Die Sysinternal-Tools stehen bei Microsoft zum kostenlosen Download zur Verfügung. Sie sind in insgesamt sechs Kategorien untergliedert. Eine der Kategorien ist Datei & Datenträger. Dort finden sich rund 20 Utilities, mit denen sich spezielle Aufgaben rund um das Management von Dateien und Datenträgern erledigen lassen.
Hier finden sich beispielsweise Utilities, mit denen Sie die Zugriffsberechtigungen nach Benutzern oder File-Shares auflisten lassen – beispielsweise um entsprechende Nachfragen im User-Support zu beantworten oder gezielte Sicherheitsanalysen durchzuführen. Es gibt aber auch kleine Tools, mit deren Hilfe Sie die Volume-ID von Laufwerken anpassen oder Dateien unwiederbringlich löschen können. Einige der interessantesten Werkzeuge stellen wir nachfolgend vor.
Zugriffsberechtigungen im Dateisystem
Eines dieser wirklich wichtigen Werkzeuge ist AccessChk. Dieses Tool analysiert die Zugriffsberechtigungen im Dateisystem. Beispielsweise können Sie damit herausfinden, auf welche Dateien eine bestimmte Benutzergruppe in einem vorgegebenen Unterverzeichnis Zugriff hat. Es gibt aber auch noch andere Optionen wie die Analyse von Zugriffsberechtigungen auf Dienste.
Dieses Tool ist immer dann sinnvoll, wenn ein Benutzer sich beschwert, dass er Schwierigkeiten mit einer Datei im Netzwerk hat und man ein Berechtigungsproblem als mögliche Ursache ausschließen will.
Die Ausführung des Tools steuern Sie über eine Reihe von Parametern. In jedem Fall müssen Sie einen Benutzernamen oder eine Benutzergruppe angeben sowie das Objekt, dessen Zugriffsberechtigungen ausgegeben werden sollen. Dabei kann es sich um Dateien, Verzeichnisse, Registrierungsschlüssel, Dienste oder auch PIDs (aktuelle Prozess-IDs) handeln. Die Parameter steuern dann beispielsweise, dass nur Verzeichnisse verarbeitet werden oder dass nur Objekte mit Schreib- oder Lesezugriff angezeigt werden.
Um die Informationen über die Zugriffsberechtigungen auf einen Verzeichnisbaum c:\dateien für den Benutzer MartinK auszugeben, arbeitet man beispielsweise mit
accesschk –qs MartinK c:\dateien
Der Parameter –q sorgt dafür, dass die Information zum Programm zu Beginn nicht ausgegeben wird, -s sorgt für die rekursive Bearbeitung auch von Unterverzeichnissen. Falls man nur die Dateien ohne Zugriff sehen möchte, lautet der Parameter –qsn.
Um dagegen die Zugriffsberechtigungen des gleichen Benutzers auf alle aktuell laufenden Prozesse angezeigt zu bekommen, kann man folgenden Befehl verwenden:
accesschk –pq MartinK *
Schneller Überblick über Berechtigungen
In eine ähnliche Richtung geht auch accessenum.exe, wenn auch mit etwas weniger Optionen im Detail. Dafür werden die Berechtigungen hier über eine grafische Schnittstelle angezeigt.
Das Werkzeug kann dabei Zugriffsberechtigungen sowohl im Dateisystem als auch in der Registry ermitteln und gibt diese in strukturierter Form für die verschiedenen Unterverzeichnisse aus. Dabei wird jeweils angezeigt, welche Benutzer und Gruppen Lese- und Schreibrechte haben und für wen explizit die Option Kein Zugriff (Deny) gesetzt ist.
Das Werkzeug ist ausgesprochen einfach in der Nutzung. Im oberen Bereich wird das Verzeichnis oder der Registry-Schlüssel, für den die Analyse erfolgen soll, ausgewählt. Anschließend wird diese mit Scan gestartet.
Mit diesem Tool lässt sich sehr schnell herausfinden, ob beispielsweise tatsächlich nur die gewünschten Personen oder Gruppen Zugriff auf ein bestimmtes Verzeichnis haben.
Speicherplatzverwendung
Ebenfalls ein sehr praktisches Werkzeug ist Disk Usage. Mit dem Befehl du und seinen Parametern ermitteln Sie die Speicherplatzverwendung für verschiedene Verzeichnisse. Standardmäßig verarbeitet das Tool via Rekursion auch die Unterverzeichnisse.
Die Verwendung des Befehls ist ausgesprochen einfach. Um sich beispielsweise Daten zu allen Unterverzeichnissen von c:\downloads anzeigen zu lassen, nutzen Sie die Anweisung
du -vq c:\downloads
Der Parameter -v sorgt dafür, dass auch Details zu den einzelnen untergeordneten Verzeichnissen angegeben werden. Der Parameter -q unterdrückt wieder das Banner. Falls Sie nur Daten zum aktuellen Verzeichnis erhalten wollen, kommt die folgende Anweisung zum Einsatz:
du -nq c:\downloads
Details zum NTFS
Klein, aber hilfreich, ist ntfsinfo.exe. Das Tool bietet keinerlei Befehlszeilenparameter. Im Gegensatz zu vielen anderen Utilities kann es jedoch nur mit administrativen Berechtigungen gestartet werden. Unter Windows Vista muss man daher die Eingabeaufforderung über den Befehl Als Administrator ausführen im Kontextmenü starten, um die erforderlichen erhöhten Berechtigungen zu erhalten.
Zu den wirklich wichtigen Informationen gehören neben der Clustergröße die Detailinformationen zur MFT (Master File Table), die die Strukturinformationen zum Dateisystem enthält. Dort wird unter anderem ausgegeben, zwischen welchen Clustern im Dateisystem die MFT liegt und wo sich der Spiegel befindet. Diese Informationen sind insbesondere für Wiederherstellungsprozesse von Bedeutung.
Dateien endgültig löschen
Auch wer ein Werkzeug benötigt, um Dateien endgültig zu löschen, wird bei den Sysinternals-Werkzeugen fündig. Mit sdelete.exe können Sie Dateien endgültig und unwiederbringlich löschen. Als Basis dient der Standard 5220.22-M des DoD (Department of Defense), also des amerikanischen Verteidigungsministeriums.
Mit einer Befehlszeile wie
sdelete –p 7 c:\dateien
weisen Sie das Tool an, das angegebene Verzeichnis mit sieben Durchläufen zu überschreiben. Damit werden allerdings Fragmente, die beispielsweise beim Bearbeiten oder Verschrieben von Dateien entstehen, nicht mitgelöscht. Um den freien Plattenplatz auf einem Datenträger von solchen Resten zu befreien, verwenden Sie
sdelete –p 3 –z c:
Die Anzahl der Durchgänge steuert, wie gründlich die Daten auf dem Datenträger gelöscht werden. Mehr Durchgänge bringen mehr Sicherheit, benötigen aber auch mehr Zeit.
Das Tool hat allerdings den Nachteil, dass es auf den aktuellen Versionen wie Windows Vista zumindest offiziell nicht mehr unterstützt wird.
Informationen zu Freigaben
Ein ähnliches Werkzeug wie accessenum.exe ist shareenum.exe. In diesem Fall werden Details zu den Freigaben in einem System angezeigt, darunter eben insbesondere die Zugriffsberechtigungen.
Reizvoll ist, dass die Abfrage gleich für eine gesamte Domäne durchgeführt werden kann. Als Ergebnis liefert das Tool Informationen zu den Freigaben, den lokalen Pfaden der Freigaben, dem Typ wie Disk oder Printer, den Berechtigungen für die Gruppe Jeder sowie den anderen definierten Berechtigungen. Damit sieht man beispielsweise schnell, wo die Gruppe Jeder über einen Vollzugriff verfügt, woraus sich Sicherheitsprobleme ergeben können.
Synchronisation von Dateisystemdaten
Ein weiteres, besonders für Entwickler, interessantes Tool ist sync.exe. Das Werkzeug lehnt sich an das entsprechende Dienstprogramm unter UNIX an. Es weist das Betriebssystem an, alle noch im Cache befindlichen Dateisystemdaten auf die Festplatte zu schreiben, damit sie bei einem Systemfehler nicht verloren gehen.
Gerade bei der Entwicklung von systemnahen Programmen wie Treibern kann es schnell vorkommen, dass das System komplett abstürzt. Ruft man beispielsweise
sync c:
vor einem Test auf, werden die Änderungen für das Laufwerk c: geschrieben und die Daten können nicht mehr verloren gehen.
Die hier vorgestellten Tools stellen nur einen kleinen Ausschnitt aus dem vielfältigen Portfolio der Sysinternals-Tools dar. Die Befürchtung, dass die Tools mit der Übernahme von Winternals durch Microsoft in der Versenkung verschwinden, hat sich glücklicherweise nicht bestätigt.
Auf der englischen Sysinternals-Seite wird auch (im Gegensatz zur übersetzten) deutlich, dass die Tools regelmäßig weiterentwickelt werden. Da die übersetzte Seite aber immer direkt auf den jeweils aktuellsten Download verweist, bekommen Sie auch hier die neueste Version des jeweiligen Tools, auch wenn die Beschreibung eine ältere Versionsnummer aufweist. (Kuppinger/mha)