6 кращих інструментів управління дозволами NTFS + кращі практики

Безпека - один з найвищих пріоритетівмережеві адміністратори та один із компонентів безпеки забезпечують, щоб користувачі мали доступ до всіх необхідних даних та не мали доступу до того, чого вони не повинні бачити. Як видно з точки зору даних, дані повинні бути доступними лише тим користувачам, які потребують доступу до них. Але при успадкуванні прав доступу, вбудованому в NTFS, та взаємодії між правами файлової системи та правами спільного доступу, може скластись чітка картина того, хто саме може отримати доступ до певного файлу. Саме в цьому можуть допомогти інструменти звітності дозволів, і сьогодні ми розглянемо найкращі інструменти звітування дозволів NTFS.

Наше обговорення розпочнеться з короткоговступ до дозволів NTFS. Потім ми перейдемо до пояснення успадкованих дозволів та деталізації розбіжностей між дозволами на файли, дозволами для спільного доступу та їх наслідком: ефективні дозволи. Важливо зрозуміти, як взаємодіють ці різні концепції, і це полегшить життя будь-якого адміністратора. Це нарешті перенесе нас до основи нашого допису: перегляд деяких найкращих інструментів звітування дозволів NTFS та ознайомлення з їх основними ознаками та характеристиками.

Дозвіл NTFS в двох словах

Нова файлова система технологій NTFS - це aвласна файлова система, розроблена Microsoft для операційної системи Windows NT. Він витіснив файлову систему FAT, яку використовували попередні операційні системи Microsoft. Основними його цілями були вирішення восьми символьного обмеження імені файлів та включення деякої вбудованої безпеки. Тому однією з головних особливостей NTFS є її розроблена система безпеки, заснована на списках контролю доступу (ACL).

Дозвіл стосується того, що дано користувачевіробити з певним файлом чи каталогом. Є кілька основних дозволів, таких як читання, запис, зміна, виконання та список вмісту папок. Повний контроль - це ще один базовий дозвіл, який дає користувачеві право робити що-небудь із файлом. Окрім них, є також розширені дозволи, такі як атрибути читання, права читання, зміна дозволів або отримання права власності, лише декілька.

Списки контролю доступу (ACL) використовуються для призначення дозволу об'єктам у файловій системі NTFS, при цьому кожен об'єкт має ACL, який визначає, який дозвіл має на нього будь-який користувач або група користувачів.

ЗВ'ЯЗАНЕ ЧИТАННЯ: 4 найкращих альтернативи Varonis для аналізу дозволу

Спадкові дозволи

Відповідно до NTFS, дозволи можуть бутиявно призначені або вони можуть бути успадковані. За замовчуванням, коли створюється об'єкт NTFS - такий як файл або папка - він успадковує такі самі права, як і його батько. Наприклад, користувач, який прочитав доступ до папки, матиме доступ до читання до її вмісту, якщо прямо не вказано інше.

Явні дозволи або встановлені за замовчуваннямколи об’єкт створений або вони встановлюються дією користувача. Прикладом явного дозволу за замовчуванням є те, що користувач, який створив файл, має повний контроль над ним. Що стосується успадкованих дозволів, то вони надаються об’єкту, оскільки це дочірнє батьківське об'єкт. Їх не потрібно вказувати. Дозволи, як правило, найкраще керуються контейнерами об'єктів. Об'єкти в контейнері успадковують усі дозволи доступу до цього контейнера. Цей підхід, як правило, набагато простіший, ніж призначення або зміна дозволів для безлічі об'єктів.

Звичайно, спадкові дозволи можуть бутипереосмислений Наприклад, ви можете видалити дозвіл на запис до певного файлу для користувача або групи з дозволом на запис у папку, що містить цей файл. Насправді ви можете надати або видалити дозволи файлам, як вважаєте за потрібне. Просто пам’ятайте, що щоб змінити дозволи на файл, його ACL повинен надати вам це право. Зазвичай власник файлу може змінювати свої права, а також користувач, який є членом групи адміністраторів домену.

ЛІТИЧНО ЧИТАТИ: 10 кращих інструментів виявлення вторгнень

Про файли, спільний доступ та ефективні дозволи

Є два місця, де є дозволинадано. По-перше, є дозволи на файли. Це дозволи, які ми обговорювали досі. Вони є дозволами, присвоєними кожному об'єкту файлової системи NTFS.

Ще одне місце, де призначено дозволина рівні акцій. Щоразу, коли ресурс надається спільним, щоб зробити його корисним віддаленим користувачам мережі (наприклад, що, як правило, робиться на файловому сервері), однакові типи дозволів можуть бути призначені для спільної доступу.

Поєднання прав доступу до файлів та файлівявних та успадкованих дозволів - це те, що ми зазвичай називаємо ефективними дозволами. Вони є фактичними правами, які користувач має на файл чи папку. Який елемент має перевагу при визначенні ефективних дозволів - досить складний предмет, схильний до помилок. Це, по суті, одна з багатьох причин, чому в першу чергу були створені засоби звітування дозволів NTFS.

Найкращі засоби звітування про дозвіл NTFS

Тепер, коли ми всі на одній сторінці про NTFSдозвіл, нарешті настав час переглянути різні інструменти, які ми могли б знайти. Як ви збираєтеся побачити, у нас є широкий спектр інструментів від невеликих інструментів, які відображатимуть лише ефективні дозволи для одного користувача одночасно до повнофункціонального програмного забезпечення для управління правами доступу. Найкращий інструмент для вас багато в чому залежить від ваших реальних потреб.

1. Аналізатор дозволів SolarWinds для Active Directory (ЗАВАНТАЖИТИ БЕЗКОШТОВНО)

Сонячні вітри є одним з найвідоміших виробників засобів мережевого та системного адміністрування. Його флагманський продукт називався Монітор ефективності роботи мережі послідовно забиває серед найкращих мережсистеми контролю пропускної здатності. Як це недостатньо, компанія також славиться своїм безкоштовним програмним забезпеченням. Вони є меншими інструментами, кожен з яких відповідає конкретній потребі адміністраторів мережі. Два чудових приклади цих інструментів - це Розширений калькулятор підмережі і Сервер Kiwi Syslog.

Ще один чудовий безкоштовний інструмент від Сонячні вітри, особливо в контексті цієї публікації Аналізатор дозволів SolarWinds для Active Directory. Хоча це дуже базовий безкоштовний інструмент, він моженадає миттєву видимість дозволів для користувачів та груп. Ви можете використовувати цей інструмент для виявлення дозволів користувачів і груп на об’єкти Active Directory, мережеві спільні папки та папки та файли NTFS.

• ЗАВАНТАЖИТИ БЕЗКОШТОВНО: Аналізатор дозволів SolarWinds для Active Directory
• Офіційне посилання для завантаження: https://www.solarwinds.com/free-tools/permissions-analyzer-for-active-directory/registration

Серед ключових особливостей інструменту, він може швидковизначте, як дозволені користувачі успадковуються, це дозволить переглядати дозволи за групою чи окремими користувачами, а також дозволяє аналізувати дозволи користувачів на основі членства в групі та дозволів. Найважливішим недоліком цього інструменту є те, що з нього не можна експортувати інформацію. Якщо все, що вам потрібно, це детальна інформація про дозволи користувачів, це може бути досить корисним.

2. Менеджер прав доступу SolarWinds (БЕЗКОШТОВНИЙ ПРОБНИЙ ПЕРІОД)

Якщо вам потрібно більше мінімального мінімуму, запропонованого компанією Аналізатор дозволів, Сонячні вітри є ще один товар, який може вас зацікавити. Він називається Менеджер прав доступу SolarWinds. Цей інструмент набагато більше, ніж дозвілХоча інструмент звітності. Він в першу чергу спрямований на полегшення надання користувачеві надання та відключення, відстеження та моніторинг. Він пропонує потужний і простий спосіб управління та контролю дозволу користувача, щоб гарантувати відсутність зайвих дозволів.

Одна з найбільших сил Менеджер прав доступу SolarWinds це його інтуїтивно зрозуміла інформаційна панель управління користувачамиви можете використовувати для створення, зміни, видалення, активації та деактивації доступу користувачів до різних файлів і папок. У ньому є шаблони, характерні для ролей, які можуть легко надати користувачам доступ до певних ресурсів у вашій мережі.

• БЕЗКОШТОВНИЙ ПРОБНИЙ ПЕРІОД: Менеджер прав доступу SolarWinds
• Офіційне посилання для завантаження: https://www.solarwinds.com/access-rights-manager/registration

Ще цікавішими для нас сьогодні є Менеджер прав доступу SolarWindsФункції звітування. Програмне забезпечення може створювати звіти, які можуть бути використані як докази у разі майбутніх суперечок чи можливих судових спорів. Також доступні детальні звіти з метою аудиту та відповідності специфікаціям, встановленим нормативними стандартами, що застосовуються до вашого бізнесу. Звіти можна швидко та легко створити за допомогою лише декількох клацань миші. Вони можуть містити будь-яку інформацію, яка вам може бути корисною. Наприклад, діяльність журналу в Active Directory та доступ до файлового сервера може бути включена у звіт. Користувач повинен зробити їх узагальненими або настільки детальними, як потрібно.

Напади та / або витоки даних часто трапляються, колипапки та / або їх вміст отримують доступ до користувачів, які не мають (або не повинні) - доступу до них - звичайна ситуація, коли користувачам надається широкий доступ до папок або файлів. The Менеджер прав доступу SolarWinds може допомогти вам запобігти цим видам протікань танесанкціоновані зміни конфіденційних даних та файлів. Він пропонує адміністраторам візуальне подання дозволів для декількох файлових серверів. Це легко і візуально дозволяє побачити, хто має який дозвіл на який файл.

The Менеджер прав доступу SolarWinds ліцензується залежно від кількості активованихкористувачів в Active Directory. Активований користувач - це або активний обліковий запис користувача, або обліковий запис служби. Ціни на товар починаються від $ 2 995 для до 100 активних користувачів. Для більшої кількості користувачів (до 10 000) детальну ціну можна отримати, звернувшись до відділу продажів SolarWinds. Якщо ви хочете надати інструменту тестовий запуск перед його придбанням, можна отримати безкоштовну, необмежену 30-денну пробну версію.

Прочитайте наш повний огляд "Права доступу до доступу" a.

30-денна БЕЗКОШТОВНА пробна версія: https://www.solarwinds.com/access-rights-manager/registration

3. ManageEngine ADManager Plus

ManageEngine - ще одне відоме ім’я серед мережевих та системних адміністраторів. Його ADManager Plus набір інструментів включає репортер дозволів NTFS, який дозволяє керувати правами на льоту прямо з пункту ADManager PlusУтиліта звітування.

ADManager Plus створює, а також експортує звіти про доступдозволи всіх папок NTFS, а також файлів та їх властивостей для файлових серверів Windows у легко зрозумілому форматі. Це може допомогти адміністраторам швидко переглядати та аналізувати параметри безпеки на рівні файлів у своїх середовищах. Створені звіти можна експортувати у формати Excel, CSV, HTML, PDF та CSVDE для подальшої обробки зовнішніми інструментами.

Деякі звіти, створені цим інструментомвключити звіт "Shares in Servers", який відображає всі наявні на зазначених серверах Shares, а також важливі деталі, такі як їх місцезнаходження, перелік облікових записів з дозволами на акції, а також пов’язані з ними дозволи та обсяг дозволів. У звіті "Папки", доступні обліковим записам, перелічені папки та файли, над якими вказані облікові записи мають дозволи. Ви можете перевірити наявність папок у визначеному шляху та додатково визначити рівень доступу для отримання результатів. Це лише кілька доступних звітів, які дають вам уявлення про те, що інструмент може зробити для вас.

The ManageEngine ADManager Plus доступна в Безкоштовне видання і а Професійне видання. The Безкоштовне видання дозволяє керувати та повідомляти про до 100 об’єктів в одному домені. The Професійне видання встановлюється безкоштовно і може бути оцінено протягом 30 днів, після чого він автоматично повертається до Безкоштовне виданняОбмеження, якщо: a Професійне видання ліцензія купується. Для отримання детальної інформації про різні доступні видання та їх ціни, ви можете зв’язатися ManageEngine.

4. CJWDEV's NTFS Reporter Reporter

The Репортер дозволів NTFS з CJWDEV (часто просто називається CJWDEV) є потужним інструментом для перегляду дозволів NTFSу всьому дереві каталогу. Сучасний зручний користувач, цей інструмент можна використовувати для звітування про дозволи та файли та каталоги ваших серверів Windows. Це дозволить вам швидко побачити, які користувачі та групи мають доступ до яких каталогів файлів.

Деякі з найпомітніших функцій інструмента включаютьйого високо настроюється система фільтрації, яка спрощує пошук потрібного користувача або групи. Наприклад, ви можете фільтрувати результати на основі широкого спектру атрибутів, таких як назва облікового запису, тип облікового запису, домен, характер дозволу, успадковані дозволи та статус облікового запису. Результати можуть відображатися у вигляді дерева або у форматі на основі таблиці. Різні дозволи виділяються різними кольорами, що дозволяє легко ідентифікувати потрібну інформацію. Ви зможете легко визначити шахрайські дозволи, які порушують ваші стандарти та політику.

The Репортер дозволів NTFS доступний у двох виданнях: Безкоштовно і Стандартний. The Безкоштовно Функція видання зменшена і має використовуватися як вступ до Стандартний видання. Він має ще досить багато можливостей, зокрема:

• Інтелектуальне кешування
• Можливість перегляду членів групи безпосередньо у її звітах
• Інтеграція з провідником файлів Windows, який надає можливість клацнути правою кнопкою миші файл або каталог та отримати звіт про дозволи
• Точна та достовірна інформація
• Результати, які можна легко експортувати в HTML

The Стандартний Видання ґрунтується на особливостях безкоштовного видання та додає ще декілька таких, як:

• Багато інших форматів експорту, таких як CSV, HTML, NTPR та XLSX.
• Гнучкість порівняння двох звітів, щоб виділити відмінності у дозволі
• Автоматична розсилка звітів
• Можливість створювати фільтри, які допомагають знайти те, що ви хочете; у фільтрах також є можливість виключити певні дозволи
• Повна підтримка командного рядка, що дозволяє легко планувати звіти за вашою зручністю
• Автоматичне завантаження ваших улюблених налаштувань при запуску програми
• Безкоштовні оновлення протягом усього терміну експлуатації продукту.

Структура ціноутворення на Репортер дозволів NTFS досить прямолінійний. У той час як Безкоштовно видання є, ну, безкоштовне Стандартний Видання поверне вам 149 доларів США для одного користувачаліцензії, 359 дол. США за ліцензію на сайт або 579 дол. США за ліцензію підприємства. Ліцензія підприємства може використовуватися в декількох місцях в межах однієї організації. Ліцензія консультанта також доступна. Це дозволяє використовувати програмне забезпечення в до трьох місцях клієнта одночасно за 199 доларів. Є також 620 доларів США необмежена ліцензійна консультація, яку можна використовувати з необмеженою кількістю клієнтів.

5. Дозвіл Репортер

The Дозвіл Репортер є вузькоспеціалізованим і дужепрофесійний вигляд інструменту, який пропонує швидкий та простий аудит дозволів файлової системи для Windows. Це візуальний, інтерактивний програмний інструмент, який може допомогти вам керувати правами файлової системи. Його постачальник стверджує, що це "реальний репортер дозволів NTFS для Windows". Це дозволяє швидко та ефективно перевірити стан безпеки цілих файлових систем за допомогою декількох форматів експорту, підтримки командного рядка, вбудованого планування, розширеної фільтрації та багато іншого.

Інструмент має надійний, вбудований звітпланування з підтримкою доставки електронної пошти. У ньому також є аналіз дозволів каталогів з переглядами дерев і таблиць, а також звіт власника файлів з ієрархічною візуалізацією карти дерева. Якщо ви віддаєте перевагу звіт про дозволи на доступ до мережі, вони також доступні для серверів або цілих доменів. Його швидка продуктивність та вражаюча масштабованість дозволяють швидко з упевненістю та ефективністю аналізувати цілі файлові системи. Крім того, інструмент також може похвалитися інтерфейсом командного рядка, і він може бути легко інтегрований у власні сценарії

The Дозвіл Репортер доступний у вільному базовому виданні, яке єповністю безкоштовно, без реклами, зловмисного програмного забезпечення чи шпигунського ПЗ). Щоб отримати доступ до всіх розширених функцій інструменту, можна придбати професійне видання. Він розблоковує такі функції, як планування звітів, вдосконалене фільтрування тощо. Професійна ліцензія для одного користувача становить лише 69,00 доларів США, навіть менше, якщо їх купують у 5-пакетних або 10-пакетних. Також доступні версії на сайті, в країні та на підприємстві.

6. Інструмент звітування про ефективні дозволи Netwrix

The Інструмент звітування про ефективні дозволи Netwrix це безкоштовний інструмент від Netwrix що дає зрозуміти, хто маєдозволу на те, що в Active Directory та спільних файлах. Це може допомогти вам забезпечити узгодження дозволів працівників з їх роллю в організації. Звіти цього інструмента дозволяють побачити членство в групі AD користувачів та дозволи на спільне використання файлів в одному звіті разом із тим, чи були ці дозволи на спільне використання файлів призначені явно чи успадковано.

The Ефективний засіб звітування про дозволи надає корисну інформацію, яку ви можете використовуватискасувати непотрібні права доступу, тим самим забезпечивши користувачам лише ті дозволи, які вони потребують, щоб виконати свою роботу. Це може допомогти зменшити ризики безпеки, переконавшись, що до ваших цінних даних можна отримати доступ лише кваліфікований персонал. Це простий у використанні інструмент, який дозволяє швидко відстежувати дозволи будь-якого користувача через Active Directory та файлові сервери та отримувати звіти готові до використання лише за кілька кліків.

Цей інструмент також може допомогти вам забезпечити відповідністьдопомагаючи вам зібрати доказ того, що всі дозволи узгоджуються з посадовими інструкціями та ролями співробітників в організації. Наприклад, це часто вимагає регуляторних систем, таких як SOX або PCI-DSS.

Є лише один недолік Інструмент звітування про ефективні дозволи Netwrix. Це не дасть вам ефективних дозволів на певний файл чи каталог. Він відображатиме лише ефективні дозволи, які має певний користувач або група.