Управлението на разрешенията за файлове и директории е друга от онези важни, но обезсърчаващи задачи на системните администратори. Поради йерархичната природа на файловата система NTFP и нейните функции за наследяване на права, точните права, които даден потребител има върху конкретен ресурс, не са очевидни. Точно това може да ви помогне софтуерът за репортер на разрешения NTFS. Тези инструменти ще сканират структура на директория и ще изброят действителните права на определен потребител за всеки намерен елемент. Налични са доста от тези инструменти, които предлагат различни степени на полезност. За да ви помогнем да видите ясно през лабиринта от налични продукти, ние сме събрали този списък с някои от най-добрите софтуери за отчитане на разрешения за NTFS.
Ще започнем нашата дискусия днес, като разгледаме бързо разрешенията на NTFS, какви са те и откъде идват. След това ще обсъдим наследените разрешения, тъй като те са една от най-важните характеристики на разработената от Microsoft файлова система. И тъй като има поне две места, където могат да се задават разрешения и тъй като те се комбинират, като се следват специфични правила, ще проучим разрешението за файл и споделяне, както и ефективните разрешения, които са комбинация от първите две. Само тогава ще сме готови да разкрием кои са най-добрите инструменти. Това е, което ще правим по-нататък, докато преглеждаме някои от най-добрите софтуери за отчитане на разрешения за NTFS.
Съдържание
Разрешението за NTFS е обяснено
Новата технологична файлова система на NTFS е собствена файлова система, разработена от Microsoft за операционната система Windows NT. Той замени файловата система FAT, използвана от предишни операционни системи на Microsoft. Една от основните характеристики на NTFS е неговата сложна система за сигурност, базирана на списъци за контрол на достъпа (ACL).
Разрешенията се отнасят до това, което даден потребител може да прави с конкретен файл или директория. Има няколко основни разрешения като четене, писане, модифициране, изпълнение и изброяване на съдържанието на папката. Пълният контрол е друго основно разрешение, което дава на потребителя правото да прави всичко с файл. В допълнение към тях има и разширени разрешения като атрибути за четене, разрешения за четене, промяна на разрешенията или поемане на собственост, само за да назовем няколко.
Списъците за контрол на достъпа (ACL) се използват за присвояване на разрешение на обекти във файлова система NTFS, като всеки обект има ACL, който определя какво разрешение има всеки потребител или група потребители върху него.
Наследени разрешения
Съгласно NTFS разрешенията могат да бъдат изрично присвоени или да бъдат наследени. По подразбиране всеки създаден NTFS обект – файл или папка – получава точно същите ACL като неговия родител. Например, потребител, който има достъп за четене на папка, ще има достъп за четене на съдържанието й, освен ако не е посочено друго.
Изричните разрешения се задават или по подразбиране, когато обектът е създаден, или се задават от действие на потребителя. По дефиниция наследените разрешения не са зададени; те са дадени на обект, защото е дъщерно на родителски обект. Разрешенията обикновено се управляват най-добре за контейнери с обекти. Обектите в контейнера наследяват всички разрешения за достъп в този контейнер. Това е много просто от присвояването или промяната на разрешения на множество обекти.
Разбира се, наследеното разрешение може да бъде отменено и човек може, например, да премахне разрешението за запис във файл за потребител с разрешение за запис в папката, съдържаща този файл.
Файл срещу Споделяне срещу Ефективни разрешения
В съвременните версии на Windows има две места, където могат да се задават разрешения. Първо, има разрешения за файлове. Това са разрешенията, които обсъждахме досега. Те са разрешенията, присвоени на всеки обект във файлова система NTFS.
Друго място, където се задават разрешения, е на ниво споделяне. Всеки път, когато ресурсът се споделя, за да бъде използван от потребители на други компютри – като това, което обикновено се прави на файлов сървър, например – същите типове разрешения могат да бъдат присвоени на споделения.
Комбинацията от разрешения за споделяне срещу файлове и от изрични срещу наследени разрешения е това, което обикновено наричаме ефективни разрешения. Те са действителните права, които потребителят има върху файл или папка. Кой елемент има предимство при определяне на ефективните разрешения е доста сложен и податлив на грешки тема. Това е, между другото, една от причините да се създаде софтуер за отчитане на разрешения NTFS.
Най-добрият софтуер за репортер на разрешения
Сега, когато всички сме на една и съща страница относно разрешението за NTFS, най-накрая дойде време да прегледаме различните инструменти, които можем да намерим. Както ще видите, имаме широка гама от инструменти от малки инструменти, които ще показват ефективни разрешения само за един потребител в даден момент, до софтуер за управление на правата за пълен достъп. Най-добрият инструмент за вас до голяма степен зависи от вашите специфични нужди
1- SolarWinds Permission Analyzer (безплатно изтегляне)
SolarWinds е един от най-известните производители на инструменти за мрежово и системно администриране. Неговият водещ продукт, наречен Network Performance Monitor, постоянно се класира сред най-добрите системи за наблюдение на мрежовата честотна лента. Като че ли не е достатъчно, компанията е известна и със своя безплатен софтуер. Те са по-малки инструменти, всеки от които отговаря на специфични нужди на мрежовите администратори. Два страхотни примера за тези инструменти са Advanced Subnet Calculator и Kiwi Syslog Server.
Друг страхотен безплатен инструмент от SolarWinds, особено в контекста на тази публикация, е SolarWinds Permission Analyzer. Въпреки че това е много основен безплатен инструмент, той може да ви даде незабавна видимост на потребителските и груповите разрешения. Можете да използвате този инструмент за разкриване на потребителски и групови разрешения за обекти на Active Directory, мрежови споделени данни, папки и файлове.
Сред основните функции на инструмента, той може бързо да идентифицира как се наследяват разрешенията на потребителя, ще ви позволи да разглеждате разрешенията по група или отделен потребител и ще ви позволи да анализирате потребителските разрешения въз основа на членство и разрешения в група. Най-важният недостатък на този инструмент е, че не може да се експортира информация от него. Ако всичко, от което се нуждаете, е подробна информация за потребителските разрешения, това може да бъде доста полезно.
2- Мениджър на правата за достъп до SolarWinds (безплатна пробна версия)
Ако имате нужда от повече от минимума, предлаган от Анализатора на разрешения, SolarWinds има друг продукт, който може да ви заинтересува. Той се нарича SolarWinds Мениджър на правата за достъп. Този инструмент обаче е много повече от инструмент за отчитане на разрешения. Той е насочен основно към улесняване на обезпечаването и депровизирането на потребителите, проследяването и наблюдението. Той предлага мощен и лесен начин за управление и наблюдение на потребителските разрешения, за да се гарантира, че не се предоставят ненужни разрешения.
Една от най-големите силни страни на SolarWinds Access Rights Manager е неговото интуитивно табло за управление на потребителите, което можете да използвате, за да създавате, модифицирате, изтривате, активирате и деактивирате потребителски достъп до различни файлове и папки. Той включва специфични за ролите шаблони, които могат лесно да дадат на потребителите достъп до конкретни ресурси във вашата мрежа.
Още по-интересни за нас днес са функциите за отчитане на SolarWinds Access Rights Manager. Софтуерът може да създава отчети, които могат да се използват като доказателство в случай на бъдещи спорове или евентуални съдебни спорове. Налични са и подробни отчети за целите на одита и за съответствие със спецификациите, определени от регулаторните стандарти, които се прилагат за вашия бизнес. Отчетите могат да се създават бързо и лесно само с няколко щраквания. Те могат да включват всяка информация, която може да ви е полезна. Например, регистрационните дейности в Active Directory и достъпите до файловия сървър могат да бъдат включени в отчет. От потребителя зависи да ги направи толкова обобщени или подробни, колкото са му необходими.
Атаки и/или течове на данни често се случват, когато папки и/или тяхното съдържание са достъпни от потребители, които не са – или не трябва да бъдат – упълномощени за достъп до тях, често срещана ситуация, когато на потребителите се предоставя широкообхватен достъп до папки или файлове. Мениджърът на правата за достъп на SolarWinds може да ви помогне да предотвратите тези видове течове и неоторизирани промени в поверителни данни и файлове. Той предлага на администраторите визуално представяне на разрешенията за множество файлови сървъри. Той лесно и визуално позволява на човек да види кой какво разрешение има за какъв файл.
Мениджърът на правата за достъп на SolarWinds се лицензира въз основа на броя на активираните потребители в Active Directory. Активиран потребител е или активен потребителски акаунт, или акаунт за услуга. Цените за продукта започват от $2 995 за до 100 активни потребители. За повече потребители (до 10 000) подробни цени могат да бъдат получени, като се свържете с отдела за продажби на SolarWinds. Ако искате да изпробвате инструмента, преди да го закупите, можете да получите безплатна, неограничена 30-дневна пробна версия.
3- Репортер за NTFS разрешения на CJWDEV
NTFS Permissions Reporter от CJWDEV – който често се нарича просто CJWDEV – е мощен инструмент за преглед на NTFS разрешенията в цялото дърво на директории. Това е модерен удобен за потребителя инструмент за отчитане на разрешенията за файлове и директории на вашите Windows сървъри. Позволява ви бързо да видите кои потребители и групи имат достъп до кои файлови директории.
Някои от най-забележителните характеристики на инструмента включват неговата система за филтриране с много възможности за персонализиране, която улеснява търсенето на потребителя или групата, която искате. Можете например да филтрирате резултати въз основа на широк спектър от атрибути като име на акаунт, тип акаунт, домейн, естество на разрешението, наследени разрешения и състояние на акаунта, само за да назовем няколко. Резултатите могат да бъдат показани или в дървовиден, или в табличен формат. Различните разрешения са подчертани в различни цветове, което ви позволява лесно да идентифицирате информацията, от която се нуждаете. Ще можете лесно да идентифицирате измамни разрешения, които нарушават вашите стандарти и политики.
NTFS Permissions Reporter се предлага в две издания: безплатно и стандартно. Безплатното издание е с намалени функции и е предназначено да се използва като въведение в стандартното издание. Той все още има доста функции, включително:
Интелигентно кеширане
Опцията за преглед на членовете на групата директно в нейните отчети
Интеграция с Windows File Explorer, който предоставя възможност за щракване с десния бутон върху файл или директория и получаване на отчет за разрешения
Точна и надеждна информация
Резултати, които могат лесно да бъдат експортирани в HTML
Стандартното издание се основава на функциите на безплатното издание и добавя още доста, като например:
Много повече формати за експортиране като CSV, HTML, NTPR и XLSX.
Гъвкавостта за сравняване на два отчета, за да се подчертаят разликите в разрешенията
Автоматично изпращане на отчети по имейл
Възможността за създаване на филтри, които помагат да намерите това, което искате; във филтрите има и опция за изключване на определени разрешения
Пълна поддръжка на командния ред, което улеснява планирането на отчети по ваше удобство
Автоматично зареждане на любимите ви настройки при стартиране на приложението
Безплатни надстройки през целия живот на продукта.
Структурата на цените за NTFS Permissions Reporter е доста ясна. Докато безплатното издание е безплатно, стандартното издание ще ви върне $149 за лиценз за един потребител, $359 за лиценз за сайт или $579 за корпоративен лиценз. Корпоративният лиценз може да се използва на множество места в рамките на една организация. Предлага се и лиценз за консултант. Позволява софтуерът да се използва на до три клиентски места наведнъж за $199. Има и неограничен лиценз за консултант от $620, който може да се използва с неограничен брой клиенти.
4- Инструмент за отчитане на ефективни разрешения на Netwrix
Отчитането на ефективни разрешения на Netwrix е безплатен инструмент от Netwrix, който предоставя полезна информация за това кой има разрешения за какво в Active Directory и споделените файлове. Може да ви помогне да гарантирате, че разрешенията на служителите са в съответствие с техните роли в организацията. Отчетите на инструмента ви позволяват да видите членството в AD групата на потребителите и разрешенията за споделяне на файлове в един отчет, заедно с това дали тези разрешения за споделяне на файлове са били присвоени изрично или са наследени.
Инструментът за отчитане на ефективни разрешения предоставя полезна информация, която можете да използвате, за да отмените ненужни права за достъп, като по този начин гарантирате, че потребителите имат само разрешенията, от които се нуждаят, за да свършат работата си. Това може да помогне за намаляване на рисковете за сигурността, като се увери, че ценните ви данни могат да бъдат достъпни само от отговарящ на условията персонал. Това е лесен за използване инструмент, който ви позволява бързо да проследявате разрешенията на всеки потребител в Active Directory и файловите сървъри и да получавате готови за използване отчети само с няколко щраквания.
Този инструмент може също да ви помогне да осигурите съответствие, като ви помогне при събирането на доказателства, че всички разрешения са в съответствие с длъжностните характеристики и ролите на служителите в организацията. Това често се изисква от регулаторни рамки като SOX или PCI-DSS, например.
Има само един недостатък на инструмента за отчитане на ефективни разрешения на Netwrix. Той няма да ви даде ефективни разрешения за конкретен файл или директория. Той ще покаже само ефективните разрешения, притежавани от конкретен потребител или група.
5- ManageEngine ADManager Plus
ManageEngine е друго добре известно име сред мрежовите и системните администратори. Неговият набор от инструменти ADManager Plus включва NTFS репортер за разрешения, който ви позволява да управлявате разрешенията в движение направо от помощната програма за отчитане на ADManager Plus.
ADManager Plus генерира и също така експортира отчети за разрешенията за достъп до всички NTFS папки, както и файлове и техните свойства за Windows файлови сървъри в лесно разбираем формат. Това може да помогне на администраторите бързо да преглеждат и анализират настройките за сигурност на ниво файл в техните среди. Генерираните отчети могат да бъдат експортирани в excel, CSV, HTML, PDF и CSVDE формати за по-нататъшна обработка от външни инструменти.
Някои от отчетите, генерирани от този инструмент, включват отчета за споделяния в сървърите, който показва всички споделени ресурси, налични в посочените сървъри, заедно с важни подробности като местоположението им, списъка с акаунти с разрешения за споделянията, както и свързаните с тях разрешения, и обхвата на разрешенията. Отчетът Папки, достъпни от акаунти, изброява папките и файловете, за които посочените акаунти имат разрешения. Можете да проверите за папки в определен път и допълнително да дефинирате нивото на достъп, за да генерирате резултатите. Това са само някои от наличните отчети, които да ви дадат представа какво може да направи инструментът за вас.
ManageEngine ADManager Plus се предлага в безплатно и професионално издание. Безплатното издание ви позволява да управлявате и отчитате до 100 обекта в един домейн. Професионалното издание се инсталира безплатно и може да бъде оценено за 30 дни, след което автоматично се връща към ограниченията на Безплатното издание, освен ако не бъде закупен лиценз за Professional Edition. За подробности относно различните налични издания и техните цени, трябва да се свържете с ManageEngine.
6- Разрешения Reporter
Permissions Reporter е високоспециализиран и много професионално изглеждащ инструмент, който предлага бърз и лесен одит на разрешенията на файловата система за Windows. Това е визуален, интерактивен софтуерен инструмент, който може да ви помогне да управлявате разрешенията на файловата система. Неговият доставчик твърди, че това е „най-добрият репортер за NTFS разрешения за Windows с активиран мрежа“. Той ви позволява бързо и ефективно да валидирате състоянието на сигурността на цели файлови системи с множество формати за експортиране, поддръжка от командния ред, вградено планиране, разширено филтриране и много други.
Инструментът разполага със стабилно, вградено планиране на отчети с поддръжка за доставка на имейл. Той също така има анализ на разрешенията за директория с изгледи на дърво и таблица, както и отчет за собственика на файла с йерархична визуализация на дървовидна карта. И ако предпочитате отчет за разрешенията за мрежово споделяне, те са достъпни и за сървъри или цели домейни. Неговата бърза производителност и впечатляваща мащабируемост ви позволяват бързо да анализирате цели файлови системи с увереност и ефективност. Освен това инструментът може да се похвали и с интерфейс на командния ред, който може лесно да бъде интегриран в персонализирани скриптове
Permissions Reporter се предлага в безплатно основно издание, което е напълно безплатно, без реклами, злонамерен софтуер или шпионски софтуер). За да получите достъп до всички разширени функции на инструмента, можете да закупите професионално издание. Той отключва функции като планиране на отчети, разширено филтриране и други. Професионалният лиценз за един потребител е само $69,00, дори по-малко, когато е закупен в опаковки от 5 или 10 опаковки. Налични са и версии за целия сайт, за цялата страна и за цялото предприятие.