Unaufgelöste SIDs auf Fileservern, mehr als nur eine Unschönheit?

Durch das Löschen von Benutzern und Gruppen können auf Fileservern unaufgelöste Security Identifier (SIDs) in den Verzeichnissen entstehen. Der Grund ist, man betrachtet nicht die Ressourcen, auf denen diese Benutzer oder Gruppen vorher berechtigt waren. Im folgenden Bild sind beispielhaft solche unaufgelösten SIDs zu sehen.

Ist das nun eine Unschönheit oder tatsächlich ein Risiko? Aus Sicht eines Sicherheitsbeauftragten ist das ein minimales Risiko und zugleich eine Unschönheit. Das Risiko besteht darin, dass man diese SID in sein Token über sogenanntes SID-Spoofing einschleusen kann. Hierbei kann man eine SID durch Monitoring-Tools ausfindig machen und diese dann zum Beispiel in die SID-History eines Benutzers kopieren. Auch wenn hierzu viel Wissen und viel kriminelle Energie notwendig sind, ist es durchaus möglich, sich Zugriff auf ein Verzeichnis mit unaufgelösten SIDs zu verschaffen. Und somit Daten anzuschauen oder zu kopieren. Besonders wird dieses Verfahren im Zusammenhang mit Trusted Domänen benutzt so, dass oft nicht nachvollzogen werden kann, wer nun wirklich auf die Daten zugegriffen hat.

Schalten Sie das SID-Filtering ein, um das Risiko von Trusted Domänen und SID-Spoofing zu minimieren. Analysieren Sie die Verzeichnisse, um unaufgelöste SIDs zu identifizieren. Löschen Sie regelmäßig diese SIDs.

Welche Wege gibt es, solche Berichte für die unaufgelösten SIDs zu erstellen?

1. In der CARO-Suite gibt es derzeit den Analyse und Bereinigungsbaustein TEUS, mit dem Sie auf Fileservern unaufgelöste bzw. tote SIDs auffinden und als Massenoperation auch gleich automatisiert bereinigen können.
2. Über eine benutzerdefinierte SQL-Abfrage, die wir Ihnen gerne auf Anfrage zukommen lassen.
3. Die Abfrage muss dann noch auf Ihr Environment angepasst werden.

In der CARO-Suite finden Sie unaufgelösten SIDs mit dem Analyse-und Bereinigungsbaustein TEUS. Führen Sie diese Schritte aus, um schnell tote SIDS zu finden:

1. Konfigurieren Sie Ihren Scan, wo Sie tote SIDs finden und ggf. bereinigen möchten.
2. Starten Sie die Analyse.
3. Anzeige der Anzahl der toten SIDs im Analyse-Dashboard.
4. Anzeige der gefundenen toten SIDs für jedes Verzeichnis, Handlungsempfehlungen durch die CARO-Suite einsehen.
5. Auswählen der Verzeichnisse, die bereinigt werden sollen, Vorschau-Anzeige, was die CARO-Suite bereinigen soll.
6. Eingabe eines Kommentars zur compliance-konformen Dokumentation der Änderungen.
7. Anzeige der durchgeführten Änderungen, ein Report kann erstellt und per E-Mail versendet werden.