Naarmate een bedrijfsnetwerk uitgebreider wordt, groeit ook het aantal gebruikers en gebruikersgroepen. Gebruikers verhuizen nogal eens. Geen wonder dat veel netwerkbeheerders uiteindelijk geen idee meer hebben waar gebruikers precies toegang toe hebben en wat ze daar mogen en wat niet. Permission Analyzer van Permedia geeft opnieuw kennis en zeggenschap over het eigen netwerk.
Windows domeinen en Active Directory maken het mogelijk gebruikers en gebruikersgroepen aan te maken met duidelijk afgebakende rechten, maar op het directory-niveau van het bestandssysteem gelden ook gebruikersrechten. Naarmate een netwerk groeit en er meer gebruikers en gebruikersgroepen bijkomen, en gebruikers nog wel eens verhuizen naar een andere groep, wordt de kans dat een beheerder het overzicht over alle toegangsrechten kwijtraakt steeds groter. Windows biedt standaard geen enkele methode om heel exact te weten te komen welke gebruikersgroepen of gebruikers waar toegang toe hebben en wat ze kunnen doen. De Nederlandse firma Permedia meent daar met zijn Permission Analyzer iets op gevonden te hebben. Zoals de naam van de software al aangeeft, scant de software een heel domein en verzamelt informatie op directory-niveau van toegangsrechten. Deze informatie kun je dan raadplegen en in rapporten weergeven. Op basis hiervan kunnen dan eventueel wijzigingen aangebracht worden in de gebruikersrechten, zodat het een en ander beter in overeenstemming komt met het beveiligingsbeleid van het bedrijf. Permission Analyzer is overigens voorzien van een automatische updatefaciliteit.
Tijdbesparend
Omdat de software de rechten van alle directories op meerdere systemen moet doorzoeken en deze scan enorm tijdrovend is, heeft Permedia ervoor gekozen de rechtenanalyse niet in realtime uit te voeren maar in twee fasen. In de eerste fase gebeurt de netwerkscan en worden alle resultaten in een database opgeslagen. De tweede fase is de analyse: informatieweergave en rapportage. Deze analyse kun je zo vaak als je maar wilt met telkens andere parameters uitvoeren zonder dat daarbij een nieuwe, tijdrovende netwerkscan nodig is. Verandert er iets in het netwerk, dan kan de netwerkscan opnieuw uitgevoerd worden en wordt de betrokken informatie in de database bijgewerkt. Ook is het mogelijk om scans geautomatiseerd op specifieke tijdstippen in een bepaalde regelmaat uit te laten voeren.
Op dit moment is het alleen mogelijk om hele domeinen te scannen met de inloggegevens van de op dat moment ingelogde gebruiker.
Het was mooi geweest als er behalve een heel domein, ook onderdelen van een domein en dan met name individuele computers gescand hadden kunnen worden. Het is ook niet handig dat de scan als domeininlog de gegevens van de ingelogde gebruiker hanteert. Het is immers heel goed mogelijk dat een beheerder verantwoordelijk is voor meerdere domeinen, maar hij kan er maar op één tegelijk ingelogd zijn. Het is dan wel handig als hij toch scans van andere domeinen kan uitvoeren, maar dan moet de software natuurlijk de mogelijkheid bieden bij elk domein of elk systeem een daarbij behorende beheerderinlog op te geven. Permedia zou het scanvenster kunnen uitbreiden met een boomstructuuroverzicht van alle reeds gescande systemen, waarna de beheerder met een vinkje kan aangeven welke systemen hij opnieuw gescand wil hebben. Zoiets kan tijdsbesparend werken, maar helaas is dat nog niet mogelijk. De analyse kan verricht worden op vier hoofdrubrieken: rechten van gebruikersgroepen, rechten van individuele gebruikers, details van individuele gebruikers, en inventaris van geïnstalleerde software.
De weergave van rechten van gebruikersgroepen en van gebruikers is identiek, alleen toont de software ze als twee aparte rubrieken omdat dat duidelijker is. De rechten worden in een grafische boomstructuur van directories getoond met behulp van symbolen. Je kiest een gebruikersgroep of gebruiker en alle of slechts enkele directories, en dan wordt de bij deze keuzes horende boomstructuur gegenereerd. Je kunt de volledige boomstructuur uitklappen, of slechts één vertakking. Zodra je klikt op een directory object in de boom, verschijnt onder aan het presentatievenster een tekstuele weergave van de rechten. De symbolen in de boom bieden een snel overzicht. Boven aan de boom staat een legenda met de gebruikte symbolen. Om bepaalde rechten te selecteren in de weergave, klik je op de legenda. Standaard worden alle rechten getoond. Helemaal onder aan het venster bevindt zich een knop 'Report' (rapportage). Daarmee kan een html-rapport genereerd worden over de hele of een deel van de boom, of over alle toegangsrechten voor elke directory. Wanneer je met de rechtermuisknop klikt op een directory-object heb je de mogelijkheid om de directory te openen met Windows Explorer. Vandaar uit kunnen eventueel de toegangsrechten van de directory gewijzigd worden. Het zou natuurlijk nog makkelijker zijn als de software je de mogelijkheid zou bieden om rechtstreeks directory- en zelfs domein- en gebruikersrechten in Windows te wijzigen zonder dat je eerst via Explorer moet gaan.
Gebruikersdetails
De tab-gebruikersdetails laten allerlei veiligheidsgebonden informatie over de gebruikers zien. Daaronder valt de laatste inlogdatum, of een gebruiker geblokkeerd is, en of zijn wachtwoord nooit verloopt. Zo kunnen inactieve of niet meer in gebruik zijnde accounts en gebruikers die permanent met hetzelfde wachtwoord werken (wat immers onveilig is) snel opgespoord worden. De niet meer in gebruik zijnde accounts in bedrijven leiden meestal naar medewerkers die het bedrijf inmiddels verlaten hebben. In veel gevallen blijkt dat de gebruikersaccount niet gewist is en de toegangsrechten van de gebruiker nog steeds geldig zijn. Dit is bijzonder onveilig. Vergeet niet dat onderzoek heeft aangetoond dat meer dan 80 procent van alle beveiligingsinbraken van binnen de eigen organisatie komen!
De lijst met geïnstalleerde software van alle computers in de netwerkscan heeft meer een informatief doel: een inventaris opstellen. De lijst kan daarvoor geëxporteerd worden in csv-formaat. De lijst bevat de naam van de computer, het programma, de versie, de uitgever van de software en de installatiebrondirectory. Als er nog geen methode was om snel een software-inventaris op te stellen, is deze rubriek zeker handig. Op basis van deze lijst kan een beheerder snel zoeken naar bepaalde ongewenste software die geïnstalleerd is, of controleren of er wel een geldige licentie voor de software bestaat. Daar is natuurlijk ook wel andere software voor beschikbaar, maar die is lang niet zo goedkoop als dit product.
Conclusie
Permission Analyzer biedt systeem- en netwerkbeheerders goede ondersteuning bij het beheren en overzichtelijk houden van alle toegangsrechten. Er zijn natuurlijk punten waarop de software nog verbeterd kan worden, maar vanwege de wel heel erg interessante prijs kunnen we niet anders dan het warm aanbevelen!
Productinfo
Product: Permission Analyzer 1.4.4
Producent: Permedia Nederland
Leverancier: Permedia Nederland, www.permissionanalyzer.nl
Adviesprijs (excl. BTW): 119 euro
Systeemvereisten: Windows server en beheerderrechten op bedrijfs-pc.
De kern
* Windows kent toegangsrechten op meerdere niveaus en dat wordt al gauw een onoverzichtelijk geheel.
* Het Nederlandse product Permission Analyzer helpt bij het overzichtelijk maken en houden van de toegangsrechten.
