Unaufgelöste SIDs auf Fileservern, mehr als nur eine Unschönheit?
Sicherheits-Szenarien
Unaufgelöste SIDs auf dem Fileserver
Durch das Löschen von Benutzern und Gruppen können auf Fileservern unaufgelöste Security Identifier (SIDs) in den Verzeichnissen entstehen. Der Grund ist, man betrachtet nicht die Ressourcen, auf denen diese Benutzer oder Gruppen vorher berechtigt waren. Im folgenden Bild sind beispielhaft solche unaufgelösten SIDs zu sehen.
Ist das nun eine Unschönheit oder tatsächlich ein Risiko? Aus Sicht eines Sicherheitsbeauftragten ist das ein minimales Risiko und zugleich eine Unschönheit. Das Risiko besteht darin, dass man diese SID in sein Token über sogenanntes SID-Spoofing einschleusen kann. Hierbei kann man eine SID durch Monitoring-Tools ausfindig machen und diese dann zum Beispiel in die SID-History eines Benutzers kopieren. Auch wenn hierzu viel Wissen und viel kriminelle Energie notwendig sind, ist es durchaus möglich, sich Zugriff auf ein Verzeichnis mit unaufgelösten SIDs zu verschaffen. Und somit Daten anzuschauen oder zu kopieren. Besonders wird dieses Verfahren im Zusammenhang mit Trusted Domänen benutzt so, dass oft nicht nachvollzogen werden kann, wer nun wirklich auf die Daten zugegriffen hat.
Empfehlung für die Sicherheit:
Schalten Sie das SID-Filtering ein, um das Risiko von Trusted Domänen und SID-Spoofing zu minimieren. Analysieren Sie die Verzeichnisse, um unaufgelöste SIDs zu identifizieren. Löschen Sie regelmäßig diese SIDs.
Welche Wege gibt es im Access Rights Manager Reporte für die Unaufgelösten SIDs zu erstellen:
- ARM-Windows-Applikation
- ARM-Web Client im Analyse & Act-Modul