Zugriffsrechte überwachen

erikro
Goto Top
Moin,

ich habe hier in meiner neuen Firma die Gruppen- und Rechtestruktur, die über Jahre "gewachsen" war, aufgeräumt. Dabei hat sich herausgestellt, dass vielen Verantwortlichen gar nicht so richtig klar ist, wer eigentlich wofür welche Rechte braucht und wer auf was Rechte besitzt. Daraufhin habe ich mit diversen PS-Skripts Auswertungen gemacht, die mir selbst vollkommen klar aber dann doch nicht wirklich userkompatibel sind. face-wink Wir suchen deshalb ein Tool mit folgenden Eigenschaften:

Must have:
Auswertung verschachtelter Gruppenstrukturen (AGDLP-Regel) mit dem Ergebnis UserX hat Zugriff auf RessourceY bzw. auf RessourceZ haben folgende User Zugriff.
Sichtweise aus beiden Richtungen (vom User, von der Ressource)
Darstellung der Verschachtelung als Baum (oder auch anders)
Hübsche bunte GL-kompatible Bilder face-wink
Keine Cloud.
Keine Nicht-EU-Software.
Keine Skriptsammlung (habe ich schon eine eigene).

Nice to have:
Open Source

Mein Chef hat schon https://www.permissionsreporter.com/ vorgeschlagen. Aber das fand ich nicht hinreichend zumindest in der freien Basisversion.

Das hier https://www.netwrix.com/ fand ich überladen.

Hat jemand einen Tipp?

Liebe Grüße

Erik

Content-Key: 3207753586

Url: https://administrator.de/contentid/3207753586

Ausgedruckt am: 15.08.2022 um 18:08 Uhr

Mitglied: DerMaddin
Lösung DerMaddin 29.06.2022 um 12:58:45 Uhr
Goto Top
Bin mir nicht sicher, ob die Lösung von ManageEngine das kann, aber schau mal in deren Portfolio rein: https://www.manageengine.de/produkte-loesungen/log-analyse-security/file ...
Mitglied: enigma78
Lösung enigma78 29.06.2022 um 13:32:24 Uhr
Goto Top
Ich habe gute Erfahrungen mit DocuSnap gemacht.

https://www.docusnap.com/?creative&keyword=docusnap&matchtype=e& ...
Mitglied: erikro
erikro 29.06.2022 um 13:49:33 Uhr
Goto Top
Zitat von @DerMaddin:

Bin mir nicht sicher, ob die Lösung von ManageEngine das kann, aber schau mal in deren Portfolio rein: https://www.manageengine.de/produkte-loesungen/log-analyse-security/file ...

Danke. Das sieht spannend aus. Nicht nur das Tool für die Überwachung des Fileservers.
Mitglied: erikro
erikro 29.06.2022 um 13:56:41 Uhr
Goto Top
An @enigma auch ein Dank. Sieht auch gut aus.
Mitglied: C.R.S.
Lösung C.R.S. 29.06.2022 um 15:50:16 Uhr
Goto Top
Zitat von @erikro:

Zitat von @DerMaddin:

Bin mir nicht sicher, ob die Lösung von ManageEngine das kann, aber schau mal in deren Portfolio rein: https://www.manageengine.de/produkte-loesungen/log-analyse-security/file ...

Danke. Das sieht spannend aus. Nicht nur das Tool für die Überwachung des Fileservers.

Habe ich mal evaluiert und würde es allenfalls in sehr kleinen Umgebungen einsetzen, <15 Mio. Dateien und mit geringen Änderungsraten.

An sich die Überwachung der tatsächlichen Dateisystem-Berechtigungen für diesen Zweck nicht so wichtig. Vorranging sollten die Rechte konsequent und schematisiert gruppenbasiert per GPO zugewiesen werden, sodass da kein Spielraum Soll/Ist besteht.
Die Analyse der Gruppenmitgliedschaften bleibt eine Herausforderung, für die ich auch noch kein ideales Instrument gefunden habe. https://github.com/EvotecIT hat PowerShell-Tools dafür, da bin ich aber beim schnellen Testen nicht weit gekommen. Ich habe bislang immer eigene PowerShell-Skripts dafür verwendet, die Eingaben für Gephi, Maltego u.ä. erzeugen.

Grüße
Richard
Mitglied: erikro
erikro 29.06.2022 um 16:06:42 Uhr
Goto Top
Moin,

Zitat von @C.R.S.:
Habe ich mal evaluiert und würde es allenfalls in sehr kleinen Umgebungen einsetzen, <15 Mio. Dateien und mit geringen Änderungsraten.

OK. Danke für den Hinweis.

An sich die Überwachung der tatsächlichen Dateisystem-Berechtigungen für diesen Zweck nicht so wichtig. Vorranging sollten die Rechte konsequent und schematisiert gruppenbasiert per GPO zugewiesen werden, sodass da kein Spielraum Soll/Ist besteht.

Das ist das Ziel, an dem wir arbeiten. face-wink Leider ist der Ist-Zustand wie gesagt über Jahre gewachsen. Ich habe hier schon kräftig aufgeräumt und sowas wie ein rollenbasiertes Konzept entwickelt. Aber dazu ist es zwingend notwendig, dass von den Abteilungen Rollen definiert und den MAern zugewiesen werden. Dafür wiederum ist es notwendig, denen mal eine Übersicht zu geben, was denn überhaupt Bestand ist.

Die Analyse der Gruppenmitgliedschaften bleibt eine Herausforderung, für die ich auch noch kein ideales Instrument gefunden habe.

Da habe ich mir mal ein Skript geschrieben, das mir die Gruppen und ihre Verschachtelung als XML ausgibt. Mir reicht das. Nur kann ich das Ergebnis keinem Abteilungsleiter geben. Die verstehen das nicht, weil sie nicht wissen und es auch nicht wissen müssen, was der Unterschied zwischen einer domainlokalen und einer globalen Gruppe ist und warum man das so verschachtelt. Die brauchen Listen mit Rechten der MAer, die sich aus der Verschachtelung ergeben.

https://github.com/EvotecIT hat PowerShell-Tools dafür, da bin ich aber beim schnellen Testen nicht weit gekommen. Ich habe bislang immer eigene PowerShell-Skripts dafür verwendet, die Eingaben für Gephi, Maltego u.ä. erzeugen.

Ja und genau das ist das Problem. Mein Chef dazu nicht zu unrecht: "Und was passiert, wenn Sie mal nicht da sind?" Ich habe das zwar sehr gut (eigene Schulter klopf!) dokumentiert. Aber trotzdem sind solche selbstgestrickten Sachen nicht wirklich konsistent, wenn man die Firma verlässt oder länger ausfällt. Ich habe meine zwei letzten Monate bei meinem alten Arbeitgeber damit zugebracht, genau das alles nochmal richtig gründlich zu dokumentieren.

Liebe Grüße

Erik
Mitglied: C.R.S.
Lösung C.R.S. 29.06.2022 um 16:43:35 Uhr
Goto Top
Verstehe - also für das Reporting der effektiven Berechtigungen in der jetzigen Situation dürfte ME DataSecurity Plus schon ganz nett sein. Du bekommst damit ja noch Extras wie die Dateiklassifizierung, Scans und Agenten auf den Clients.
Mitglied: Penny.Cilin
Lösung Penny.Cilin 29.06.2022 aktualisiert um 17:48:33 Uhr
Goto Top
Hallo,

ich werfe mal MigRaven in die Diskussion.
Zugriffsmanager.

Gruss Penny.
Mitglied: Uwe-Kernchen
Lösung Uwe-Kernchen 29.06.2022 um 19:12:03 Uhr
Goto Top
Solarwinds Access Rights Manager
ARM
Macht definitiv was du suchst.
Außerdem kann es zeitlich befristete Berechtigungen setzten und loggt alle Berechtigungsänderungen.

Nachteil:
Du hast hinterher im Klartext keinen Durchblick mehr, weil das Programm Gruppen ohne Ende erstellt.
Mitglied: erikro
erikro 01.07.2022 um 10:08:22 Uhr
Goto Top
Ich danke Euch allen noch einmal. Wir gucken uns jetzt DokuSnap an.