Um Zugriffskontrollen ordnungsgemäß zu pflegen ist es wichtig, zu verstehen, wofür jedes Element einer Zugriffskontrollliste (ACL) steht, einschließlich der implizierten Identitäten, die in eine Windows-Umgebung integriert sind.
Es gibt eine Menge integrierter Konten mit seltsamen Namen und vagen Beschreibungen, sodass die Auswertung verwirrend werden kann. Eine Frage, die häufig gestellt wird, ist: „Was ist der Unterschied zwischen der Jeder- Gruppe und den authentifizierten Benutzern?“
Entdecken Sie Ihre Schwachstellen und stärken Sie Ihre Resilienz: Führen Sie einen kostenlosen Ransomware-Bereitschaftstest durch
Fazit
Authentifizierte Benutzer enthält alle Benutzer, die sich mit einem Benutzernamen und einem Kennwort angemeldet haben.
Jeder umfasst alle Benutzer, die sich mit einem Kennwort angemeldet haben, sowie integrierte, nicht-passwortgeschützte Konten, wie Gast und LOCAL_SERVICE.
Im Detail
Wenn diese Beschreibungen für Sie zu stark vereinfacht sind, finden Sie hier weitere Details.
Die Gruppe der authentifizierten Benutzer umfasst alle Benutzer, deren Identitäten beim Anmelden authentifiziert wurden. Das beinhaltet lokale Benutzerkonten sowie Domain-Benutzerkonten von vertrauten Domains.
Die Jeder-Gruppe umfasst alle Mitglieder der Gruppe der authentifizierten Benutzer sowie zusätzlich die integrierten Gast-Konten und andere integrierte Sicherheitskonten, wie SERVICE, LOCAL_SERVICE, NETWORK_SERVICE und anderes.
Ein Gast-Konto ist ein integriertes Konto auf einem Windows-System, das standardmäßig deaktiviert ist. Wenn es aktiviert wird, können sich alle Benutzer ohne Kennwort anmelden.
Im Gegensatz zur verbreiteten Meinung werden alle anonymen Benutzer – das heißt Benutzer, die nicht authentifiziert wurden – NICHT in die Jeder-Gruppe integriert. Das war einmal so, hat sich aber mit der Einführung von Windows 2003 und Windows XP (SP2) geändert.
Schlussfolgerung
Wenn es um Berechtigungen geht, gibt eine kritische Frage, die wir beantworten müssen: Wer, welche Menschen hat/haben Zugriff auf eine bestimmte Ressource?
Die meiste Zeit, wenn Sie Berechtigungen für eine bestimmte Ressource in Windows untersuchen, haben Sie es nicht mit Menschen zu tun (das ist tatsächlich ein bewährtes Verfahren), sondern mit Gruppen, von denen einige integrierte, implizierte Identitäten mit mehrdeutigen Namen sind. Als Folge müssen wir häufig deutlich tiefer graben, um zu finden, wonach wir suchen.
Mit Varonis DatAnywhere sind Sie immer nur einen Klick weit davon entfernt, zu sehen, welche Menschen Zugriff auf eine bestimmte Ressource haben. Wenn Ihr CEO also fragt: „Wer hat Zugriff auf das TradeSecret.doc?“ können Sie eine aussagekräftige und nutzbare Antwort geben und müssen nicht länger auf „Schnitzeljagd“ gehen.
Wie soll ich vorgehen?
Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:
Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.
Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.
Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.
