El control de la autentificación y de acceso es dos aspectos de la seguridad en los cuales los administradores y los usuarios deben participar igualmente para cualquier nivel de la eficacia para existir. Las políticas de la seguridad necesitan presentar las regulaciones y los requisitos claramente y deben ayudar a empleados a entender la seriedad de la conformidad. Las políticas de la autentificación establecen las mejores prácticas y las puestas en práctica exactas usadas para proporcionar el acceso a los sistemas de escritorio, a los servidores, y a los recursos locales de la red, y de sitios alejados. Hay los métodos bien conocidos para proporcionar la autentificación y varias pautas que crean un ambiente más altamente seguro. Las ediciones de la autentificación tratadas por la política de la seguridad son importantes para la mayoría de las otras áreas cubiertas dentro de la política. El control de acceso se relaciona con la autentificación y se utiliza a menudo simultáneamente porque la autentificación de una calidad de miembro de grupo de los instantiates del usuario y proporciona el acceso a los recursos.
No asombrosamente, la seguridad de la autentificación implica la puesta en práctica y el uso de varias formas de autentificación. Los medios comúnmente usados son las contraseñas, los números de identificación personales (pernos), las contraseñas single-use, el cifrado de la pu'blico-llave, las tarjetas de la proximidad, las tarjetas elegantes, el otro símbolo de la co'digo-generacio'n, y agentes biométricos. El método lo más comúnmente posible usado de la autentificación es la combinación de username/password. De la comparación a otros métodos de la autentificación, éste es también el hurto lo más fácilmente posible—comprometido de contraseñas viene en muchas diversas formas, a menudo debido a la opción del individuo de la contraseña. La gente tiende para gravitar hacia palabras o frases fácilmente recordadas al seleccionar contraseñas, tales como nombres de los miembros de la familia, animales domésticos, manías, u otros intereses. Desafortunadamente, los atacantes conjeturan a menudo fácilmente estas contraseñas. En la búsqueda para balancear facilidad de empleo con alta seguridad, los usuarios de la ayuda de las políticas de la seguridad de la autentificación crean contraseñas más fuertes que no pudieron ser discernidas tan fácilmente. Las políticas también proporcionan las pautas en las cuales los usuarios pueden aumentar la seguridad de su trabajo diario. La aplicación de estas pautas ocurre a menudo como característica del sistema operativo o de los programas que hacen la autentificación.
La política de la seguridad de la autentificación también distingue en medio donde y cómo se utilizan los métodos de la autentificación. Los requisitos de la seguridad para el acceso a los diversas sistemas, redes, o instalaciones asignan a menudo la necesidad por mandato de cada usuario de mantener varios métodos de la autentificación. Esto es especialmente verdad para los administradores de la computadora y de la red. Los usuarios no son el único grupo gobernado por políticas de la autentificación. Los administradores necesitan ser referidos aún más a seguridad de la autentificación porque tienen y controlan acceso a las cuentas, a los sistemas, y a los recursos altamente privilegiados. Hay varias pautas para la dirección y el uso de contraseñas, también. Estas pautas ayudan a mantener a usuarios continuamente el pensar en seguridad todo que lo hacen.
La política de la seguridad de la autentificación del z de la compañía para los usuarios y los administradores incluye estas pautas:
|
|
· En sistemas donde están el par las credenciales de username/password, las contraseñas deben resolver los criterios siguientes:
la contraseña de o debe ser por lo menos ocho caracteres.
o deben ser una combinación de letras, de números, y de caracteres extendidos o especiales.
o la compañía mantendrá una historia de las contraseñas del último cinco de un usuario para prevenir la repetición.
las contraseñas de o deben ser suficientemente diferentes de cualquier contraseña en la historia prevenir patrones de contraseñas fácilmente obtenidas.
las palabras comunes del diccionario de o no se permiten.
las contraseñas de o expirarán cada 12 semanas, requiriendo al usuario crear un nuevo.
las contraseñas de o deben ser elegidas cuidadosamente evitando los nombres de la familia o del animal doméstico, los intereses personales, o la otra información que puede ser ligada y ser identificada fácilmente.
· Los administradores deben seguir los criterios dispuestos para los usuarios, con la adición que expirarán sus contraseñas más con frecuencia, en seis semanas.
· Las contraseñas para las cuentas privilegiadas cambiarán cada cuatro semanas para proporcionar una seguridad más alta porque estas cuentas se comparten entre varios administradores.
· El acceso alejado será concedido usando las contraseñas single-use y co'digo-generando símbolo de la seguridad para prevenir el hurto de las credenciales del usuario.
· Todas las cuentas del usuario tendrán una contraseña. Cualquier cuenta del usuario sin una contraseña será lisiada o tendrá una contraseña al azar generada para ella.
· Las cuentas nuevamente creadas habrán generado aleatoriamente las contraseñas que expiran sobre la primera conexión, requiriendo al usuario fijar una nueva contraseña.
· Las contraseñas se deben nunca anotar o almacenar en un medio recuperable tal como papel, notas pegajosas, o blanco-tableros.
· Los usuarios deben nunca decir a cualquier persona sus contraseñas.
· Los administradores nunca pedirán a usuarios sus contraseñas. En caso que alguien pida la contraseña, divulgúela por favor inmediatamente ELLA y al grupo de la seguridad.
· Al automatizar las tareas que requieren la autentificación, evite de almacenar contraseñas claramente en ficheros de datos. Si es posible, cifre o hash la contraseña antes de almacenarla, para prevenir el hurto de las contraseñas.
· Al usar tarjetas elegantes, las tarjetas de la proximidad, o el otro hardware si'mbolo-baso' métodos de la autentificación, guarda el dispositivo en su persona siempre, y no dejan otros pedirlo prestado.
· Al usar los métodos del cifrado de la pu'blico-llave para la autentificación, la información dominante privada se debe proteger vía restricciones o almacenaje del acceso del archivo en los dispositivos externos tales como tarjetas elegantes.
· Al usar el cifrado, las llaves privadas y secretas pueden ser fideicomisadas por la administración proteger los datos contra pérdida y asegurarse de que el acceso es alcanzable cuando está requerido.
· Todas las autentificaciones, es acertado o las faltas, son registradas por el sistema que es alcanzado.
· Los sistemas se deben configurar para permitir tres tentativas falladas de la conexión antes de que ocurra el cierre de la cuenta.
· En el acontecimiento de la falta de la conexión y del cierre de la cuenta, las cuentas internas se deben configurar para permitir conexiones otra vez después de 30 minutos. El uso de cierres permanentes también es apoyado por muchos sistemas operativos. Éstos requieren a administrador intervenir y abrir de nuevo la cuenta. Un cierre permanente puede dar lugar a una negación de la condición del servicio si un atacante ataca cuentas múltiples.
· Las cuentas del acceso alejado deben ser lisiadas después de que tres fallaran tentativas de la conexión, requiriendo la intervención administrativa para la reutilización de la cuenta.
· Los administradores deben poner los avisos de la conexión en ejecucio'n que se exhiben antes de mensajes de conexión a la comunicación. Estos avisos deben advertir a usuarios desautorizados que sus acciones estén supervisadas y las tentativas de incorporar el sistema están prohibidas. Las ramificaciones legales pudieron resultar de uso continuado del personal desautorizado.
· En el acontecimiento de contraseñas y de dispositivos perdidos o robados de la autentificación, debe ser notificado inmediatamente para inhabilitar el acceso para esa cuenta y comenzar la creación de las credenciales nuevas del acceso.
· Los administradores deben confirmar la identidad de usuarios antes de publicar nuevas contraseñas. Esto se puede hacer en la persona con la presentación de una identificación de la divisa o de la foto, el uso de una contraseña especial de la recuperación, el número de identificación personal, el número de Seguridad Social, o el otro método que es sabido normalmente solamente por el usuario y el administrador.
Como usted puede ver, el uso de la autentificación es negocio serio. Los usuarios y los administradores necesitan ser hechos enterados de los efectos negativos del uso erróneo de la autentificación. Resumir, los componentes importantes de la autentificación son
· Usuarios y administradores de enseñanza para utilizar métodos de la autentificación con seguridad a través de la creación fuerte de la contraseña, así como para mantener contraseñas seguras.
· Autentificación que registra y que supervisa.
· Diversos métodos de la autentificación se deben definir y utilizar para que diversos usos proporcionen el nivel más alto de la seguridad, en vez de estandardizar en un solo método de la autentificación. Por ejemplo, el acceso alejado merece a menudo un mecanismo más fuerte de la autentificación que lo hace el acceso interno del servidor.
· La importancia de las políticas terminantes de la seguridad de la autentificación, tales como criterios de la expiración de la contraseña y de selección, hacer ataque y comprometer difícil.
El control de acceso es el componente relacionado siguiente a la autentificación. El control de acceso existe en el acceso de red—de varios niveles, el acceso del fichero de datos, y el acceso del recurso. El acceso de red es determinado por protocolos, los números de acceso, los sistemas de la fuente y de la destinación, y las redes. El control de acceso de red es mantenido muy probablemente por el cortafuego. El control de acceso del fichero de datos y del recurso de sistema se logra vía funcionalidad del sistema operativo, tal como permisos del archivo ligados a las calidades de miembro del usuario y de grupo. Una política de la seguridad del control de acceso presenta a usuario con un sistema de las mejores prácticas para utilizar esta funcionalidad. Considere La Política Del Control De Acceso Del Z De la Compañía:
· El control de acceso de red ocurre vía el cortafuego, que se configura para permitir el acceso del Internet para los empleados. Si un servicio requerido es bloqueado por el cortafuego, entre en contacto con el grupo de la administración ÉL o de la red para discutir soluciones posibles.
· Conceden los empleados el acceso a los recursos que computan de la compañía global vía su procedimiento de conexión de escritorio.
· Las partes del archivo común se inicializan automáticamente en el tiempo de la conexión. El usuario tiene derechas de agregar a las áreas comunes, pero de no quitar archivos o carpetas a menos que el usuario las creara.
· Las cuentas del usuario de UNIX se deben crear con calidad de miembro en los grupos de usuarios o el equivalente globales (dependiente del sistema operativo).
· Las cuentas del usuario de UNIX deben tener su propio grupo privado como la nave del miembro del grupo de defecto, que permite que fijen permisos con seguridad en sus archivos y directorios.
· Las cuentas de Windows deben ser miembros del grupo de usuarios del dominio.
· Los directorios caseros se deben crear para permitir el acceso solamente por el dueño del directorio.
· El ajuste del umask de UNIX permite que los usuarios especifiquen un nivel del permiso del defecto para los archivos nuevamente creados. Esto se debe fijar para crear los archivos que rechazan cada uno para modificarlos o para ejecutar. (el umask del defecto es generalmente 022, que crea archivos con leído y los permisos de escritura para el dueño y leyó los permisos para el grupo y el mundo.)
· Los ajustes de UNIX SetUID/GID deben ser evitados a menos que absolutamente sea necesario.
· Los permisos de los ajustes del recurso del usuario incluyendo login, profile, y rhosts se deben asegurar contra la modificación desautorizada.
· Los usuarios deben entrarla en contacto con departamento si existe alguna incertidumbre al fijar métodos de control de acceso.
· Si es desautorizado el acceso a los archivos, carpetas,or otros datos se sospecha, la notifica departamento para una investigación.
· Las exploraciones automáticas se ejecutarán sobre una base regular para buscar para ajustes inseguros del control de acceso en archivos, carpetas, y usos del usuario.
· Windows NT y 2000 sistemas operativos proporcionan el acceso todos (vía el especial "todos" grupo) por defecto. Este acceso del grupo se debe quitar y substituir por el grupo de usuarios del dominio, si se va el acceso a todos los empleados a ser concedido.
Nota
Windows NT y 2000 sistemas operativos apoyan un mecanismo levemente diverso del control de acceso que UNIX. El mecanismo de Windows hace que el estándar lea, escriba y ejecute permisos como UNIX, pero también tiene varias cualidades especiales tales como de total acceso y se modifica. El permiso de total acceso permite que el individuo modifique todos los permisos, incluyendo cambio los permisos para otros. Éste no es a menudo el efecto deseado, en los casos donde el usuario requiere leído solamente, escribe tan, y ejecuta el acceso, de total acceso no debe ser permitido. La cualidad de la modificación permite que un usuario realice cambios a un archivo ya en existencia, pero no cree archivos o carpetas nuevos.
Las políticas del control de acceso pueden presentar la información técnica útil a los usuarios y promover conocimiento de la seguridad. La observación de los detalles técnicos de los mecanismos del control de acceso para los sistemas operativos en uso es beneficiosa porque el usuario ocasional es a menudo inconsciente de su existencia o de su uso. La identificación de contactos y de procedimientos para las ediciones del control de acceso se utiliza para ayudar al usuario a aprender y a utilizar ajustes seguros
Online: 420 users browsing the articles directory
|
|