Unaufgelöste SIDs in lokalen Windows-Server-Gruppen, gibt es das wirklich?

Sicherheits-Szenarien

Unaufgelöste SIDs in lokale Gruppen von Fileservern und Applikation Servern

Unaufgelöste SIDs können in vielen Technologien entstehen auf unterschiedlichen Orten (Ressourcen) entstehen. Ein spezieller Ort sind die Lokalen Gruppen eines Fileservers oder Applikation Servers. Diese entstehen immer auf die gleiche Art und Weise, die Benutzer oder Gruppen werden im Active Directory oder dem lokalen Server und dort wo diese Benutzer oder Gruppen benutzt werden, wird sie nicht automatisch bereinigt.

Im Folgenden ist eine lokale Gruppe mit unaufgelösten SIDs zu sehen.

Auch hier die Frage ist es eine Unschönheit oder ein Risiko. Es sind das gleiche Argument die schon bei „Unaufgelöste SIDs auf dem Fileserver“ zum Tragen kommen. Durch SID-Spoofing wäre es möglich sich ein Token zu erzeugen, welches dann die gewünschte Identität annimmt. Da es kein Monitoring/Auditing Tool für die Sicherheitslücken SID-Spoofing gibt, gibt es auch keine offiziellen Aussagen, wie oft diese Methode benutzt wird und ob sie jemals stattgefunden hat. Da sie aber technisch möglich ist, ist das Risiko zwar gering, da der Angreifer im Hause sitzen muss, Zugang zum System haben und sich Authentifizieren muss, damit er ein Token erzeugt, ist die Hürde Hoch und das Risiko des Angriffs relativ gering.

Empfehlung für die Sicherheit

Schalten Sie SID-Filtering ein um das Risiko von trusted Domänen und SID-Spoofing zu minimieren, analysieren sie die Lokalen Gruppe und löschen regelmäßig diese SIDs.

Welche Wege gibt es im Access Right Manager Reports für die Unaufgelösten SIDs zu erstellen:

  1. Im 8MAN/ARM keine.
  2. Benutzerdefinierte SQL-Abfrage, die wir Ihnen gerne auf Anfrage zukommen lassen. Die Abfrage muss dann noch auf Ihr Environment angepasst werden.