CARO-Suite Logo

CARO-Suite

Effiziente Analyse und Bereinigung von Zugriffsrechten

Übersicht der Analyse- und Bereinigungsbausteine

CARO-Suite

Effiziente Analyse und Bereinigung von Zugriffsrechten

Übersicht

Alle Analyse- und Bereinigungsbausteine

Wir haben für Sie einen Best-Practices-Leitfaden zusammen gestellt. Für jeden Analyse- und Bereinigungsbaustein gibt es einen Anwendungsfall. Wir empfehlen eine abgestimmte Reihenfolge für eine effiziente Bereinigung beim Einsatz der CARO-Suite.

Anwendung Baustein – Kurzname Ihre Mehrwerte Mehr Sicherheit Mehr Kontrolle Compliance-Konform

Mehr Sicherheit
Direkte ungewollte Berechtigungen entfernen
DUKE
  • Sicherheitsrisiken werden entfernt
  • Sicherheit wird erhöht
Tote SIDs entfernen
TEUS
  • Verständlichere Reporte
  • Mehr Sicherheit
  • Volle Kontrolle
Freigaben überprüfen
TEUS
  • Vererbte NTFS-Zugriffsrechte in den Freigaben
  • Offene Freigaben (Lese-Zugriffe)
  • Jeder-Vollzugriff Freigaben
  • Administrative Freigaben

Mehr Kontrolle für mehr Sicherheit
Besitzer korrigieren
BAKS
  • Mehr Kontrolle
  • Backups funktionieren
Aufgebrochene Vererbung wiederherstellen
  • Sauberkeit in der Vererbung sicherstellen
  • Schnelles Auffinden der Vererbungsunterbrechungen und Analyse
  • Erhöhung der Sicherheit
  • Vereinfachung der Administration
Mindest-Berechtigungen beseitigen
  • Schnelles Auffinden und Beseitigen von fehlerhaften Zugriffsrechten
  • Zeit sparen
Fehler in Listgruppen analysieren
  • Compliance-Überprüfung der Listgruppen nach Ihrem Berechtigungskonzept
  • Bessere Systemqualität
  • Kein mühsames Suchen nach Listgruppenfehlern
IST-Situation erfassen und Berechtigungen reporten
  • Einfache Reporte
  • Schneller Überblick

Compliance-Konformität für mehr Kontrolle und Sicherheit
Direkte Berechtigungen überprüfen
DARS
  • Saubere Zugriffsrechte
  • Sicherheitsrisiken werden entfernt
  • Compliance-konform nach Microsoft-Best-Practices
Ersteller-Besitzer entfernen
ERBE
  • Einfache Administration
  • Saubere Migration
  • gut vorbereitetes System
  • Compliance-konform nach Microsoft-Best-Practices
Redundante Berechtigungen beseitigen
  • Schnelles Auffinden und Beseitigen von redundanten Zugriffsrechten
  • ISO-Konformität sicherstellen
Account Risk- und Compliance Analysen
  • Qualität Ihrer Genehmigungsprozesse  wird erhöht
  • Compliance-konform nach BSI und ISO-Standards
Gruppenmitgliedschaften automatisiert zuweisen
GRAZ
  • Regelbasierte, automatisierte Zuordnung von Gruppenmitgliedschaften
  • Schneller Compliance-konform
Übersicht

Alle Analyse- und Bereinigungsbausteine

Wir haben für Sie einen Best-Practices-Leitfaden zusammen gestellt. Für jeden Analyse- und Bereinigungsbaustein gibt es einen Anwendungsfall. Wir empfehlen eine abgestimmte Reihenfolge für eine effiziente Bereinigung beim Einsatz der CARO-Suite.

Performant

Leistungsstarke Scans
und Analysen
Ihrer Verzeichnisse

Benutzerfreundlich

Benutzerfreundlich durch
einfache und
intuitive Bedienung

Zeitgesteuert planbar

Scans, Analysen und Änderungen
zeitgesteuert planen und ausführen,
auch wiederkehrend planbar

Anpassbare Reporte

Basierend auf Wordvorlagen
einfach an eigene
Corporate Identity anpassbar

Mehr Sicherheit



Direktzugriffsrechte ungewollter Konten entfernen

  • Identifiziert alle Zugriffsrechte der konfigurierten ungewollten Konten und entfernt diese
  • Reduziert Sicherheitsrisiken durch das Entfernen von unbekannten und unkontrollierbaren Zugriffsberechtigungen
Anwendungsfall

Administratoren bekommen durch die UAC einen Vollzugriff gewährt. Mit DUKE werden diese direkten Einträge entfernt und die Gruppenmitgliedschaft über die Administratoren Gruppe wird wieder hergestellt.



Tool zur Entfernung unbekannter SIDs

  • Entfernt tote SIDs und macht die Dokumentation Ihrer Berechtigungen wieder leichter lesbar und verständlich
  • Reduziert die Nachfragen Ihrer Revision und dokumentiert, dass Sie die volle Kontrolle haben
  • Bietet mehr Sicherheit, da weniger Angriffsfläche für SID History Injection
Anwendungsfall

Nach dem Löschen von Benutzern und Gruppen im Active Directory werden diese in den berechtigten Ressourcen-ACL‘s nicht automatisch mit entfernt. Zurück bleibt auf den Ressourcen die verwaiste oder tote SID. Diese Einträge machen notwendige Audit-Reporte schwer lesbar und werden auch als Sicherheitsproblem eingestuft.

Share Access Rights Analysis

Analyse von Freigabe-Zugriffsrechten

  • Prüfen auf vererbte NTFS-Zugriffsrechte
  • Suchen von offenen Shares für authentifizierte Konten
  • Suchen von Jeder-Vollzugriff Freigaben
  • Prüfen auf die Existenz von nicht-administrativen Freigaben
Anwendungsfälle
  1.  Die Vererbung von NTFS-Zugriffsrechten auf Freigaben sollte deaktiviert sein. Das Ändern vererbter NTFS-Berechtigungen aus der Ferne löscht alle Zugriffsrechte und macht die Freigabe unbrauchbar.
  2. Freigaben werden überprüft, ob authentifizierte Konten (AD und lokal) mindestens das Lese-Zugriffsrecht haben. Dann gelten diese Freigaben als offene Shares. Damit kann ein unkontrollierter Datenabfluss erfolgen.
  3. Das Jeder-Konto sollte maximal Ändern-Zugriffsrecht auf der Freigabe haben. Bei Vollzugriff besteht das Risiko, dass bei erweiterten  NTFS-Zugriffsrechten Anwender unbewusst Schaden anrichten können.
  4. Ihre Server werden auf die Existenz von nicht-administrativen Freigaben geprüft. Administrative Freigaben (C$, etc.) werden dabei ignoriert. Freigaben können unkontrollierten Zugriff auf kritische Informationen ermöglichen.

Mehr Kontrolle für mehr Sicherheit



Besitzer-Analyse und Korrektur-Software

  • Stellt zulässige Besitzer sicher, damit administrative Konten Ihre Berechtigung behalten, z.B. damit Backup-Tools funktionieren
  • Analysiert Sicherheitsrisiken durch das Entfernen von unerlaubten und unkontrollierbaren Zugriffs Berechtigungen
Anwendungsfall

Durch das Erstellen von Verzeichnissen und Dateien bekommen „normale“ Benutzer das Besitzrecht. Dadurch sind diese Benutzer in der Lage, die Berechtigung selbst zu verändern. Im schlimmsten Fall werden die Administratoren, Service Accounts und Benutzer ausgesperrt. Best-Practice ist es, diese Benutzer durch die lokalen Fileserver-Administratoren auszutauschen.



Vererbung-Analyse-und Sanierungs-Software

  • Identifiziert veränderte Berechtigungen in Ordner-Hierarchien
  • Angleichung der Berechtigungen durch Vererbung
  • Verschobene Verzeichnisse finden und korrigieren
Anwendungsfall

Das Aufbrechen der Vererbung unterhalb der zu administrierenden Verzeichnisebenen ist oft ungewollt und führt dazu, dass Benutzer dort nicht mehr zugreifen können. Best-Practice ist, dass nach der Administrationsebene alle Berechtigungen durchvererbt sind. CUSATUM empfiehlt maximal 4 Ebenen.



Mindestberechtigungen-Analyse und Restrukturierungs-Software

  • Prüft alle Dokumente und Ordner auf erforderliche Zugriffsrechte für Konten und berücksichtigt dabei sowohl direkte als auch indirekte Zugriffsrechte
  • Setzt fehlende Berechtigungen
Anwendungsfall

Sie wollen die Mindestberechtigung für einen Benutzer überprüfen, ob z.B. ein Benutzer oder ein Service Account überall mindestes Modify haben? Oft sind entweder keine Berechtigungen oder eine zu geringe Berechtigung vergeben.



Listgruppen Analyse-und Restrukturierungs-Software

  • Analyse der Berechtigungen in Ordner-Hierarchien
  • Verwalten von List-Berechtigungen in übergeordneten Ordnern
Anwendungsfall

Benutzer sollen zu den „Arbeitsverzeichnissen“ navigieren können. Best-Practice sieht dafür eine Listberechtigung vor, die über Active Directory-Gruppen gesteuert wird. Durch die tägliche Arbeit werden oft Verzeichnisse verschoben, neu erstellt, umbenannt oder gelöscht. Dabei müssten die Listberechtigungen mit korrigiert werden, damit die Benutzer weiterhin problemlos zu den Verzeichnissen gelangen. Weder die Administratoren noch auf dem Markt befindliche Software, z.B. SolarWinds-ARM, Tenfold oder IDM/IAM-Systeme korrigieren diese Probleme nachhaltig.



Erfassung der Berechtigungs-IST-Situation

  • Zeichnet die Berechtigungslage auf Fileservern und im Active Directory auf
  • Analysiert u.a. auf unterbrochenen Vererbungshierarchien, verschobene Verzeichnisse oder Null-DACL
  • Zeigt im Detail die geänderten Berechtigungen unterhalb an, wie hinzugekommene oder entfernte Zugriffsrechte
Anwendungsfall

Sie wollen regelmäßig Ihre Berechtigungen überprüfen oder Berechtigungsreporte erstellen, z.B. einen Wer-hat-Wo-Zugriffs-Report, Use-Case-Report oder einen Berechtigungs-Differenz-Report.

Compliance-Konformität für mehr Kontrolle und Sicherheit



Direktzugriff-Analyse und Restrukturierungs-Software

  • Identifiziert Direktberechtigungen von Benutzern
  • Korrigiert effizient diese Einträge
Anwendungsfall

Wilma Gucken ist Mitglied in der Gruppe Finanzabteilung und hat zusätzlich direkten Zugriff auf Geschäftsdaten. Nachdem Wilma nicht mehr in der Finanzabteilung ist, hat sie trotzdem noch Zugriff! DARS findet schnell alle Gruppen-und direkten Benutzerzugriffe und löscht diese überflüssigen Zugriffsrechte effektiv.

Einfach erklärt


Ersteller-Besitzer auf Dateisystemen entfernen

  • Entfernt den Ersteller-Besitzer und verhindert das Entstehen von neuen toten SIDs
  • Erlaubt damit eine saubere Migration, z.B. in die Cloud
Anwendungsfall

Standard-Einstellung von Microsoft beim Einbinden neuer Festplatten ist es, die Ersteller-Besitzer-Berechtigung mit Vollzugriff zu vergeben. Dadurch entstehen direkte Berechtigungen, die bei einem Löschen des Benutzers zu einer verwaisten SID führt. Zusätzlich kann der Benutzer die Administratoren, Service Accounts und Benutzer aussperren. Best Practice von CUSATUM ist, diesen Eintrag zu entfernen und mit einer
Gruppenberechtigung einzutragen.



Redundant Account Permision Analysis

  • Identifiziert redundante Berechtigungen
  • Überprüfen von Gruppenmitgliedschaften mit gleichzeitiger Direktberechtigung
Anwendungsfall

Wenn ein Benutzer eine direkte und eine gleichwertige oder höhere Gruppenberechtigung bekommen hat, ist die direkte Berechtigung redundant. In diesem Fall kann die direkte Berechtigung entfernt werden. Durch die Korrektur vermeidet man gleichzeitig das verwaiste-SID-Problem und kann den Leaver-Prozess einfacher und effektiver gestalten.



Account Risk-und Compliance-Assessment

  • Analysiert Konto-basierend auf Best Practice-Kriterien
  • Inaktive Benutzer-oder Computerkonten,
  • Deaktivierte Benutzerkonten
  • Konten mit nie ablaufenden Kennwörtern oder lange Zeit nicht geänderten Kennwörtern
  • Leere Gruppen
  • Gruppen ohne Beschreibung
Anwendungsfall

Das BSI und andere IT-Auditierungen, wie TISAX und BAFIN, überprüfen sicherheitskritische KPI‘s im Active Directory. Dadurch kann die Qualität der Mitarbeiterprozesse und die IT-Sicherheit überprüft und gewährleistet werden. Im ARCA-Modul sind die wichtigsten Analysen zusammengefasst. Diese können individuell angepasst werden.



Gruppenmitgliedschaften automatisiert zuweisen

  • Identifiziert ihre Berechtigungen über Gruppenmitgliedschaften
  • Definieren Sie Ihr Regelsystem für Gruppen für Ihre OU-basierten Standorte
  • Der GRAZ-Dienst erkennt fehlerhaft gesetzte Gruppenmitgliedschaften und sorgt für eine automatisierte Bereinigung
  • Sie sind schneller Compliance-konform
Mehrwerte
  • Tokensize unter Kontrolle (Optimierung)
  • User bekommen und haben die Zugriffsberechtigungen, die sie brauchen
  • Automatische Berechtigungsvergabe basierend auf intelligenten Regelauswertungen
Integration in die CARO-Suite

Dieser Baustein ist derzeit nur in der integrierten Lösung C-MAN enthalten und arbeitet auf Basis von PowerShell-Cmdlts. Wünschen Sie eine Vorführung dieser Funktion? Kontaktieren Sie dazu unsere Experten über info@cusatum.de

Unterbrechbar

Scans jederzeit unterbrechbar
und ohne Datenverlust wieder aufsetzend

Automatisiert

Bereinigen
voll automatisiert
nach Ihren Bewertungsregeln

Integrierbar

Umfangreiche Funktionen
zur Datenauswertung
über REST-API nutzbar

Klarheit

Sofort und einfach
Anomalien
in Berechtigungen erkennen

DOKUMENTE zum Download

Alle Informationen zur CARO-Suite

CARO-Suite Flyer

Kurz und knapp – was macht die CARO-Suite
Überblick der Funktionen

Best Practices

Optimaler Einsatz aller Analysen
für Berechtigungsfehler kurz erläutert
Best Practice-Guide mit Anwendungsfällen

Systemvoraussetzungen

Was benötigen Sie
für den Einsatz der CARO-Suite

CARO-Suite Flyer (ENG)

In a nutshell – what does the CARO Suite do?
Overview of functions

Best Practices and Clean-up Modules (ENG)

Optimal use of all analyses briefly explained
Best practice guide with use cases

Systemrequirements (ENG)

What do you need to use the CARO-Suite?

CARO-Suite – Ihre Assistenz für saubere Zugriffsrechte – ganz automatisch!

  • Risikobewertung im Analyse-Dashboard mit Expertenwissen

  • Benutzerkonfigurierbare Dashboards für den Bereinigungsfortschritt

  • Umfangreiche Handlungsempfehlungen zum Bereinigen

  • Detaillierte Analysen für Berechtigungsfehler

  • Übersichtliche Aufgabenplanung mit Kalenderansicht

  • Globale Ressourcen-Ansicht der Zugriffsrechte mit Gruppenmitgliedschaften

  • Accounts-View mit Gruppen-Übersicht, Suche und Anzeige von Auffälligkeiten

  • Hoch performante Scans und umfangreiche Analysen zur Änderung Ihrer problematischen Zugriffsrechte

  • Planbarkeit von Scans und Änderungen für einen beliebigen Zeitpunkt

  • Für Filesystem und Active Directory

  • Integration in andere Systeme über Rest-API

  • Automatisierung von Mitarbeiterprozessen mit dem Zusatzmodul C-MAN

  • Basis-Reporte im PDF-Format, durch Word-Office-Vorlagen einfach an eigene Corporate-Identity anpassbar

  • Revisionssichere Protokollierung aller durchgeführten Änderungen

  • Mehrsprachiger WebClient mit Multi-User-Support

  • Datenspeicherung in MS-SQL-Datenbank

  • Einfaches Lizenzmodell

Jetzt die CARO-Suite testen

CUSATUM CARO-Suite - Security Made in Germany