Erforschung der Zugriffskontrolle für Security + Certification - Dummies

Zugriffskontrolle ist die Fähigkeit, die Verwendung eines -Objekts (einer passiven Entität wie eines Systems oder einer Datei) durch ein zu erlauben oder zu verweigern. Subjekt (eine aktive Entität, z. B. eine Einzelperson oder ein Prozess).

Zugangskontrollsysteme bieten drei wesentliche Dienste:

• Identifikation und Authentifizierung (I & A): Diese bestimmen, wer sich an einem System anmelden kann.
• Autorisierung: Hiermit wird festgelegt, was ein autorisierter Benutzer tun darf.

• Verantwortlichkeit: Dies identifiziert, was ein Benutzer getan hat.

Identifikation und Authentifizierung (I & A)

Identifikation und Authentifizierung (I & A) ist ein zweistufiger Prozess, der bestimmt, wer sich an einem System anmelden kann.

• Identifikation ist die Art und Weise, wie ein Benutzer einem System mitteilt, wer er ist (z. B. durch Verwendung eines Benutzernamens).

• Die Identifizierungskomponente eines Zugriffskontrollsystems ist normalerweise ein relativ einfacher Mechanismus, der entweder auf dem Benutzernamen oder der Benutzer-ID basiert.

• Im Falle eines Systems oder Prozesses basiert die Identifikation normalerweise auf

• Computername

• MAC-Adresse (Media Access Control)

• IP-Adresse (Internet Protocol)

• Prozess-ID (PID)

• Die einzige Voraussetzung für die Identifizierung ist, dass die Identifikation

• den Benutzer eindeutig identifizieren muss.

• Sollte nicht die Position oder relative Bedeutung dieses Benutzers in einer Organisation identifizieren (z. B. Labels wie President oder CEO ).

• Vermeiden Sie die Verwendung gemeinsamer oder gemeinsam genutzter Benutzerkonten wie root , admin und sysadmin .

• Solche Konten stellen keine Rechenschaftspflicht dar und sind für Hacker ein heikles Ziel.

• Authentifizierung ist der Prozess des Verifizierens der behaupteten Identität eines Benutzers (zum Beispiel durch Vergleichen eines eingegebenen Passworts mit dem Passwort, das auf einem System für einen gegebenen Benutzernamen gespeichert ist).
Die Authentifizierung basiert auf mindestens einem dieser drei Faktoren:

• Etwas, das Sie kennen, wie ein Passwort oder eine persönliche Identifikationsnummer (PIN). Dies setzt voraus, dass nur der Inhaber des Kontos das Passwort oder die PIN kennt, die für den Zugriff auf das Konto erforderlich ist. Leider werden Passwörter häufig geteilt, gestohlen oder geraten.

• Etwas, das Sie haben, wie eine Smartcard oder ein Token. Das setzt voraus, dass nur der Besitzer des Kontos über die erforderliche Smartcard oder den Token verfügt, der zum Entsperren des Kontos erforderlich ist.

• Leider können Smartcards oder Tokens verloren gehen, gestohlen, ausgeliehen oder dupliziert werden.

• Etwas, das Sie sind, wie Fingerabdruck, Stimme, Netzhaut oder Irismerkmale.Dies setzt voraus, dass der an Ihrem Körper befestigte Finger oder Augapfel tatsächlich Ihnen gehört und Sie eindeutig identifiziert.

• Der größte Nachteil ist die Benutzerakzeptanz - viele Leute sind unbehaglich bei der Verwendung dieser Systeme.

Autorisierung

Autorisierung (oder Einrichtung ) definiert die Rechte und Berechtigungen eines Benutzers für ein System. Nachdem ein Benutzer (oder ein Prozess) authentifiziert wurde, bestimmt die Autorisierung, was dieser Benutzer auf dem System tun kann.

Die meisten modernen Betriebssysteme definieren Berechtigungssätze, die Variationen oder Erweiterungen von drei grundlegenden Zugriffsarten sind:

• Lesen (R): Der Benutzer kann

• Dateiinhalte lesen

• Verzeichnisverzeichnis Inhalt

• Schreiben (W): Der Benutzer kann den Inhalt einer Datei oder eines Verzeichnisses mit diesen Tasks ändern: • Hinzufügen

• Erstellen

• Löschen > • Umbenennen

Ausführen (X):

Wenn die Datei ein Programm ist, kann der Benutzer das Programm ausführen.

• Diese Rechte und Berechtigungen werden in Systemen, die auf der diskretionären Zugriffskontrolle (

DAC) und der obligatorischen Zugriffskontrolle (MAC) basieren, unterschiedlich implementiert. Verantwortlichkeit Die Verantwortlichkeit verwendet Systemkomponenten wie Prüfpfade (Datensätze) und Protokolle, um einen Benutzer mit seinen Aktionen zu verknüpfen. Prüfpfade und Protokolle sind wichtig für

Sicherheitsverstöße erkennen

Sicherheitsvorfälle neu erstellen

• Wenn niemand regelmäßig Ihre Protokolle überprüft und diese nicht sicher und konsistent verwaltet werden, sind sie möglicherweise nicht zulässig. Beweis.
• Viele Systeme können automatisierte Berichte basierend auf bestimmten vordefinierten Kriterien oder Schwellenwerten generieren, die als

Clipping-Level

bekannt sind. Beispielsweise kann eine Beschneidungsstufe festgelegt werden, um einen Bericht für Folgendes zu generieren: Mehr als drei fehlgeschlagene Anmeldeversuche in einem bestimmten Zeitraum Jeder Versuch, ein deaktiviertes Benutzerkonto zu verwenden

• Diese Berichte unterstützen einen Systemadministrator oder Sicherheitsadministratoren identifizieren mögliche Einbruchsversuche leichter.
• Zugriffssteuerungstechniken

Zugriffssteuerungstechniken werden im Allgemeinen entweder als

diskretionär

oder obligatorisch kategorisiert. Das Verständnis der Unterschiede zwischen diskretionärer Zugriffskontrolle (DAC) und obligatorischer Zugriffskontrolle (MAC) sowie spezifischen Zugriffskontrollmethoden unter jeder Kategorie ist entscheidend für das Bestehen der Security + -Prüfung. Ermessenszugriffskontrolle D

Ermessenszugriffskontrolle

(DAC) ist eine Zugriffsrichtlinie, die vom Eigentümer einer Datei (oder einer anderen Ressource) festgelegt wird. Der Besitzer entscheidet, wer Zugriff auf die Datei hat und welche Privilegien er hat. Zwei wichtige Konzepte in DAC sind Datei- und Dateneigentum:

Jedes Objekt in einem System muss einen Eigentümer haben. Die Zugriffsrichtlinie wird vom Eigentümer der Ressource (einschließlich Dateien, Verzeichnisse, Daten, Systemressourcen und Geräte) festgelegt. Theoretisch bleibt ein Objekt ohne Besitzer ungeschützt.

• Normalerweise ist der Eigentümer einer Ressource die Person, die die Ressource erstellt hat (z. B. eine Datei oder ein Verzeichnis). Zugriffsrechte und Berechtigungen:
Dies sind die Steuerelemente, die ein Eigentümer einzelnen Benutzern oder Gruppen für bestimmte Ressourcen zuweisen kann.
• Diskretionäre Zugriffskontrollen können mithilfe der folgenden Methoden angewendet werden: Zugriffssteuerungslisten

(ACLs) geben die spezifischen Rechte und Berechtigungen an, die einem Subjekt für ein bestimmtes Objekt zugewiesen sind. Zugriffskontrolllisten bieten eine flexible Methode zum Anwenden von diskretionären Zugriffskontrollen.

• Die rollenbasierte Zugriffssteuerung ordnet die Gruppenmitgliedschaft basierend auf organisatorischen oder funktionalen Rollen zu. Diese Strategie vereinfacht die Verwaltung von Zugriffsrechten und Berechtigungen erheblich:
• • Zugriffsrechte und Berechtigungen für Objekte werden einer Gruppe oder zusätzlich zu Personen zugewiesen. • Einzelpersonen können zu einer oder mehreren Gruppen gehören. Einzelpersonen können benannt werden, um

kumulative

Berechtigungen zu erwerben (jede Erlaubnis von jeder Gruppe, in der sie sich befinden) oder disqualifiziert von einer Erlaubnis, die nicht Teil von jeder Gruppe ist. sind. Obligatorische Zugangskontrolle Die obligatorische Zugangskontrolle (MAC) ist eine Zugangsrichtlinie, die vom System festgelegt wird, nicht der Eigentümer. MAC wird in

Multilevel-Systemen

verwendet, die hochsensible Daten verarbeiten, wie zum Beispiel klassifizierte staatliche und militärische Informationen. Ein Multilevel-System ist ein einzelnes Computersystem, das mehrere Klassifikationsebenen zwischen Subjekten und Objekten handhabt. Zwei wichtige Konzepte im MAC sind die folgenden: Sensitivitätskennzeichnungen:

In einem MAC-basierten System müssen allen Probanden und Objekten

• Bezeichnungen zugewiesen sein. Das Sensitivitätslabel eines Probanden gibt seinen Vertrauensgrad an. Die Empfindlichkeitsbeschriftung eines Objekts gibt die für den Zugriff erforderliche Vertrauensebene an. Um auf ein bestimmtes Objekt zugreifen zu können, muss das Motiv eine Empfindlichkeitsstufe aufweisen, die gleich oder höher als das angeforderte Objekt ist.
Datenimport und -export:Das Steuern des Imports von Informationen aus anderen Systemen und dem Export in andere Systeme (einschließlich Druckern) ist eine wichtige Funktion von MAC-basierten Systemen, die sicherstellen müssen, dass Sensitivitätsetiketten ordnungsgemäß gepflegt und implementiert werden. diese sensiblen Informationen sind jederzeit angemessen geschützt.
• Für die Anwendung der obligatorischen Zugriffskontrolle werden üblicherweise zwei Methoden verwendet: Regelbasierte Zugriffskontrollen:

Diese Art der Kontrolle definiert weiter spezielle Bedingungen für den Zugriff auf ein angefordertes Objekt.

• Alle MAC-basierten Systeme implementieren eine einfache Form der regelbasierten Zugriffskontrolle, um festzulegen, ob der Zugriff gewährt oder verweigert werden soll. • Die Empfindlichkeitsbeschriftung eines Objekts
• Die Empfindlichkeitsbeschriftung eines Objekts

Gitter- basierende Zugriffskontrollen:

Diese können für komplexe Zugriffskontrollentscheidungen mit mehreren Objekten und / oder Subjekten verwendet werden.

• Ein -Gittermodell
ist eine mathematische Struktur, die größte Untergrenze und kleinste Obergrenze für ein Elementepaar wie ein Subjekt definiert. und ein Objekt.