Varonis DatAdvantage – Erfahrungen

DatAdvantage ist eine Software von Varonis (http://www.varonis.com/), mit der u.a. Berechtigungen überwacht werden können. DA arbeitet mit verschiedenen Fileservern, Exchange und SharePoint. Ich persönlich nutze es seit ungefähr zwei Jahren für die Überwachung von Windows Fileservern, also NTFS-Systemen.

Auf der Seite des Herstellers finden sich genügend Informationen zu Features. Hier will ich meine persönlichen Erfahrungen schildern und die Funktionen erwähnen, die ich am meisten nutze.

 

Wer hat Rechte auf einen Ordner?

OK, das ist auch mit Windows-Mitteln noch relativ einfach herauszubekommen. Man muss sich vielleicht durch mehrere Gruppen klicken, hat in der Management-Konsole einige Fenster offen, aber es IST möglich. Das Schöne bei DatAdvantage: ich bekomme die Gruppenverschachtelung sehr übersichtlich dargestellt und kann die Mitgliedschaften bis auf User-Ebene erweitern.

Wo Windows aber komplett scheitert, ist die Beantwortung der Frage

Worauf hat ein User Zugriff?

(Ja, liebe Novellis, früher war alles besser und dafür vermisse ich Netware auch ein bisschen.)

Ein Doppelklick auf einen Usernamen – und ich sehe farblich hervorgehoben die Ordner und jeweiligen Berechtigungen des Benutzers. In der sogenannten WorkArea kann ich mich so einfach “Durchklicken”, in der einen Fensterhälfte auf Ordner, in der anderen auf User, und bekomme damit sehr schnell einen Überblick. Will ich es “schriftlich”, erstelle ich mir einen Report mit den gewünschten Informationen – den ich in Excel weiter verarbeiten kann.

Wann wurde die Datei gelöscht?

Varonis DA sammelt relevante Daten über Datei-Aktionen in einer SQL-Datenbank. Damit lässt sich auswerten, wann wer beispielsweise eine Datei bearbeitet, umbenannt oder gelöscht hat. Man kann natürlich nicht sehen, WAS am Inhalt einer Datei geändert wurde – dies nur kurz eingeworfen, weil ich schon die Datenschützer “Überwachung! Überwachung!” rufen höre.

OK, ein Wort zum Datenschutz

Ich könnte auch mit Windows-Mitteln herausfinden, wer wann eine Datei gelöscht hat – allerdings mit erheblich mehr Aufwand. Dass die Aufzeichnung der Aktionen über einen längeren Zeitraum in Richtung Überwachung von Mitarbeitern gehen könnte, halte ich für übertrieben.

Dass Mitarbeiter unberechtigt Zugriff auf sensible Daten haben könnten, halte ich für viel gravierender! Jeder kennt den “Azubi-Effekt”, wonach Auszubildende und Praktikanten nachdem sie einige Abteilungen durchlaufen haben, mehr Berechtigungen im Netzwerk haben als ihre Chefs. Berechtigungen sind schnell vergeben, aber oft wird vergessen, sie wieder zurück zu nehmen.

Weitere oft genutzte Funktionen

Unterbrochene Vererbung

Berechtigungen nur bis zur soundsovielten Ebene, ab dann nur noch vererbt. Nun kommt es aber manchmal vor, dass Vererbungen durchbrochen werden, indem User Ordner verschieben. Kein Problem! Mit einer entsprechend gefilterten Ansicht sind die entsprechenden Ordner auf einen Blick identifiziert.

Automatische Reports

Dass DA von einer Liste der Gruppenmitgliedschaft (auch historisch, also wer waren die Gruppenmitglieder am 4. April 2013?) bis hin zu Zugriffsauswertungen eine Menge an Reports liefert, ist schon gut. Dass man diese Reports aber auch zeitgesteuert erstellen und per E-Mail versenden lassen kann, ist super! Unsere oben genannten Azubis? Kein Problem – ich lasse mir monatlich einen Report über deren Berechtigungen erstellen. Oder: ein Abteilungsleiter möchte regelmäßig einen Bericht darüber, wer Rechte auf seinen Abteilungsordner hat? Null problemo!

Wer es noch bequemer will: mit dem Produkt DataPrivilege von Varonis kann man Berechtigungen auch temporär vergeben. Aber mit DataPrivilege habe ich noch nicht gearbeitet, deshalb kann ich dazu nicht viel sagen.

Fazit

Das Programm hat natürlich auch ein paar Schwächen, z.B. gibt es noch keine deutsche Version, Überwachung von ACLs des Active Directory ist noch nicht möglich und die Farben könnten etwas kräftiger sein.

Ich nutze Varonis DA fast täglich – und mittlerweile öfter als Hyena oder vergleichbare Tools.

Wenn Sie Interesse haben, das Produkt mal kennenzulernen, schreiben Sie mich an! Es gibt auch die Möglichkeit, eine Testversion für einen begrenzten Zeitraum zu installieren.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s