Toolkit „User Access Controls“

Das Robot-Toolkit „User Access Controls Testing Analysis“ ist eine Analytics-as-a-Service-Lösung zur Überwachung von Benutzerzugriffskontrollen. Es vergleicht Benutzerlisten über Active Directory, Personalverwaltungssystem und andere Anwendungen wie SAP, Oracle und Salesforce hinweg.

Das Toolkit wird als vorkonfigurierte Lösung geliefert, die für einen Großteil der Kunden geeignet ist. Nach der Bereitstellung können Sie das Toolkit für Analyse-Robots mit neuen Skripts aktualisieren, sobald wir diese veröffentlichen. Sie können es weiter anpassen, indem Sie benutzerdefinierte Skripte hinzufügen, um das Toolkit zu verbessern. Die importierten Daten können in Ergebnisse-App- oder Excel-Dateien ausgegeben werden.

Hinweis

Der Robot „User Access Controls Testing Analysis“ unterstützt Folgendes nicht:

  • Analytics Exchange (AX)
  • Robots-Cloud-Agent für Produktionszwecke
  • Benutzerdefinierte Analysen und Datenquellen
  • Berichterstellung mit einer anderen Ausgabe als in Excel/der Ergebnisse-App

System- und Abonnementanforderungen

Stellen Sie sicher, dass die folgenden System- und Abonnementanforderungen erfüllt sind, um das Robot-Toolkit „User Access Controls Testing Analysis“ zu verwenden.

Anforderung Hinweise
ACL Robotics Enterprise Edition Robot-Toolkits sind als Add-Ons verfügbar

Lokaler Robots-Agent Version 15

Zu installierende Version – Unicode oder Nicht-Unicode – überprüfen

ACL für Windows Version 15
  • Stellen Sie sicher, dass die Installation dieselbe Codierung wie der Robots-Agent hat (Unicode oder Nicht-Unicode).
  • Eine lokale Installation von ACL für Windows kann bei der Fehlersuche und der Entwicklung benutzerdefinierter Skripts helfen.
Data Integration Robot für die Quellanwendung Stellen Sie sicher, dass der Data Integration Robot für die Quellanwendung erfolgreich in Ihrer Organisation bereitgestellt wurde und im Moment ausgeführt wird.

Über das Toolkit

Das Toolkit installiert mehrere Komponenten in Diligent One.

Komponente Anzahl Name
Sammlung 2

User Access Controls Testing Analysis – Entwicklermodus

User Access Controls Testing Analysis – Produktionsmodus

Analyse

2

User Access Controls Testing Analysis (eine pro Sammlung)
Robot 1 User Access Controls Testing Analysis
Analysetabellen 10 Weitere Informationen finden Sie unter Analysen für Tests von Benutzerzugriffskontrollen.

Robot „User Access Controls Testing Analysis“

Der Robot „User Access Controls Testing Analysis“ wird automatisch erstellt, wenn das Toolkit installiert wird. Dieser Robot enthält Folgendes:

  • Analyseskripts – Beinhaltet die Kernskripts für das Importieren und die Verarbeitung von Daten.

    Hinweis

    Sie sollten die Analyseskripts nicht ändern. Eine Änderung der Skripts kann dazu führen, dass das Ausführen der Aufgaben fehlschlägt. Änderungen sollten in der Datei „User Analytic Configuration“ konfiguriert oder als benutzerdefinierte Analyseskripts hochgeladen werden.

  • (Optional) Benutzerdefinierte Analyseskripts – Manuell hochgeladene Skripts, die den Robot um neue kundenspezifische Analysefähigkeiten erweitern oder Änderungen an der Datenlogik vornehmen. Diese Skripts haben gegenüber den Standardanalyseskripts Vorrang und sollten gründlich geprüft werden.

  • Konfigurationsdateien – Alle in der folgenden Tabelle aufgelisteten Konfigurationsdateien sind in der Registerkarte Eingabe/Ausgabe des Robots verfügbar.

    Dateiname Beschreibung Modalwert
    UA_Default_
    Analytic_Configuration.xlsx

    Enthält Standardkonfigurationen

    Hinweis

    Sie sollten diese Datei nicht ändern. Eine Änderung der Datei kann dazu führen, dass das Ausführen der Aufgaben fehlschlägt. Änderungen sollten in der Datei „User Analytic Configuration“ konfiguriert oder als benutzerdefinierte Analyseskripts hochgeladen werden.

    Wird vom System automatisch generiert
    Result_Table_IDs.csv Enthält die Ziele der in die Ergebnisse-App exportierten Tabellen innerhalb der jeweiligen Entwickler- und Produktionssammlungen.

    Wird vom System automatisch generiert

    Datei „User Analytic Configuration“ (Analysekonfiguration des Benutzers)

    Beinhaltet benutzerdefinierte Konfigurationen, die Konfigurationen der Datei „Default Analytic Configuration“ überschreiben müssen.

    Die Konfigurationen in dieser Datei haben Vorrang vor Eingaben in der Datei „Default Analytic Configuration“.

    Hinweis: Wenn Anpassungen über die Möglichkeiten der Datei „User Analytic Configuration“ hinausgehen, kann ein benutzerdefiniertes Skript hinzugefügt werden.

    Manuell bei der Implementierung des Toolkits hochgeladen
  • Robot-Aufgabe – Führt die Standardskripts und benutzerdefinierten Skripts innerhalb des Robots aus und enthält die folgenden Informationen.

    Parameter Beschreibung
    Export to HighBond Results? (In HighBond-Ergebnisse-App exportieren?)

    Legt fest, ob importierte Daten in die Ergebnisse-App exportiert werden sollen. Folgende Optionen sind verfügbar:

    • Export to Results - Overwrite (In Ergebnisse-App exportieren – Überschreiben) – Daten in Ergebnistabellen bei jedem Exportieren überschreiben.
    • Export to Results - Append (In Ergebnisse-App exportieren – Anhängen) – Hängt Daten an die Ergebnistabellen an.
    • Do not export (Nicht exportieren) – Exportiert Daten nicht in die Ergebnisse-App.
    Export to Excel? (In Excel exportieren?)

    Gibt an, ob die aktuellen Ergebnisse in eine Excel-Datei exportiert werden sollen. Folgende Optionen sind verfügbar:

    • In Microsoft Excel exportieren.
    • Do not export (Nicht exportieren)
    HighBond-Zugriffstoken

    Token, der zur Verbindung mit der Ergebnisse-App benötigt wird. Wenn das Exportieren in die Ergebnisse-App deaktiviert ist, kann ein beliebiger Wert für diesen Parameter eingegeben werden.

Verknüpfte Tabellen

Die notwendigen freigegebenen Tabellen des Data Integration Robots sind in der Registerkarte Eingabe/Ausgabe mit dem Robot „User Access Controls Testing Analysis“ verknüpft. Sobald die Analyse-Robot-Aufgabe ausgeführt wird, ruft sie Daten aus den verknüpften Tabellen ab und verwendet sie, um die definierte Logik der Kernanalyse zu verarbeiten.

Hinweis

Sie können mehrere Analyse-Robots erstellen und nur die benötigten Tabellen verknüpfen, um die Robots für spezielle Aufgaben oder Aufgabenmengen zu trennen.

Analysen für Tests von Benutzerzugriffskontrollen

Die Analysen des Toolkits „User Access Controls Testing“ sind in der folgenden Tabelle aufgelistet.

Fehlerprotokollierung

Wenn beim Ausführen der Aufgabe Fehler erkannt werden, werden sie für jede Analyse in der Fehlerprotokolltabelle aufgezeichnet. Falls die Datensatzanzahl 0 beträgt, wird eine Fehlermeldung in die Fehlerprotokolltabelle geschrieben.

Tipp

Schauen Sie sich das Fehlerprotokoll nach der Aufgabenausführung selbst dann an, wenn die Analyse keine Ausnahmen zurückgab. So stellen Sie sicher, dass die Tabelle nicht 0 Datensätze aufwies. Benutzereingabeparameter aus der Datei „User Analytic Configuration“ können beispielsweise ignoriert werden, falls die Datei nicht ordnungsgemäß formatiert ist.

Was jede Analyse leistet

Analysename Beschreibung
UA01AD_No_
Expiry_Passwords

Die Analyse meldet Active Directory-Konten, deren Kennwörter so eingestellt sind, dass sie nicht ablaufen können. Solche Konten werden durch spezifische Werte im Feld UserAccountControl identifiziert. Die Ergebnisse enthalten sowohl aktivierte als auch deaktivierte Konten.

Die Standardwerte für das Feld „UserAccountControl“ werden als ein Parameter in der Datei „Default Analytic Configuration“ angegeben. Wenn Sie der Analyse weitere Berichtsfelder hinzufügen, können die Datenvorbereitungs- und Analyseskripts, welche das „Member“-Feld vortragen, insbesondere dann Datensatzlängenfehler verursachen, wenn sie mit Robots-Agenten verwendet werden.

v_no_expiry ist ein verfügbarer Standardparameter für diese Analyse im Arbeitsblatt Default_Config_Params der Datei „Default Analytic Configuration“. Wenn der Standardparameter nicht anwendbar oder unvollständig ist, können Sie die notwendigen Werte in der Datei „User Analytic Configuration“ festlegen. Stellen Sie sicher, dass Sie die Format- und Namenskonventionen in der Datei „Default Analytic Configuration“ befolgen. Sie können ein Format mit Leerzeichen als Trennzeichen ohne Anführungszeichen um Einzelwerte verwenden und die gesamte Zeichenfolge mit doppelten Anführungszeichen umschließen.

Die Ergebnistabelle dieser Analyse ist R_UA01AD_No_Expiry_Passwords.

UA02AD_Active_
Default_Accounts

Diese Analyse stimmt eine Liste mit benutzerdefinierten Standardkonten mit der Benutzertabelle in Active Directory ab und meldet Benutzer mit Standardkonten, die aktiv zu sein scheinen (aktiviert). Die zu analysierenden Standardkonten sind typischerweise vordefinierte Konten mit privilegiertem Zugriff.

Das Datum der letzten Festlegung des Kennworts und die Anzahl der Tage seit dem letzten Zurücksetzen des Kennworts werden in den Ergebnissen angezeigt. Nur aktivierte Konten werden in die Analyse aufgenommen (auf Basis des Werts im Feld „UserAccountControl“).

Account_List ist ein verfügbarer Standardparameter für diese Analyse im Arbeitsblatt PARAM_AD_Default_Accounts der Datei „Default Analytic Configuration“. Wenn der Standardparameter nicht anwendbar oder unvollständig ist, können Sie die notwendigen Werte in der Datei „User Analytic Configuration“ festlegen. Stellen Sie sicher, dass Sie die Format- und Namenskonventionen in der Datei „Default Analytic Configuration“ befolgen.

Hinweis

Aus dem Feld „RDN“ werden CN= oder sonstige Präfixe entfernt, um die Tabelle „Active Directory User“ und die Standardkonten zusammenzuführen. Daher müssen die Standardkontonamen der Parametertabelle ohne „CN=“ oder sonstige Präfixe angegeben werden. Geben Sie den Wert beispielsweise als Administrator und nicht als CN=Administrator ein.

Die Ergebnistabelle dieser Analyse ist R_UA02_AD_Active_Default_Accounts.

UA02UNIX_Active_
Default_Accounts

Diese Analyse stimmt eine Liste benutzerdefinierter Standardkonten mit dem Feld User_Name in der Datei /etc/Passwd ab und meldet Benutzer, deren Konten aktiv zu sein scheinen (aktiviert). Die zu analysierenden Standardkonten sind typischerweise vordefinierte Konten mit privilegiertem Zugriff.

Das Datum der letzten Festlegung des Kennworts und die Anzahl der Tage seit dem letzten Zurücksetzen werden in den Ergebnissen angezeigt. Nur aktive (aktivierte) Konten werden in den Ergebnissen ausgewiesen. Inaktive (deaktivierte) Konten, die durch die Analyse markiert wurden, werden nicht in die Ergebnisse aufgenommen.

Hinweis

Die Analyse benötigt die Datei /etc/shadow. Wenn diese Datei in Ihrer verwendeten UNIX-Version nicht existiert, müssen Sie unter Umständen ein benutzerdefiniertes Analyseskript hinzufügen, um den Status des aktivierten Kontos zu testen. Falls die Datei „etc/shadow“ existiert, ihre Kodierung für aktivierte bzw. gesperrte Kennwörter aber abweicht, ist möglicherweise ein benutzerdefiniertes Skript notwendig.

Account_List ist ein verfügbarer Standardparameter für diese Analyse im Arbeitsblatt PARAM_UNIX_Default_Accounts der Datei „Default Analytic Configuration“. Wenn der Standardparameter nicht anwendbar oder unvollständig ist, können Sie die notwendigen Werte in der Datei „User Analytic Configuration“ festlegen. Stellen Sie sicher, dass Sie die Format- und Namenskonventionen in der Datei „Default Analytic Configuration“ befolgen.

Die Ergebnistabelle dieser Analyse ist R_UA02UNIX_Active_Default_Accounts.

UA03ORCL_Oracle_
AD_Mismatch

Diese Analyse identifiziert Fälle, in denen aktive Oracle-ERP-Benutzerkonten keinen aktiven Active-Directory-Benutzerkonten zugeordnet werden können. Sie schließt Oracle-Benutzerkonten aus, bei denen die E-Mail-Adresse nobody@localhost ist.

Die Ergebnistabelle dieser Analyse ist R_UA03ORCL_Oracle_AD_Mismatch.

UA03SAP_SAP_AD_
Mismatch

Diese Analyse identifiziert Fälle, in denen aktive SAP-ERP-Benutzerkonten keinen aktiven Active-Directory-Benutzerkonten zugeordnet werden können. Der SAP ERP Data Integration Robot filtert die Quelltabelle USR02 nach Benutzertyp „A“ (Dialog) oder „C“ (Kommunikation).

Die Ergebnistabelle dieser Analyse ist R_UA03SAP_SAP_AD_Mismatch.

UA03SF_SF_AD_
Mismatch

Diese Analyse identifiziert Fälle, in denen aktive Salesforce-CRM-Benutzerkonten keinen aktiven Active-Directory-Benutzerkonten zugeordnet werden können. Aktive Salesforce-Benutzerkonten werden am Wert T im Feld IsActive erkannt.

Die Ergebnistabelle dieser Analyse ist R_UA03SF_SF_AD_Mismatch.

UA04AD_NonAdmin_
Berechtigung

Diese Analyse vergleicht die Mitglieder kritischer (im Zusammenhang mit Administrationsberechtigungen) Active-Directory-Gruppen mit einer Parametertabelle. Diese Parametertabelle wird durch einen Benutzer gepflegt und enthält die Benutzerkonten, die für einen solchen Zugriff berechtigt sind. Mitglieder dieser kritischen Gruppen, die nicht als autorisierte Administratoren in der Tabelle aufgelistet sind, werden in den Ergebnissen gemeldet.

Momentan werden verschachtelte Gruppen unterstützt und die Analyse untersucht nur das Feld Member in der Tabelle „Group“.

Es wird angenommen, dass Administratorkonten innerhalb der Parametertabelle PARAM_AD_Auth_Admin_Users für alle privilegierten Gruppen in PARAM_AD_Critical_Groups berechtigt sind. Der Test auf einen Zugriff zu einer bestimmten Gruppe wird im Moment durch diese Analyse nicht unterstützt.

Der Active-Directory-Importvorgang begrenzt die maximale Anzahl importierter Zeichen. Die Länge einiger Mitgliederlisten könnte diese Zeichengrenze überschreiten und daher abgeschnitten werden. Die Tabelle „Error_Log“ listet die Gruppen auf, die durch diese Begrenzung betroffen sind.

Zwei Standardparameter sind für diese Analyse in den Arbeitsblättern PARAM_AD_Critical_Groups und PARAM_AD_Auth_Admin_Users der Datei „Default Analytic Configuration“ verfügbar. Wenn die Standardparameter nicht anwendbar oder unvollständig sind, können Sie die notwendigen Werte in der Datei „User Analytic Configuration“ festlegen. Stellen Sie sicher, dass Sie die Format- und Namenskonventionen in der Datei „Default Analytic Configuration“ befolgen.

  • Group_List, NonAdmin_Privilege - Sie können den sAMAccountName aller anwendbaren privilegierten Gruppen hinzufügen, selbst wenn diese bereits in der Standardtabelle aufgelistet sind

  • RDN – Fügen Sie die RDN aller autorisierten Benutzerkonten von Administratoren hinzu.

Die Ergebnistabelle dieser Analyse ist R_UA04AD_NonAdmin_Privilege.

UA04UNIX_NonAdmin_
Berechtigung

Die Analyse vergleicht aktive UNIX-Benutzerkonten mit Zugriff auf kritische Sicherheitsgruppen und eine Parametertabelle. Diese Tabelle wird durch einen Benutzer gepflegt und enthält Benutzerkonten, die zu einem solchen Zugriff berechtigt sind. Mitglieder dieser kritischen Gruppen, die nicht als autorisierte Administratoren in der Tabelle aufgelistet sind, werden in den Ergebnissen gemeldet.

Hinweis

Die Parametertabelle kann fiktive Benutzerkonten enthalten, um bei einer Ausführung mit Beispieldaten Ausnahmen zu erzwingen. Es wird empfohlen, die Ergebnisse mit der Standardparametertabelle anzuschauen, um die Daten zu überprüfen.

Nur aktive (aktivierte) Konten werden in den Ergebnissen ausgewiesen. Inaktive (deaktivierte) Konten, die durch die Analyse markiert wurden, werden nicht in die Ergebnisse aufgenommen. Konten für die der Status nicht festgestellt werden kann, werden in den Ergebnissen als Undetermined aufgelistet.

Zwei Standardparameter sind für diese Analyse im Arbeitsblatt PARAM_UNIX_Auth_Admin_Users der Datei „Default Analytic Configuration“ verfügbar. Wenn die Standardparameter nicht anwendbar oder unvollständig sind, können Sie die notwendigen Werte in der Datei „User Analytic Configuration“ festlegen. Stellen Sie sicher, dass Sie die Format- und Namenskonventionen in der Datei „Default Analytic Configuration“ befolgen.

  • Source_System – Sie müssen dieses Feld nicht ausfüllen, falls nur ein einzelnes System analysiert wird.

  • Account_Group – Fügen Sie die RDN aller autorisierten Benutzerkonten von Administratoren hinzu.

Die Ergebnistabelle dieser Analyse ist R_UA04AD_NonAdmin_Privilege.

UA05AD_Multiple_
Accounts

Diese Analyse meldet Active-Directory-Benutzer mit mehreren aktiven Konten. Während Administratoren unter Umständen separate Konten für Administrationsarbeiten besitzen, sollten normale Benutzer nicht mehrere Konten haben. Sie können die Ausgabe dieser Analyse verwenden, um zu bestätigen, dass Benutzer nicht unbeabsichtigt mehrere aktive Konten haben. Dabei kann es sich um Testkonten für Systemimplementierungen, Standardsystemkonten oder von anderen Personen übernommene („vererbte“) Konten handeln.

Die Ergebnisse dieser Analyse können darüber hinaus verwendet werden, um zu überprüfen, dass Administratoren separate aktive Konten für ihr Administrations- und ihr Tagesgeschäft haben.

Die Ergebnistabelle dieser Analyse ist R_UA05AD_Multiple_Accounts.

UA06UNIX_Root_
Privileges

Die Analyse meldet Benutzer, die in einer UNIX-Umgebung root-Berichtigungen (Super User) haben. Sie besteht aus zwei Teilen, die in einer einzelnen Ergebnistabelle kombiniert werden:

  • UID-Test – Identifiziert alle Benutzernamen mit einer UID von 0.

  • GID-Test – Identifiziert alle Benutzernamen mit einer GID von 0.

Die Ergebnistabelle dieser Analyse ist R_UA06UNIX_Root_Privileges.