Was ist CARO mit TEUS und warum sollten Sie es einsetzen?

TEUS steht für Tool zum Entfernen Unerwünschter SIDs und bereinigt Fileserver von verwaisten SIDs. Oft werden verwaiste SIDs auch als tote oder unaufgelöste SID bezeichnet. CARO ist unser Software-Framework und steht für CUSATUM Access Rights Optimizer.

Was erhalten Sie mit TEUS?

• Tool zum Entfernen unerwünschter SIDs.
• Ihre Fileserver sind bereinigt.
• Reporte werden kürzer und übersichtlicher.
• Revision, Auditoren und Datenverantwortliche stellen keine unangenehmen Fragen.
• TEUS arbeitet im Multidomänen-Umfeld, um alle verwaisten SIDs sicher zu erkennen.
• Es ist skalierbar und verteilbar und ist somit zukunftssicher und wächst mit Ihnen.
• Es können Ausnahmen konfiguriert werden, um Verzeichnisse wie z.B. User Home von der Bereinigung auszuschließen.

Es gibt bereits einige Lösungen auf dem Markt. Unter anderem können die verwaisten SIDs mit der PowerShell bereinigt werden. Allerdings hat die PowerShell Limitierungen im Bereich Performance, Speicherverbrauch, Skalierung und im Non-Trusted oder One-Way-Trusted Multidomänen-Umfeld. Wenn Sie also einen kleineren Fileserver mit weniger als 100.000 Verzeichnissen haben und weniger als 500.000 Dateien und sich im Single-Domain-Forest-Umfeld bewegen, dann ist PowerShell eine gute Wahl. Wir werden dafür zukünftig auch PowerShell-Skripte zur Verfügung stellen.

Was ist bei unserer Lösung anders?

Wir beschreiben Ihnen in einer kleinen Blog-Beitrags-Reihe mehrere Kundensituationen. Diese haben wir genau so vorgefunden und letztendlich haben sie uns dazu bewogen, TEUS als ein Baustein unserer CARO Suite zu entwickeln.

Kundensituation 1: Eine sehr große IT-Landschaft

Wenn Performance und Skalierbarkeit ein wichtiger Faktor sind, dann hilft das CARO-Framework hinter CARO TEUS, diese Anforderung perfekt zu erfüllen.

Bei einer weltweit agierenden Elektrofirma haben wir ca. 600 Fileserver mit mindestens 10, teilweise sogar 100 Shares vorgefunden. Die Anzahl der Verzeichnisse ging in die Millionen und die der Dateien war noch höher. Hier muss jede Woche ein Report für ca. 1200 Datenverantwortliche und mehr als 50 internen Security-Auditoren erstellt werden. Als wir damals mit Protected Networks das erste Mal mit unserem neuen Produkt dem 8MAN dort auftauchten, sind wir nach 3 Tagen ohne einen erfolgreichen Scan wieder nach Hause gefahren. Wir krempelten die Ärmel hoch und stellten alles auf den Kopf, um einen neuen Scanner zu bauen. Nach 3 Monaten sind wir bei der Firma wieder angetreten und konnten ihre wichtigsten 50 Fileserver in 4 Stunden scannen. Ein neues Hindernis stellten die Anzahl der ADs und auch Anzahl der Objekte in den ADs dar: es gab mehr als 2.500.000 Gruppen und 300.000 User-Objekte. Auch Microsoft biss sich mit ihrem AD-Profis dort regelmäßig die Zähne aus, z.B. wegen Replikationen. Aber was soll ich sagen: der Scan des ADs mit dem Produkt 8MAN war in 2 Stunden fertig!

Aber zurück zu den Datenverantwortlichen: diese bekommen nun wöchentlich einen Report: „Wer hat wo auf ihren Verantwortungsbereich Zugriff?“ Die Dateneigentümer sind dann diejenigen, die beim Administrator wegen unaufgelöster SIDS in den Reporten Tickets erzeugen. Denn unaufgelöste SIDs sehen nicht nur unschön aus, sondern sind auch ein Sicherheitsrisiko.

Wie hilft TEUS in einer großen IT-Landschaft mit vielen Datenverantwortlichen?

TEUS basiert auf dem CARO-Framework. Es ist eine Software-Architektur, welche skalierbar und verteilbar ist. Somit wächst TEUS auch mit Ihren Anforderungen. Verwaiste SIDs können auch an den entlegensten Orten sicher entfernt werden. Durch diese Bereinigung werden Reporte kleiner und verständlicher, da es wegen den unaufgelösten „Namen“ keine Nachfragen mehr gibt. Auch die Anzahl der Tickets zum Bereinigen der verwaisten SIDs werden reduziert. Als Administrator müssen sie sich auch keine Erinnerung mehr setzen, wenn ein Mitarbeiter die Firma verlässt, um später solche User Home Verzeichnisse zu bereinigen.

Fazit

• Die Reporte der Dateneigentümer sehen unschön aus.
• Verwaiste SIDs sind ein Sicherheitsrisiko und sollten immer aufgeräumt werden.
• Es entstehen Tickets zum Bereinigen von verwaisten SIDs.
• Keine Erinnerungen mehr notwendig zum nachträglichen Bereinigen der User Home Verzeichnisse.
• Mit einem PowerShell-Skript würden Sie mehrere Tage für das Aufräumen benötigen.

Kundensituation 2: Das größte deutsche Finanzinstitut

Wenn bei ihnen eine interne Revision oder ein IT-Audit vor der Tür steht,  unterstützt Sie CARO TEUS dabei, die unangenehmen Fragen des Auditors automatisiert im Vorfeld „verschwinden“ zu lassen.

Ein Kunde aus der Finanzbranche, bekommt regelmäßig Besuch von der BAFIN (Bundesanstalt für Finanzen) und prüft interne Abläufe und Zugriffsberechtigungen. Dieses Unternehmen hat unzählige ADs in einem Multi-Forest-Domänen-Umfeld. Mit speziellen Berechtigungen im AD für die Administration und Trennung zwischen den Bereitstellern und den Endanwendern in den einzelnen Niederlassungen. Auf dem AD wird noch ein IDM und noch mehrere andere Lösungen implementiert, die die AD-Gruppenmitgliedschaften verwalten. Was aber machen alle diese Systeme nicht? Sie scannen keine Berechtigung im AD. Da in vielen Finanzinstituten und großen Firmen alle mit Delegation arbeiten, und das über Domänen-Grenzen hinweg, passiert es schon einmal, dass sie auch hier schnell direkt Berechtigungen oder sogar Berechtigungen mit Gruppen vergeben. Da diese Accounts aber im Ursprungs-AD gelöscht werden, da die Kenntnis fehlt, dass dieser Account benutzt wird. Also entstehen auch in ADs solche toten SIDs. Hier ist es dann der externe Auditor, der den Finger in die Wunde legt. Keiner der AD-Betreuer hat hier Lust, Rechenschaft darüber abzulegen, warum dieses nicht bereinigt wurde.

Wie hilft TEUS in einer großen IT-Landschaft mit vielen Datenverantwortlichen?

Neben der Skalier- und Verteilbarkeit ist die Automatisierung ein weiterer wichtiger Faktor des CARO-Frameworks.  Mit Hilfe von Regelsystemen räumt CARO TEUS periodisch Ihre Verunreinigungen auf und unterstützt Sie dabei, dass es auch sauber bleibt. Sie können sich sicher sein, dass es bei den nächsten IT-Audits keine unangenehmen Fragen wegen verwaisten SIDs geben wird.

Fazit

• Auditoren und interne Revisoren stellen unangenehmen Fragen: wer das ist und warum das nicht bereinigt wurde?
• TEUS beseitigt diese Sicherheitsrisiken automatisiert, bevor es Fragen gibt.

Warum also TEUS?

Alle oben genannten Beispiele haben letztendlich eines gemeinsam: Zeit- und Ressourcenmangel sowie die Unwissenheit, wo die toten SIDs überall liegen. Ebenfalls haben alle gemeinsam, dass sie einen internen Revisionsvorfall, ein externes IT-Audit oder wollen die ISO 27001 / 27002 Zertifizierung bestehen wollten. Alle Kunden haben sich an uns gewandt, damit wir diese Unschönheiten und ihre Sicherheitsrisiken entfernen.

Wir haben uns viele Gedanken gemacht, wie wir nun permanent und vor allem automatisch Bereinigen können. Ohne gleich einen neuen Fileserver aufsetzen zu müssen. Vor allem, weil nach einiger Zeit wieder alles „historisch wächst“ und trotzdem verwaiste SIDs entstehen.

Die Lösung für Ihre Probleme ist das neue CARO-Framework mit TEUS zum effizienten und sicherem Bereinigen Ihrer Zugriffsrechte!