1 min read
Um Zugriffskontrollen ordnungsgemäß zu pflegen ist es wichtig, zu verstehen, wofür jedes Element einer Zugriffskontrollliste (ACL) steht, einschließlich der implizierten Identitäten, die in eine Windows-Umgebung integriert sind.
Es gibt eine Menge integrierter Konten mit seltsamen Namen und vagen Beschreibungen, sodass die Auswertung verwirrend werden kann. Eine Frage, die häufig gestellt wird, ist: „Was ist der Unterschied zwischen der Jeder- Gruppe und den authentifizierten Benutzern?“
Fazit
Authentifizierte Benutzer enthält alle Benutzer, die sich mit einem Benutzernamen und einem Kennwort angemeldet haben.
Jeder umfasst alle Benutzer, die sich mit einem Kennwort angemeldet haben, sowie integrierte, nicht-passwortgeschützte Konten, wie Gast und LOCAL_SERVICE.
Im Detail
Wenn diese Beschreibungen für Sie zu stark vereinfacht sind, finden Sie hier weitere Details.
Die Gruppe der authentifizierten Benutzer umfasst alle Benutzer, deren Identitäten beim Anmelden authentifiziert wurden. Das beinhaltet lokale Benutzerkonten sowie Domain-Benutzerkonten von vertrauten Domains.
Die Jeder-Gruppe umfasst alle Mitglieder der Gruppe der authentifizierten Benutzer sowie zusätzlich die integrierten Gast-Konten und andere integrierte Sicherheitskonten, wie SERVICE, LOCAL_SERVICE, NETWORK_SERVICE und anderes.
Ein Gast-Konto ist ein integriertes Konto auf einem Windows-System, das standardmäßig deaktiviert ist. Wenn es aktiviert wird, können sich alle Benutzer ohne Kennwort anmelden.
Im Gegensatz zur verbreiteten Meinung werden alle anonymen Benutzer – das heißt Benutzer, die nicht authentifiziert wurden – NICHT in die Jeder-Gruppe integriert. Das war einmal so, hat sich aber mit der Einführung von Windows 2003 und Windows XP (SP2) geändert.
Schlussfolgerung
Wenn es um Berechtigungen geht, gibt eine kritische Frage, die wir beantworten müssen: Wer, welche Menschen hat/haben Zugriff auf eine bestimmte Ressource?
Die meiste Zeit, wenn Sie Berechtigungen für eine bestimmte Ressource in Windows untersuchen, haben Sie es nicht mit Menschen zu tun (das ist tatsächlich ein bewährtes Verfahren), sondern mit Gruppen, von denen einige integrierte, implizierte Identitäten mit mehrdeutigen Namen sind. Als Folge müssen wir häufig deutlich tiefer graben, um zu finden, wonach wir suchen.
Mit Varonis DatAnywhere sind Sie immer nur einen Klick weit davon entfernt, zu sehen, welche Menschen Zugriff auf eine bestimmte Ressource haben. Wenn Ihr CEO also fragt: „Wer hat Zugriff auf das TradeSecret.doc?“ können Sie eine aussagekräftige und nutzbare Antwort geben und müssen nicht länger auf „Schnitzeljagd“ gehen.
Rob Sobers
Rob Sobers is a software engineer specializing in web security and is the co-author of the book Learn Ruby the Hard Way.