Neben den bereits beschriebenen Möglichkeiten, werden für die Verwaltung von Datenträgern über die Befehlszeile weitere Tools zur Verfügung gestellt. Sie erhalten in der Befehlszeile zu jedem Tool eine ausführliche Hilfe.
쐍 Diskraid Verwalten von RAID-Systemen 쐍 Defrag Datenträger defragmentieren
쐍 Convert <Laufwerksbuchstaben> /FS:NTFS Datenträger von FAT zu NTFS formatieren 쐍 Vssadmin Verwalten der Schattenkopien
쐍 Fsutil Verwalten des Dateisystems
쐍 Sigverif Verifizieren der Signatur einer Datei 쐍 Icacls Besitz eines Verzeichnisses übernehmen
Befehlszeilen-Tools für die Verwaltung von Dateiservern
Sysinternals – Tools für die Verwaltung von Dateien und Datenträgern Microsoft hat im Jahr 2006 den bekannten Softwarehersteller und Windows-Spezialisten Sysinter-nals übernommen und dessen meist kostenlose und sehr mächtige Tools in das Microsoft TechNet übernommen. Sie finden alle Tools auf der TechNet-Internetseite. Die meisten Tools müssen nicht installiert werden, sondern können nach dem Entpacken sofort verwendet werden. Der Charme die-ser Tools liegt darin, dass meistens auch keine DLL-Dateien benötigt werden. Die Tools bestehen fast immer nur aus einer einzelnen *.exe-Datei und können nach dem Entpacken sofort gestartet wer-den. Bei manchen Tools handelt es sich um Tools mit grafischer Oberfläche, manche sind Befehls-zeilen-Tools. Alle Tools haben gemeinsam, dass sie nur wenige Kilobyte groß sind, aber extrem hilf-reich sein können, vor allem wenn es um die Fehlersuche in Windows-Netzwerken geht. Im Forum für Sysinternals finden Sie noch viele Anregungen und Tipps sowie Hilfen zu den Tools. Microsoft hat die komplette Tool-Sammlung von Sysinternals in einer einzigen Datei zum Download bereitge-stellt. So können Sie sich das lästige Herunterladen der einzelnen Programme sparen. Zu den Tools gehören etwa Autoruns, Diskmon, Filemon, Portmon, Regmon und der Process Explorer, mit denen sich die Aktivitäten eines Rechners und der darauf laufenden Anwendungen sehr gut beobachten lassen. Auch der RootkitRevealer zum Aufspüren von Rootkits gehört zu der Sammlung.
Auf den folgenden Internetseiten erhalten Sie ausführliche Informationen zu den Tools:
쐍 http://www.microsoft.com/technet/sysinternals 쐍 http://forum.sysinternals.com
쐍 http://www.microsoft.com/technet/sysinternals/utilities/sysinternalssuite.mspx 쐍 http://www.ryanvm.net/forum/viewtopic.php?t=1735
Verwalten und Überwachen von Berechtigungen auf Datei- oder Verzeichnisebene
Mit AccessChk wird in der Befehlszeile eine ausführliche Liste ausgegeben, welche Rechte ein Benut-zer auf Dateien, Dienste oder die Registry hat. Mit dem Tool kann schnell ein Überblick erlangt wer-den, wie bestimmte Zugriffsrechte für einzelne Benutzer aussehen. Die Syntax lautet:
accesschk [-s][-i|-e][-r][-w][-n][-v][[-k][-c]|[-d]] <Benutzername> <Datei, Verzeichnis, Registrykey oder Dienst>
-c Diese Option wird verwendet, wenn es sich um einen Dienst handelt. Wird der Platzhalter * verwendet, werden die Rechte für alle Systemdienste angezeigt.
-d Verarbeitet nur Verzeichnisse
-k Diese Option wird verwendet, wenn es sich um einen Registrykey handelt, zum Beispiel HKLM\SOFTWARE.
-n Zeigt nur Objekte an, für die kein Zugriff besteht -r Zeigt nur Leserechte an
-w Zeigt nur Schreibrechte an
Wird ein Benutzer oder eine Gruppe ausgewählt, werden die effektiven Rechte für diesen Account angezeigt.
HINWEIS
Beispiele
Sollen die Rechte des Benutzers Administrator für ein Verzeichnis angezeigt werden, wird der Befehl accesschk administrator c:\windows\system32 verwendet. Bei jeder Datei erhalten Sie die Informa-tion, ob Leserechte (R), Schreibreche (W) oder beides (RW) bestehen.
Abbildg. 5.18 Mit AccessChk von Sysinternals kann unter Windows Server 2008 die Berechtigungsstruktur eines Verzeichnisses angezeigt werden
Mit dem Befehl accesschk <Benutzer> –cw * wird angezeigt, auf welche Windows-Dienste die Benutzergruppe oder der Benutzer Schreibrechte hat. Sollen die Zugriffsberechtigungen für einen Benutzer für einen bestimmten Registrykey abgeprüft werden, wird beispielsweise der Befehl acces-schk –kns contoso\tami hklm\software verwendet. Das Tool eignet sich daher hervorragend um Ser-ver auf Sicherheitsschwachstellen zu untersuchen, auch innerhalb von Skripts. Mit der Option |more kann die Ausgabe aufgeteilt werden, über >Datei.txt wird die Ausgabe in eine Datei umgeleitet.
AccessEnum bietet eine grafische Oberfläche, mit der für eine komplette Verzeichnisstruktur die Berechtigungen eines Benutzers angezeigt werden. Bei AccessEnum handelt es sich um die grafische Oberfläche von AccessChk. Der Download enthält beide Dateien, da AccessEnum das Programm AccessChk zum Abprüfen der Berechtigungen nutzt. Die Bedienung ist sehr einfach und ideal für das Aufdecken von Sicherheitslücken auf Grund mangelhaft gesetzter Berechtigungen. Sie können sich in der Oberfläche ein Verzeichnis aussuchen und dieses auf Berechtigungen scannen lassen. Hier werden auch Verweigerungsrechte angezeigt.
Befehlszeilen-Tools für die Verwaltung von Dateiservern
Abbildg. 5.19 AccessEnum zeigt in einer grafischen Oberfläche die Berechtigungsstruktur für einzelne Verzeichnisse an
Der Verzeichnisname wird in der Spalte Path angezeigt, während der Eintrag für das Anwender-konto in der Spalte Read zu finden ist. Ein Anwender, der beispielsweise die Schreibrechte auf das Verzeichnis Windows\System32 und alle darunter liegenden Verzeichnisse besitzt, aber über kein Schreibrecht auf das Verzeichnis Windows verfügt, wird mit dem Eintrag Windows\Systems32 und dem Namen des Kontos in der Spalte Write dargestellt. Auf diese Art und Weise der verdichteten Darstellung wird erreicht, dass Konten im Zusammenhang mit der entsprechenden Gruppenzuge-hörigkeit dargestellt werden. Besitzt beispielsweise eine Gruppe den Lesezugriff auf ein Verzeichnis, während sie aber dieses Leserecht auf das übergeordnete Verzeichnis nicht hat, werden eines oder mehrere Gruppenmitglieder, auf die genau diese Konstellation zutrifft, nicht separat in der Read-Spalte dargestellt. Hier wird nur die entsprechende Gruppe auftauchen. Das Menü stellt zwei Ein-stellmöglichkeiten zur Verfügung. Die erste Option mit der Bezeichnung Show Local System Account ist standardmäßig ausgewählt. Wird diese Option deaktiviert, ignoriert das Tool die Zugriffsrechte, die sich auf den lokalen System-Account (NT-AutoritätSystem) beziehen. Dieses Konto wird nur von den Windows-Diensten und den Kernkomponenten des Betriebssystems verwendet. Die zweite Option die hier zur Verfügung gestellt wird, trägt die Bezeichnung File Display Options. Durch Aus-wahl dieser Option wird es möglich, dass Dateien und Verzeichnisse so behandelt werden, dass eine Datei grundsätzlich immer dann angezeigt wird, wenn die Zugriffsrechte von denen des übergeord-neten Verzeichnisses abweichen. Mit einem Klick auf die Spaltenüberschriften können die Einträge auf- oder absteigend sortiert werden. Über die Schaltfläche Registry wird innerhalb der Registry nach Berechtigungen gescannt.
ShareEnum – Die Netzwerkversion von AccessEnum
ShareEnum ist ein ähnliches Tool wie AccessEnum und hat die Funktion, alle Freigaben und deren Sicherheitseinstellungen anzuzeigen. Auf diese Weise können alle Freigaben eines Servers auf einen Blick angezeigt werden. Das Tool kann entweder einen IP-Bereich oder alle PCs und Server einer
Domäne (oder aller Domänen) auf Freigaben scannen. Damit das Tool auch zuverlässig alle Infor-mationen anzeigt, sollte die Anmeldung mit Domänenadmin-Konto erfolgen, da nur dieses Konto Rechte auf allen PCs und Servern der Domäne hat. Das Tool zeigt nicht nur die Freigaben an, son-dern auch den lokalen Pfad der Freigabe auf dem Server. Über die Schaltfläche Refresh wird ein neuer Scanvorgang gestartet. Soll nur ein einzelner Server gescannt werden, geben Sie als IP-Bereich als Start- und Endadresse die gleiche IP-Adresse an. Mit dem Tool werden in einem einzelnen Fens-ter alle Freigaben im Netzwerk mit den entsprechenden Zugriffsberechtigungen angezeigt. In Ver-bindung mit AccessChk und AccessEnum, ist ShareEnum daher eine wertvolle Ergänzung für die Tool-Sammlung jedes Administrators.
Datenträger- und Partitionsverwaltung
Vor allem auf Servern auf denen viele Partitionen eingerichtet wurden, die sich über mehrere physi-sche Festplatten erstrecken, kann Diskext.exe extrem hilfreich sein. Das Tool zeigt an, über welche Festplatten sich eine Partition erstreckt und wo auf der Festplatte die Partition angelegt worden ist.
Bei dem Tool handelt es sich um ein einfaches Befehlszeilentool. Die Ausgabe kann zum Beispiel in eine Textdatei umgeleitet werden, wenn bei der Einrichtung eines Servers eine Dokumentation der Konfiguration erstellt wird.
Mit Diskmon werden alle Aktivitäten der Festplatte in einem Fenster angezeigt. Es werden detail-lierte Informationen über die Nutzung der Festplatten im Server angezeigt. In einem Ausgabefenster werden dabei Aktion, Sektor, Zeit, Dauer und Festplatte angegeben. Zu Diagnosezwecken kann die-ses Tool sehr nützlich sein, da schnell erkannt wird, welche Abläufe auf den Platten durchgeführt werden. Neben der Echtzeitanzeige der Festplattenkapazität, bei der mit verschiedenen Optionen und Filtern gearbeitet wird, besteht auch die Möglichkeit, das Programm in die Taskleiste zu mini-mieren und es an dieser Stelle als Festplattenaktivitäts-LED verwenden. Aktivieren Sie für diese Funktion über Options die Funktion Minimize to Tray Disk Light. Wird das Programm minimiert, wird neben der Uhr ein kleines Symbol angezeigt, welches die Aktivität der Festplatte anzeigt, wie die Leuchte der Festplatte direkt am Server. Wenn in einen Serverschrank viele Server eingebaut sind, von denen man oft auch die Lampen der Festplattennutzung nicht sieht, kann mit diesem Tool schnell erkannt werden, ob und wie stark aktuell auf die Festplatte des Servers zugegriffen wird.
Abbildg. 5.20 Anzeigen der Festplattenkapazität eines Servers mit Disk Monitor von Sysinternals