Unaufgelöste SIDs in lokalen Windows-Server-Gruppen, gibt es das wirklich?

Unaufgelöste SIDs können in vielen Technologien entstehen auf unterschiedlichen Orten (Ressourcen) entstehen. Ein spezieller Ort sind die Lokalen Gruppen eines Fileservers oder Applikation Servers. Diese entstehen immer auf die gleiche Art und Weise, die Benutzer oder Gruppen werden im Active Directory oder dem lokalen Server und dort wo diese Benutzer oder Gruppen benutzt werden, wird sie nicht automatisch bereinigt.

Im Folgenden ist eine lokale Gruppe mit unaufgelösten SIDs zu sehen.

Auch hier die Frage ist es eine Unschönheit oder ein Risiko. Es sind das gleiche Argument die schon bei „Unaufgelöste SIDs auf dem Fileserver“ zum Tragen kommen. Durch SID-Spoofing wäre es möglich sich ein Token zu erzeugen, welches dann die gewünschte Identität annimmt. Da es kein Monitoring/Auditing Tool für die Sicherheitslücken SID-Spoofing gibt, gibt es auch keine offiziellen Aussagen, wie oft diese Methode benutzt wird und ob sie jemals stattgefunden hat. Da sie aber technisch möglich ist, ist das Risiko zwar gering, da der Angreifer im Hause sitzen muss, Zugang zum System haben und sich Authentifizieren muss, damit er ein Token erzeugt, ist die Hürde Hoch und das Risiko des Angriffs relativ gering.

Schalten Sie SID-Filtering ein, um das Risiko von trusted Domänen und SID-Spoofing zu minimieren. Analysieren Sie die Lokalen Gruppen und löschen regelmäßig diese SIDs.

Welche Wege gibt es, solche Berichte für die unaufgelösten SIDs zu erstellen?

1. In der CARO-Suite gibt es derzeit den Analyse und Bereinigungsbaustein TEUS, mit dem Sie auf Fileservern unaufgelöste bzw. tote SIDs auffinden und als Massenoperation auch gleich automatisiert bereinigen können.
2. Über eine benutzerdefinierte SQL-Abfrage, die wir Ihnen gerne auf Anfrage zukommen lassen.
3. Die Abfrage muss dann noch auf Ihr Environment angepasst werden.