von Redaktion IT-A…
Lesezeit
2 Minuten
Sysinternals-Tools für die Verwaltung von Dateien und Datenträgern
Die Werkzeuge aus Microsofts Sysinternals-Reihe sind eine wertvolle Hilfe und Ergänzung für den Windows-Admin, gerade was die Überwachung, Diagnose und Verwaltung von Datei- oder Webservern angeht. In diesem Online-Workshop stellen wir Ihnen die Tools vor, mit denen Sie Dateien und Datenträger überwachen und Konfigurationen im Bereich des Datenmanagements vornehmen können.
Die meisten der vorgestellten Programme arbeiten unter Windows 2000, XP, Vista, 7 und Server 2003 und 2008 (R2) sowie in den 64-Bit-Versionen dieser Betriebssysteme.
Verwalten von Berechtigungen auf Datei- oder Verzeichnisebene
Mit "AccessChk" [1] können Sie in der Befehlszeile eine ausführliche Liste ausgeben lassen, welche Rechte ein Benutzer auf Dateien, Dienste oder die Registry hat. Mit dem Tool können Sie schnell einen Überblick darüber herstellen, wie bestimmte Zugriffsrechte für einzelne Benutzer aussehen. Die Syntax lautet:
"-d": Verarbeitet nur Verzeichnisse.
"-e": Zeigt den Satz der Integritätsstufen für Windows Vista.
"-i": Zeigt für Windows Vista die Integritätsstufe für das Objekt.
"-k": Diese Option wird verwendet, wenn es sich um einen Registry-Key handelt.
"-n": Zeigt nur Objekte an, für die kein Zugriff besteht.
"-r": Zeigt nur Leserechte an.
"-v": Verbose (Windows Vista Integrity Level).
"-w": Zeigt nur Schreibrechte an.
Wenn Sie einen Benutzer oder eine Gruppe auswählen, werden die effektiven Rechte für diesen Account angezeigt. Wenn Sie sich die Rechte des Benutzers "Administrator" für ein Verzeichnis anzeigen lassen wollen, verwenden Sie den Befehl accesschk Administrator c:\windows\system32. Bei jeder Datei erhalten Sie die Information, ob Leserechte (R), Schreibreche (W) oder beides (RW) bestehen. Mit dem Befehl accesschk {Benutzer} -cw * können Sie sich anzeigen lassen, auf welche Windows-Dienste die Benutzergruppe oder der Benutzer Schreibrechte hat. Wollen Sie die Zugriffsberechtigungen für einen Benutzer für einen bestimmten Registry-Key abprüfen, können Sie zum Beispiel den Befehl accesschk -kns contoso\ tami hklm\software verwenden. Das Tool eignet sich optimal, um Server auf Sicherheitsschwachstellen zu untersuchen.
Bild 1: AccessChk stellt zahlreiche Parameter bereit, um nach Berechtigungen zu suchen
Bei "AccessEnum" [2] handelt es sich um die grafische Oberfläche von AccessChk. Der Download der nur unter Windows 2000, XP und Server 2003 lauffähigen Software enthält daher auch beide Dateien. Die Bedienung ist sehr einfach und ideal für das Aufdecken von Sicherheitslücken auf Grund mangelhaft gesetzter Berechtigungen. Sie können sich in der Oberfläche ein Verzeichnis aussuchen und dieses auf Berechtigungen scannen lassen. Hier werden Ihnen auch Verweigerungsrechte angezeigt. Der Verzeichnisname steht in der Spalte "Path", während der Eintrag für das Anwenderkonto in der Spalte "Read" zu finden ist.
Ein Anwender, der beispielsweise die Schreibrechte auf das Verzeichnis "Windows\ System32" und alle darunter liegenden Verzeichnisse besitzt, aber über kein Schreibrecht auf das Windows-Verzeichnis verfügt, wird mit dem Eintrag "Windows\ Systems32" und dem Namen des Kontos in der Spalte "Write" dargestellt. Durch diese verdichtete Darstellung schafft es das Tool, Konten im Zusammenhang mit der entsprechenden Gruppenzugehörigkeit darzustellen. Besitzt beispielsweise eine Gruppe den Lesezugriff auf ein Verzeichnis, während sie aber dieses Leserecht auf das übergeordnete Verzeichnis nicht hat, werden eines oder mehrerer Gruppenmitglieder, auf die genau diese Konstellation zutrifft, nicht separat in der Read-Spalte dargestellt, sondern hier taucht nur die entsprechende Gruppe auf.
Das Menü stellt zwei Einstellmöglichkeiten zur Verfügung: Die erste Option mit der Bezeichnung "Show Local System Account" ist standardmäßig ausgewählt. Deaktivieren Sie diese Option, ignoriert das Tool die Zugriffsrechte, die sich auf den lokalen System-Account (NT-AutoritätSystem) beziehen. Dieses Konto wird nur von den Windows-Diensten und den Kernkomponenten des Betriebssystems verwendet. Die zweite Option trägt die Bezeichnung "File Display Options". Durch Auswahl dieser Option ist es möglich, dass Dateien und Verzeichnisse so behandelt werden, dass eine Datei grundsätzlich immer dann angezeigt wird, wenn die Zugriffsrechte von denen des übergeordneten Verzeichnisses abweichen. Mit einem Klick auf die Spaltenüberschriften können die Einträge auf- oder absteigend sortiert werden. Über die Schaltfläche "Registry" können Sie in der Registry nach Berechtigungen scannen lassen.
Thomas Joos/ln
[1] http://technet.microsoft.com/de-de/sysinternals/bb664922
[2] http://technet.microsoft.com/de-de/sysinternals/bb897332
Verwalten von Berechtigungen auf Datei- oder Verzeichnisebene
Mit "AccessChk" [1] können Sie in der Befehlszeile eine ausführliche Liste ausgeben lassen, welche Rechte ein Benutzer auf Dateien, Dienste oder die Registry hat. Mit dem Tool können Sie schnell einen Überblick darüber herstellen, wie bestimmte Zugriffsrechte für einzelne Benutzer aussehen. Die Syntax lautet:
accesschk [-s][-i|-e][-r][-w][-n][-v][[-k][-c]|[-d]]
{Benutzername} {Datei, Verzeichnis, Registry-Key oder Dienst}
"-c": Diese Option verwenden Sie, wenn es sich um einen Dienst handelt. Wenn Sie den Platzhalter "*" eingeben, werden die Rechte für alle Systemdienste angezeigt."-d": Verarbeitet nur Verzeichnisse.
"-e": Zeigt den Satz der Integritätsstufen für Windows Vista.
"-i": Zeigt für Windows Vista die Integritätsstufe für das Objekt.
"-k": Diese Option wird verwendet, wenn es sich um einen Registry-Key handelt.
"-n": Zeigt nur Objekte an, für die kein Zugriff besteht.
"-r": Zeigt nur Leserechte an.
"-v": Verbose (Windows Vista Integrity Level).
"-w": Zeigt nur Schreibrechte an.
Wenn Sie einen Benutzer oder eine Gruppe auswählen, werden die effektiven Rechte für diesen Account angezeigt. Wenn Sie sich die Rechte des Benutzers "Administrator" für ein Verzeichnis anzeigen lassen wollen, verwenden Sie den Befehl accesschk Administrator c:\windows\system32. Bei jeder Datei erhalten Sie die Information, ob Leserechte (R), Schreibreche (W) oder beides (RW) bestehen. Mit dem Befehl accesschk {Benutzer} -cw * können Sie sich anzeigen lassen, auf welche Windows-Dienste die Benutzergruppe oder der Benutzer Schreibrechte hat. Wollen Sie die Zugriffsberechtigungen für einen Benutzer für einen bestimmten Registry-Key abprüfen, können Sie zum Beispiel den Befehl accesschk -kns contoso\ tami hklm\software verwenden. Das Tool eignet sich optimal, um Server auf Sicherheitsschwachstellen zu untersuchen.
Bild 1: AccessChk stellt zahlreiche Parameter bereit, um nach Berechtigungen zu suchen
Bei "AccessEnum" [2] handelt es sich um die grafische Oberfläche von AccessChk. Der Download der nur unter Windows 2000, XP und Server 2003 lauffähigen Software enthält daher auch beide Dateien. Die Bedienung ist sehr einfach und ideal für das Aufdecken von Sicherheitslücken auf Grund mangelhaft gesetzter Berechtigungen. Sie können sich in der Oberfläche ein Verzeichnis aussuchen und dieses auf Berechtigungen scannen lassen. Hier werden Ihnen auch Verweigerungsrechte angezeigt. Der Verzeichnisname steht in der Spalte "Path", während der Eintrag für das Anwenderkonto in der Spalte "Read" zu finden ist.
Ein Anwender, der beispielsweise die Schreibrechte auf das Verzeichnis "Windows\ System32" und alle darunter liegenden Verzeichnisse besitzt, aber über kein Schreibrecht auf das Windows-Verzeichnis verfügt, wird mit dem Eintrag "Windows\ Systems32" und dem Namen des Kontos in der Spalte "Write" dargestellt. Durch diese verdichtete Darstellung schafft es das Tool, Konten im Zusammenhang mit der entsprechenden Gruppenzugehörigkeit darzustellen. Besitzt beispielsweise eine Gruppe den Lesezugriff auf ein Verzeichnis, während sie aber dieses Leserecht auf das übergeordnete Verzeichnis nicht hat, werden eines oder mehrerer Gruppenmitglieder, auf die genau diese Konstellation zutrifft, nicht separat in der Read-Spalte dargestellt, sondern hier taucht nur die entsprechende Gruppe auf.
Das Menü stellt zwei Einstellmöglichkeiten zur Verfügung: Die erste Option mit der Bezeichnung "Show Local System Account" ist standardmäßig ausgewählt. Deaktivieren Sie diese Option, ignoriert das Tool die Zugriffsrechte, die sich auf den lokalen System-Account (NT-AutoritätSystem) beziehen. Dieses Konto wird nur von den Windows-Diensten und den Kernkomponenten des Betriebssystems verwendet. Die zweite Option trägt die Bezeichnung "File Display Options". Durch Auswahl dieser Option ist es möglich, dass Dateien und Verzeichnisse so behandelt werden, dass eine Datei grundsätzlich immer dann angezeigt wird, wenn die Zugriffsrechte von denen des übergeordneten Verzeichnisses abweichen. Mit einem Klick auf die Spaltenüberschriften können die Einträge auf- oder absteigend sortiert werden. Über die Schaltfläche "Registry" können Sie in der Registry nach Berechtigungen scannen lassen.
Seite 1 von 2 Nächste Seite>>
Thomas Joos/ln
[1] http://technet.microsoft.com/de-de/sysinternals/bb664922
[2] http://technet.microsoft.com/de-de/sysinternals/bb897332
