10
Zugriffsrechte überwachen
Moin,
ich habe hier in meiner neuen Firma die Gruppen- und Rechtestruktur, die über Jahre "gewachsen" war, aufgeräumt. Dabei hat sich herausgestellt, dass vielen Verantwortlichen gar nicht so richtig klar ist, wer eigentlich wofür welche Rechte braucht und wer auf was Rechte besitzt. Daraufhin habe ich mit diversen PS-Skripts Auswertungen gemacht, die mir selbst vollkommen klar aber dann doch nicht wirklich userkompatibel sind.
Wir suchen deshalb ein Tool mit folgenden Eigenschaften:
Must have:
Auswertung verschachtelter Gruppenstrukturen (AGDLP-Regel) mit dem Ergebnis UserX hat Zugriff auf RessourceY bzw. auf RessourceZ haben folgende User Zugriff.
Sichtweise aus beiden Richtungen (vom User, von der Ressource)
Darstellung der Verschachtelung als Baum (oder auch anders)
Hübsche bunte GL-kompatible Bilder
Keine Cloud.
Keine Nicht-EU-Software.
Keine Skriptsammlung (habe ich schon eine eigene).
Nice to have:
Open Source
Mein Chef hat schon https://www.permissionsreporter.com/ vorgeschlagen. Aber das fand ich nicht hinreichend zumindest in der freien Basisversion.
Das hier https://www.netwrix.com/ fand ich überladen.
Hat jemand einen Tipp?
Liebe Grüße
Erik
ich habe hier in meiner neuen Firma die Gruppen- und Rechtestruktur, die über Jahre "gewachsen" war, aufgeräumt. Dabei hat sich herausgestellt, dass vielen Verantwortlichen gar nicht so richtig klar ist, wer eigentlich wofür welche Rechte braucht und wer auf was Rechte besitzt. Daraufhin habe ich mit diversen PS-Skripts Auswertungen gemacht, die mir selbst vollkommen klar aber dann doch nicht wirklich userkompatibel sind.
Wir suchen deshalb ein Tool mit folgenden Eigenschaften:Must have:
Auswertung verschachtelter Gruppenstrukturen (AGDLP-Regel) mit dem Ergebnis UserX hat Zugriff auf RessourceY bzw. auf RessourceZ haben folgende User Zugriff.
Sichtweise aus beiden Richtungen (vom User, von der Ressource)
Darstellung der Verschachtelung als Baum (oder auch anders)
Hübsche bunte GL-kompatible Bilder
Keine Cloud.
Keine Nicht-EU-Software.
Keine Skriptsammlung (habe ich schon eine eigene).
Nice to have:
Open Source
Mein Chef hat schon https://www.permissionsreporter.com/ vorgeschlagen. Aber das fand ich nicht hinreichend zumindest in der freien Basisversion.
Das hier https://www.netwrix.com/ fand ich überladen.
Hat jemand einen Tipp?
Liebe Grüße
Erik
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3207753586
Url: https://administrator.de/contentid/3207753586
Printed on: April 26, 2024 at 16:04 o'clock
10 Comments
Latest comment
Bin mir nicht sicher, ob die Lösung von ManageEngine das kann, aber schau mal in deren Portfolio rein: https://www.manageengine.de/produkte-loesungen/log-analyse-security/file ...
Ich habe gute Erfahrungen mit DocuSnap gemacht.
https://www.docusnap.com/?creative&keyword=docusnap&matchtype=e& ...
https://www.docusnap.com/?creative&keyword=docusnap&matchtype=e& ...
Zitat von @DerMaddin:
Bin mir nicht sicher, ob die Lösung von ManageEngine das kann, aber schau mal in deren Portfolio rein: https://www.manageengine.de/produkte-loesungen/log-analyse-security/file ...
Bin mir nicht sicher, ob die Lösung von ManageEngine das kann, aber schau mal in deren Portfolio rein: https://www.manageengine.de/produkte-loesungen/log-analyse-security/file ...
Danke. Das sieht spannend aus. Nicht nur das Tool für die Überwachung des Fileservers.
An @enigma auch ein Dank. Sieht auch gut aus.
Zitat von @erikro:
Danke. Das sieht spannend aus. Nicht nur das Tool für die Überwachung des Fileservers.
Zitat von @DerMaddin:
Bin mir nicht sicher, ob die Lösung von ManageEngine das kann, aber schau mal in deren Portfolio rein: https://www.manageengine.de/produkte-loesungen/log-analyse-security/file ...
Bin mir nicht sicher, ob die Lösung von ManageEngine das kann, aber schau mal in deren Portfolio rein: https://www.manageengine.de/produkte-loesungen/log-analyse-security/file ...
Danke. Das sieht spannend aus. Nicht nur das Tool für die Überwachung des Fileservers.
Habe ich mal evaluiert und würde es allenfalls in sehr kleinen Umgebungen einsetzen, <15 Mio. Dateien und mit geringen Änderungsraten.
An sich die Überwachung der tatsächlichen Dateisystem-Berechtigungen für diesen Zweck nicht so wichtig. Vorranging sollten die Rechte konsequent und schematisiert gruppenbasiert per GPO zugewiesen werden, sodass da kein Spielraum Soll/Ist besteht.
Die Analyse der Gruppenmitgliedschaften bleibt eine Herausforderung, für die ich auch noch kein ideales Instrument gefunden habe. https://github.com/EvotecIT hat PowerShell-Tools dafür, da bin ich aber beim schnellen Testen nicht weit gekommen. Ich habe bislang immer eigene PowerShell-Skripts dafür verwendet, die Eingaben für Gephi, Maltego u.ä. erzeugen.
Grüße
Richard
Moin,
OK. Danke für den Hinweis.
Das ist das Ziel, an dem wir arbeiten. Leider ist der Ist-Zustand wie gesagt über Jahre gewachsen. Ich habe hier schon kräftig aufgeräumt und sowas wie ein rollenbasiertes Konzept entwickelt. Aber dazu ist es zwingend notwendig, dass von den Abteilungen Rollen definiert und den MAern zugewiesen werden. Dafür wiederum ist es notwendig, denen mal eine Übersicht zu geben, was denn überhaupt Bestand ist.
Da habe ich mir mal ein Skript geschrieben, das mir die Gruppen und ihre Verschachtelung als XML ausgibt. Mir reicht das. Nur kann ich das Ergebnis keinem Abteilungsleiter geben. Die verstehen das nicht, weil sie nicht wissen und es auch nicht wissen müssen, was der Unterschied zwischen einer domainlokalen und einer globalen Gruppe ist und warum man das so verschachtelt. Die brauchen Listen mit Rechten der MAer, die sich aus der Verschachtelung ergeben.
Ja und genau das ist das Problem. Mein Chef dazu nicht zu unrecht: "Und was passiert, wenn Sie mal nicht da sind?" Ich habe das zwar sehr gut (eigene Schulter klopf!) dokumentiert. Aber trotzdem sind solche selbstgestrickten Sachen nicht wirklich konsistent, wenn man die Firma verlässt oder länger ausfällt. Ich habe meine zwei letzten Monate bei meinem alten Arbeitgeber damit zugebracht, genau das alles nochmal richtig gründlich zu dokumentieren.
Liebe Grüße
Erik
Zitat von @c.r.s.:
Habe ich mal evaluiert und würde es allenfalls in sehr kleinen Umgebungen einsetzen, <15 Mio. Dateien und mit geringen Änderungsraten.
Habe ich mal evaluiert und würde es allenfalls in sehr kleinen Umgebungen einsetzen, <15 Mio. Dateien und mit geringen Änderungsraten.
OK. Danke für den Hinweis.
An sich die Überwachung der tatsächlichen Dateisystem-Berechtigungen für diesen Zweck nicht so wichtig. Vorranging sollten die Rechte konsequent und schematisiert gruppenbasiert per GPO zugewiesen werden, sodass da kein Spielraum Soll/Ist besteht.
Das ist das Ziel, an dem wir arbeiten.
Leider ist der Ist-Zustand wie gesagt über Jahre gewachsen. Ich habe hier schon kräftig aufgeräumt und sowas wie ein rollenbasiertes Konzept entwickelt. Aber dazu ist es zwingend notwendig, dass von den Abteilungen Rollen definiert und den MAern zugewiesen werden. Dafür wiederum ist es notwendig, denen mal eine Übersicht zu geben, was denn überhaupt Bestand ist.Die Analyse der Gruppenmitgliedschaften bleibt eine Herausforderung, für die ich auch noch kein ideales Instrument gefunden habe.
Da habe ich mir mal ein Skript geschrieben, das mir die Gruppen und ihre Verschachtelung als XML ausgibt. Mir reicht das. Nur kann ich das Ergebnis keinem Abteilungsleiter geben. Die verstehen das nicht, weil sie nicht wissen und es auch nicht wissen müssen, was der Unterschied zwischen einer domainlokalen und einer globalen Gruppe ist und warum man das so verschachtelt. Die brauchen Listen mit Rechten der MAer, die sich aus der Verschachtelung ergeben.
https://github.com/EvotecIT hat PowerShell-Tools dafür, da bin ich aber beim schnellen Testen nicht weit gekommen. Ich habe bislang immer eigene PowerShell-Skripts dafür verwendet, die Eingaben für Gephi, Maltego u.ä. erzeugen.
Ja und genau das ist das Problem. Mein Chef dazu nicht zu unrecht: "Und was passiert, wenn Sie mal nicht da sind?" Ich habe das zwar sehr gut (eigene Schulter klopf!) dokumentiert. Aber trotzdem sind solche selbstgestrickten Sachen nicht wirklich konsistent, wenn man die Firma verlässt oder länger ausfällt. Ich habe meine zwei letzten Monate bei meinem alten Arbeitgeber damit zugebracht, genau das alles nochmal richtig gründlich zu dokumentieren.
Liebe Grüße
Erik
1
Verstehe - also für das Reporting der effektiven Berechtigungen in der jetzigen Situation dürfte ME DataSecurity Plus schon ganz nett sein. Du bekommst damit ja noch Extras wie die Dateiklassifizierung, Scans und Agenten auf den Clients.
Solarwinds Access Rights Manager
ARM
Macht definitiv was du suchst.
Außerdem kann es zeitlich befristete Berechtigungen setzten und loggt alle Berechtigungsänderungen.
Nachteil:
Du hast hinterher im Klartext keinen Durchblick mehr, weil das Programm Gruppen ohne Ende erstellt.
ARM
Macht definitiv was du suchst.
Außerdem kann es zeitlich befristete Berechtigungen setzten und loggt alle Berechtigungsänderungen.
Nachteil:
Du hast hinterher im Klartext keinen Durchblick mehr, weil das Programm Gruppen ohne Ende erstellt.
Ich danke Euch allen noch einmal. Wir gucken uns jetzt DokuSnap an.