-active-directory/registration
ツールの主要な機能の中で、すぐにできることユーザーの権限がどのように継承されるかを特定し、グループごとまたは個々のユーザーごとに権限を参照したり、グループのメンバーシップと権限に基づいてユーザーの権限を分析したりできます。このツールの最も重要な欠点は、ツールから情報をエクスポートできないことです。必要なのがユーザーのアクセス許可に関する詳細な情報だけである場合は、かなり有用です。
2. SolarWinds Access Rights Manager (無料トライアル)
あなたが提供する最低限以上のものが必要な場合 権限アナライザー, SolarWinds 興味があるかもしれない別の製品があります。 SolarWinds Access Rights Manager。このツールは許可以上のものですただし、レポートツール。主に、ユーザーのプロビジョニングとプロビジョニング解除、追跡、監視を簡単にすることを目的としています。これは、ユーザー許可を管理および監視する強力で簡単な方法を提供し、不必要な許可が付与されないようにします。
の最大の強みの1つ SolarWinds Access Rights Manager その直感的なユーザー管理ダッシュボードはさまざまなファイルやフォルダへのユーザーアクセスを作成、変更、削除、アクティブ化、非アクティブ化するために使用できます。ネットワーク上の特定のリソースにユーザーが簡単にアクセスできるロール固有のテンプレートを備えています。
- 無料トライアル: SolarWinds Access Rights Manager
- 公式ダウンロードリンク: https://www.solarwinds.com/access-rights-manager/registration
今日の私たちにとってさらに興味深いのは SolarWinds Access Rights Managerのレポート機能。 ソフトウェアは、将来の紛争または最終的な訴訟の場合に証拠として使用できるレポートを作成できます。監査目的およびビジネスに適用される規制基準によって設定された仕様への準拠に関する詳細なレポートも利用できます。レポートは、数回クリックするだけですばやく簡単に作成できます。役立つと思われる情報を含めることができます。たとえば、Active Directoryのログアクティビティとファイルサーバーアクセスをレポートに含めることができます。それらを必要に応じて要約または詳細にするのはユーザー次第です。
攻撃やデータリークは、次の場合によく起こります。フォルダーおよび/またはそのコンテンツは、フォルダーまたはファイルへの広範囲なアクセスが許可されている一般的な状況である、アクセスを許可されていない(または許可されるべきではない)ユーザーによってアクセスされます。の SolarWinds Access Rights Manager この種の漏れを防ぐのに役立ちます機密データおよびファイルへの不正な変更。管理者は、複数のファイルサーバーの権限を視覚的に表現できます。簡単かつ視覚的に、誰がどのファイルに対してどの許可を持っているかを確認できます。
の SolarWinds Access Rights Manager アクティブ化された数に基づいてライセンスされますActive Directory内のユーザー。アクティブ化されたユーザーは、アクティブなユーザーアカウントまたはサービスアカウントのいずれかです。製品の価格は、最大100人のアクティブユーザーに対して$ 2 995からです。より多くのユーザー(最大10,000)については、SolarWindsの営業担当者に連絡することにより、詳細な価格を入手できます。ツールを購入する前にテストを実行する場合は、30日間の無料試用版を入手できます。
アクセス権マネージャーの完全なレビューを読むa。
30日間の無料トライアル: https://www.solarwinds.com/access-rights-manager/registration
3. ManageEngine ADManager Plus
ManageEngine ネットワークおよびシステム管理者の間でよく知られているもう1つの名前です。その ADManager Plus ツールセットには、権限をその場ですぐに管理できるNTFS権限レポータが含まれています。 ADManager Plus」レポートユーティリティ。
ADManager Plus アクセス時にレポートを生成し、エクスポートしますすべてのNTFSフォルダーのアクセス許可と、Windowsファイルサーバーのファイルとそのプロパティをわかりやすい形式で。これにより、管理者は環境内のファイルレベルのセキュリティ設定をすばやく表示および分析できます。生成されたレポートは、外部ツールでさらに処理するために、Excel、CSV、HTML、PDF、およびCSVDE形式にエクスポートできます。
このツールによって生成されたレポートの一部指定したサーバーで利用可能なすべての共有を表示するサーバー内の共有レポートを含めます。そのレポートには、場所、共有に対する権限を持つアカウントのリスト、関連する権限、権限の範囲などの重要な詳細が表示されます。アカウントでアクセス可能なフォルダーレポートには、指定されたアカウントに権限があるフォルダーとファイルが一覧表示されます。指定したパスのフォルダーを確認し、アクセスレベルをさらに定義して結果を生成できます。これらは利用可能なレポートのほんの一部であり、ツールがあなたに何をすることができるかについてのアイデアを提供します。
の ManageEngine ADManager Plus で利用可能です 無料版 と プロフェッショナル版。の 無料版 単一のドメインで最大100個のオブジェクトを管理およびレポートできます。の プロフェッショナル版 無料でインストールされ、30日間評価できます。その後、自動的に元に戻ります 無料版の制限がない限り プロフェッショナル版 ライセンスが購入されます。利用可能なさまざまなエディションとその価格の詳細については、お問い合わせください。 ManageEngine.
4. CJWDEVのNTFS Permissions Reporter
の NTFS Permissions Reporter から CJWDEV (多くの場合、単に CJWDEV)はNTFSアクセス許可を表示するための強力なツールですディレクトリツリー全体。最新のユーザーフレンドリーなこのツールは、Windowsサーバーのファイルとディレクトリのアクセス許可に関するレポートに使用できます。どのユーザーおよびグループがどのファイルディレクトリにアクセスできるかをすばやく確認できます。
ツールの最も注目すべき機能には次のものがあります。高度にカスタマイズ可能なフィルタリングシステムにより、必要なユーザーまたはグループを簡単に検索できます。たとえば、アカウント名、アカウントタイプ、ドメイン、権限の性質、継承された権限、アカウントステータスなどの幅広い属性に基づいて結果をフィルタリングすることができます。結果は、ツリー形式または表形式で表示できます。さまざまな権限がさまざまな色で強調表示され、必要な情報を簡単に識別できます。基準やポリシーに違反している不正なアクセス許可を簡単に特定できます。
の NTFS Permissions Reporter 次の2つのエディションがあります。 自由 そして 標準。の 自由 エディションは機能が制限されており、 標準 版。次のような多くの機能がまだあります。
- インテリジェントキャッシング
- レポートでグループメンバーを直接表示するオプション
- ファイルまたはディレクトリを右クリックして権限レポートを取得する機能を提供するWindowsファイルエクスプローラーとの統合
- 正確で信頼できる情報
- HTMLに簡単にエクスポートできる結果
の 標準 エディションは無料版の機能に基づいており、次のような追加機能が追加されています。
- CSV、HTML、NTPR、XLSXなど、さらに多くのエクスポート形式。
- 2つのレポートを比較して権限の違いを強調する柔軟性
- レポートの自動メール送信
- 必要なものを見つけるのに役立つフィルターを作成する機能。特定の権限を除外するオプションもフィルターにあります
- 完全なコマンドラインサポートにより、都合の良いときにレポートを簡単にスケジュールできます。
- アプリケーション起動時のお気に入りの設定の自動読み込み
- 製品の全寿命期間中の無料アップグレード。
の価格構造 NTFS Permissions Reporter とても簡単です。ながら 自由 エディションは、まあ、無料です、 標準 エディションでは、1人のユーザーに対して149ドルを差し戻しますライセンス、サイトライセンスで359ドル、エンタープライズライセンスで579ドル。エンタープライズライセンスは、単一の組織内の複数の場所で使用できます。コンサルタントライセンスも利用できます。 199ドルで、一度に最大3つのクライアントの場所でソフトウェアを使用できます。また、620ドルの無制限のコンサルタントライセンスがあり、無制限の数のクライアントで使用できます。
5. 権限レポーター
の 権限レポーター 非常に専門的で非常にWindows用の高速で簡単なファイルシステムのアクセス許可監査を提供するプロフェッショナルな外観のツール。これは、ファイルシステムのアクセス許可の管理に役立つ視覚的でインタラクティブなソフトウェアツールです。ベンダーは、「Windows用の究極のネットワーク対応NTFSアクセス許可レポーター」であると主張しています。複数のエクスポート形式、コマンドラインサポート、組み込みのスケジューリング、高度なフィルタリングなどにより、ファイルシステム全体のセキュリティステータスを迅速かつ効率的に検証できます。
このツールは、堅牢な組み込みレポートを備えていますメール配信サポートによるスケジューリング。また、ツリービューとテーブルビューを使用したディレクトリ権限分析、および階層ツリーマップの視覚化を使用したファイル所有者レポートもあります。また、ネットワーク共有のアクセス許可に関するレポートが必要な場合は、サーバーまたはドメイン全体でも利用できます。その高速パフォーマンスと優れた拡張性により、ファイルシステム全体を迅速かつ確実に分析できます。さらに、このツールはコマンドラインインターフェイスも備えており、カスタムスクリプトに簡単に統合できます。
の 権限レポーター である無料の基本版で利用可能です広告、マルウェア、スパイウェアなしで完全に無料)。ツールのすべての高度な機能にアクセスするには、プロフェッショナル版を購入できます。レポートスケジューリング、高度なフィルタリングなどの機能のロックを解除します。シングルユーザープロライセンスはわずか69.00ドルで、5パックまたは10パックで購入した場合はさらに少なくなります。サイト全体、国全体、および企業全体のバージョンも利用できます。
6. Netwrixの有効な権限レポートツール
の Netwrixの有効な権限レポートツール はからのフリーウェアツールです Netwrix 誰が持っているかに関する実用的な洞察を提供しますActive Directoryおよびファイル共有内のアクセス許可。これにより、従業員の権限が組織内での役割と一致するようになります。ツールのレポートを使用すると、ユーザーのADグループメンバーシップとファイル共有アクセス許可を単一のレポートで確認でき、それらのファイル共有アクセス許可が明示的に割り当てられたか、継承されたかを確認できます。
の 効果的な権限報告ツール 使用可能な実用的な情報を提供します不要なアクセス権を取り消すことにより、ユーザーがジョブを完了するために必要な権限のみを持つようにします。資格のある担当者のみが貴重なデータにアクセスできるようにすることで、セキュリティリスクを軽減できます。 Active Directoryとファイルサーバー間でユーザーのアクセス許可をすばやく追跡し、数回クリックするだけですぐに使用できるレポートを取得できる、使いやすいツールです。
このツールは、次の方法でコンプライアンスを確保するのにも役立ちます。すべての権限が組織内の職務記述書と従業員の役割と一致していることを証明するコレクションを支援します。これは、多くの場合、たとえばSOXやPCI-DSSなどの規制の枠組みによって義務付けられています。
唯一の欠点があります Netwrixの有効な権限レポートツール。特定のファイルまたはディレクトリに対する有効な権限は付与されません。特定のユーザーまたはグループが保持している有効な権限のみが表示されます。
コメント