Profil	Tätigkeitsbereich und Bedarf
Server-Administrator / Sysadmin	Verantwortlich für Datei-Server, Backup-Quellen und DFS-R-Replikate. Braucht schnelle Antworten auf »Wie viele Files sind auf dem Volume?«, »Wie ist die MFT belegt?«, »Hat das USN-Journal die richtige Größe für DFS-R?«.
IT-Sicherheits-Beauftragter / ISB	Muss BSI-, NIS2- und DORA-relevante Aussagen über Dateisystem-Konfigurationen treffen können. Braucht reproduzierbare, audit-fähige Berichte mit klarem Compliance-Bezug, die in Reviews und Audits standhalten.
Managed Service Provider (MSP)	Betreut viele Kunden auf vielen Servern. Braucht Mandanten-fähige Berichte, Mandanten-Bezug in E-Mail und Historie, einen unbeaufsichtigten CLI-Modus für die Aufgabenplanung und Trend-Auswertungen für Quartalsberichte.
DACH-Fokus	Komplett deutschsprachige UI, Berichte und Compliance-Mappings. Schwellwert-Defaults orientiert an deutscher KMU- und Mittelstands-Server-Praxis. Dokumentation ohne Übersetzungs-Verlust.

Funktionsbereich	Merkmale
Scan-Engine	Direkter MFT-Walk über FSCTL_ENUM_USN_DATA, Standard-Schnellscan oder Deep-Scan mit Hardlink-Erkennung über FRN-Tracking.
NTFS-Geometrie	Cluster-Größe, Cluster-Belegung, MFT Valid Data Length, MFT-Zone-Reservierung, $MFT2-Position.
USN-Journal	Journal-ID, Maximum-Size, Allocation-Delta, First/Next/Lowest-Valid-USN.
NTFS-Sonderfeatures	Reparse-Points, Sparse-Files, EFS, NTFS-Compression, Offline-Files, System/Hidden, Hardlinks (Deep-Scan).
Reparse-Aufschlüsselung NEU	Zwölf Kategorien: Junctions, Symlinks, OneDrive, Azure-File-Sync, WSL, App-Exec-Links, Dedup, DFS, Compact-OS, Container, Legacy-HSM, Sonstige.
ADS-Erkennung NEU	Alternate Data Streams pro Datei via FindFirstStreamW, mit Whitelist und Verdächtig-Klassifizierung (Zone.Identifier vs. ausführbare Stream-Namen).
Top-N-Verzeichnisse NEU	Die 20 Verzeichnisse mit den meisten direkten Datei-Kindern (immer aktiv via ParentFRN-Tracking).
ACL-Audit	Volume-Root-DACL mit Schweregrad-Bewertung pro Eintrag.
Berichte	HTML mit Inline-CSS und Drucklayout, PDF mit ISW-Logo, E-Mail-Versand via SMTP.
Maschinen-Export NEU	JSON (vollständiges Scan-Ergebnis als eine Datei) und CSV (vier Dateien in Zeitstempel-Sub-Folder, Semikolon/UTF-8-BOM für DACH-Excel).
Mandanten	Konfigurierbarer Mandantenkopf in Berichten, im E-Mail-Betreff und in der Historie.
Trend-Historie	SQLite-basiert, konfigurierbare Aufbewahrungsdauer, Cross-Volume-Vergleich.
Optimierungen	Drei Eingriffsstufen (A/B/C) für 8.3-Namen, Last-Access, USN-Journal, MFT-Zone und Defragmentation.
VSS-Sicherung	Schattenkopie vor destruktiven Klasse-B-Operationen, mit Confirm-Fallback bei VSS-Fehler.
Audit-Log	Append-only-Protokoll aller Eingriffe mit eigenem Audit-Verlauf-Dialog.
Live-Monitor	USN-Journal-Polling mehrerer Volumes in Echtzeit mit Sparkline und Aggregations-Fenstern.
Compliance	BSI IT-Grundschutz (APP.3.3, OPS.1.1.4, DER.4) und NIS2 Art. 21 / DORA.
Automation	CLI-Modus mit Exit-Codes, Eignung für Windows-Aufgabenplanung.
Sicherheit	AES-256-GCM-verschlüsselte SMTP-Passwörter (keine DPAPI), maschinengebundener Schlüssel.

Lizenzierung

Gute Software muss nicht teuer sein.

Einmalig 129,00 € (inkl. 19% MwSt.)

• Standortlizenz
• Keine Folgekosten, keine Abonnements
• Kostenlose Updates innerhalb der Hauptversion

---

Typische Einsatzszenarien

Die folgenden Szenarien sind aus der Praxis dokumentiert und stellen die häufigsten Use-Cases dar, in denen ISW NTFS Inspector regelmäßig eingesetzt wird:

File-Server-Inventarisierung

Neuer Kunde, neuer Server, niemand weiß genau, was auf den Volumes liegt. Ein einziger Scan liefert in Minuten alle relevanten Eckdaten — Dateimenge, MFT-Größe, USN-Status, ungewöhnliche Sonderfeatures (etwa eine vergessene EFS-Verschlüsselung oder hunderttausende Reparse-Points durch verwaiste OneDrive-Synchronisierungen).

Backup-Sizing und AV-Skalierung

Vor der Auswahl einer Backup-Strategie oder eines Antivirus-Produkts ist die Dateimengen-Realität entscheidend. Ein Volume mit 80 Millionen Files braucht andere Backup-Tools als eines mit 5 Millionen. Der MFT-Scan liefert in Sekunden die belastbare Grundlage für die Entscheidung, und der Bericht enthält bereits Hinweise auf Schwellwert-Überschreitungen.

DFS-R-Vorbereitung

DFS-R hat dokumentierte Skalierungsgrenzen — 70 Millionen Files pro Member, 100 TB pro Replicated Folder, sinnvolles USN-Journal-Sizing bei aktivem Replikat von 4 GB+. Vor der Konfiguration einer Replikationsgruppe zeigt der Inspector, ob das Quell- und Ziel-Volume diese Grenzen einhalten und ob das USN-Journal entsprechend dimensioniert ist.

BSI-, NIS2- und DORA-Audits

Die eingebauten Compliance-Mappings übersetzen die technischen Scan-Ergebnisse direkt auf einzelne Bausteine des BSI-IT-Grundschutz-Kompendiums (APP.3.3 Dateiserver, OPS.1.1.4 Schadprogramm-Schutz, DER.4 Notfallmanagement) sowie auf Artikel 21 der NIS2-Richtlinie und Artikel 9 und 11 der DORA-Verordnung. Befunde sind als technische Anhaltspunkte für Reviews formuliert, nicht als Konformitätserklärung.

Patch-Day-Monitoring und Software-Rollout-Kontrolle

Während eines großen Patch-Tags oder Software-Rollouts kann der Live-Monitor (neu in v2.1) parallel mitlaufen und visualisiert auf einer Sparkline, wieviel Datei-Aktivität gerade stattfindet. Wenn die Aktivität deutlich höher ist als erwartet, ist das ein Frühwarn-Signal.

Forensik und Incident Response

Beim Verdacht auf Ransomware oder Schadcode-Aktivität zeigt der Live-Monitor in Echtzeit, wie hoch die aktuelle USN-Journal-Aktivität ist. Eine plötzliche, anhaltende Spitze über mehrere Minuten ist ein typisches Ransomware-Signatur-Muster. Das ACL-Audit auf der Volume-Wurzel hilft, gefährliche Berechtigungen (etwa Everyone oder ANONYMOUS LOGON) zu identifizieren, die ein Angreifer ausnutzen könnte.

Geplante Berichte für Quartals-Reviews

Über den CLI-Modus lässt sich das Tool unbeaufsichtigt in der Windows-Aufgabenplanung betreiben. Berichte werden automatisch erzeugt und per E-Mail an Helpdesk- oder Kunden-Adressen verschickt. Die Trend-Historie zeigt das Wachstum über Quartale hinweg im Vergleich.

Monitoring-Pipeline-Integration (v3.0)

Neu in v3.0: Der JSON-Export schreibt das vollständige Scan-Ergebnis als eine einzige Datei, die sich direkt in Monitoring-Pipelines einspeisen lässt — Telegraf, Logstash, Promtail, Vector oder eigene Python-/PowerShell-Skripte. Typischer Workflow: Scheduled Task scant nächtens, schreibt JSON in einen Watch-Folder, ein Pipeline-Agent holt die Datei ab und schickt die Daten nach InfluxDB, ElasticSearch oder Grafana Loki.

Excel-Reviews und Power-Query-Workflows (v3.0)

Ergänzend zum JSON-Export gibt es ab v3.0 den CSV-Export, der vier separate Dateien in einem Zeitstempel-Sub-Folder schreibt (Summary, Top-N, ADS-Findings, Reparse-Breakdown). Format ist DACH-Excel-freundlich (Semikolon-Delimiter, UTF-8 mit BOM, CRLF, RFC-4180-Quoting). Damit lassen sich Scan-Ergebnisse direkt mit Power-Query joinen oder in Pivot-Tabellen aufbereiten.

Deep-Scan-Modus

NTFS erlaubt mehrere Filename-Einträge auf dieselbe physikalische Datei — sogenannte Hardlinks. FSCTL_ENUM_USN_DATA liefert pro Filename einen Record. Eine Datei mit drei Hardlinks erzeugt also drei Records mit identischer FRN. Im Deep-Scan-Modus tracked das Tool die FileReferenceNumbers in einem HashSet und zählt jedes weitere Vorkommen einer bereits gesehenen FRN als Hardlink.

NTFS-Sonderfeatures

Während des MFT-Scans wertet das Tool pro Datei-Record das FileAttributes-Bitfeld aus und zählt sechs Sonderfeatures. Diese Zahlen geben Aufschluss über Speicher-Effizienz, Verschlüsselung, Cloud-Anbindung und besondere Wartungs-Anforderungen.

Feature	Bedeutung
Reparse-Points	Junctions, Symlinks, Mount-Points, OneDrive-Placeholder, Azure-File-Sync
Sparse-Files	Dünn besetzte Dateien — typisch für VHD/VHDX, große Log-Pre-Allokationen, Datenbank-Files
EFS-verschlüsselt	Mit Encrypting File System verschlüsselt — Recovery-Strategie muss dokumentiert sein
Komprimiert (NTFS)	NTFS-Kompression aktiv — spart Platz, kostet CPU beim Zugriff
Offline / Recall	Datei-Inhalt nicht lokal vorhanden — wird bei Zugriff aus der Cloud oder HSM nachgeladen
System / Hidden	Vom OS oder Treibern markierte Dateien — oft Systemkomponenten
Hardlinks (Deep-Scan)	Zusätzliche Filename-Einträge auf dieselbe Datei — nur im Deep-Scan-Modus erfasst

Trend-Historie aufzeichnen

Wenn die Historie in den Einstellungen aktiviert ist (Karte »Bericht-Standards«), schreibt das Tool nach jedem erfolgreichen Scan einen Datensatz in eine SQLite-Datenbank. Daraus lassen sich Wachstums-Trends ableiten und beliebige Scan-Paare miteinander vergleichen.

Vergleichsmodus zweier Scans

Mit Strg + Klick lassen sich zwei beliebige Historien-Einträge markieren. Die Schaltfläche »Vergleichen …« öffnet einen Dialog mit Delta-Werten in zwei Spalten (»Vorher« und »Jetzt«) plus einer Delta-Spalte mit Absolut-Differenz und Prozent-Wert. Wachstum wird rot, Rückgang grün dargestellt.

Verglichene Felder sind: Dateien, Verzeichnisse, Belegung in Bytes, MFT Valid Data Length, Reparse-Points, Sparse-Files, EFS-Dateien.

NTFS-Optimierungen

Über Rechtsklick auf ein Volume in der linken Liste öffnet sich das Kontextmenü mit »NTFS-Optimierungen …«. Der Dialog ist in drei Tabs nach Eingriffstiefe unterteilt — von sicher-und-direkt-umkehrbar bis hin zu echten Bestand-Änderungen.

Live-Monitor

Der Live-Monitor zeigt die NTFS-Änderungsaktivität auf einem oder mehreren Volumes in Echtzeit. Er pollt periodisch das USN-Journal jedes überwachten Volumes und visualisiert die Position der NextUsn zusammen mit Delta-Werten über verschiedene Zeitfenster.

Sinnvoll zum Erkennen ungewöhnlicher Schreib-Bursts (Ransomware, Backup-Sturm, Software-Rollout) oder zum Validieren, dass DFS-R-Replikation tatsächlich Datenfluss erzeugt.

---

NTFS Inspector – „MFT-Tiefe. Audit-Klarheit.”

Teil der ISW-Tools Suite von IT-Service Walter

© 2026 IT-Service Walter | Alle Rechte vorbehalten