L'authentification et le contrôle d'accès sont deux aspects de sécurité dans lesquels les administrateurs et les utilisateurs doivent participer également pour n'importe quel niveau de l'efficacité pour exister. Les politiques de sécurité doivent présenter les règlements et les conditions clairement et devraient-elles aider des employés à comprendre le sérieux de la conformité. Les politiques d'authentification établissent les meilleures pratiques et les réalisations exactes employées pour fournir l'accès aux systèmes de bureau, aux serveurs, et aux ressources locales de réseau, et des emplacements à distance. Il y a des méthodes bien connues pour fournir l'authentification et plusieurs directives qui créent un environnement plus fortement bloqué. Les questions d'authentification abordées par la politique de sécurité sont importantes pour la plupart des autres domaines couverts dans la politique. Le contrôle d'accès est lié à l'authentification et est souvent employé simultanément parce que l'authentification d'une adhésion de groupe d'instantiates d'utilisateur et permet d'accéder aux ressources.
Pas étonnamment, la sécurité d'authentification comporte l'exécution et l'utilisation de diverses formes d'authentification. Les moyens généralement utilisés sont des mots de passe, des numéros d'identification personnelle (goupilles), des mots de passe à utiliser une seule fois, chiffrage de public-clef, des cartes de proximité, des cartes futées, toute autre marque de code-génération, et des agents biométriques. La méthode le plus généralement utilisée d'authentification est la combinaison d'username/password. Par rapport à d'autres méthodes d'authentification, c'est également le vol le plus facilement—compromis des mots de passe vient sous beaucoup de différentes formes, souvent dues au choix de l'individu du mot de passe. Les gens tendent à graviter vers des mots ou des expressions facilement rappelés en choisissant des mots de passe, tels que des noms des membres de famille, des animaux de compagnie, des passe-temps, ou d'autres intérêts. Malheureusement, les attaquants devinent souvent facilement ces mots de passe. À la recherche pour équilibrer la facilité d'utilisation avec la sécurité élevée, les utilisateurs d'aide de politiques de sécurité d'authentification créent des mots de passe plus forts qui ne pourraient pas être tellement facilement discernés. Les politiques fournissent également les directives par lesquelles les utilisateurs peuvent augmenter la sécurité de leur travail quotidien. L'application de ces directives se produit souvent comme dispositif du logiciel d'exploitation ou des programmes faisant l'authentification.
La politique de sécurité d'authentification différencie également entre où et comment des méthodes d'authentification sont employées. Les conditions de sécurité pour l'accès à différents systèmes, réseaux, ou équipements exigent souvent le besoin de chaque utilisateur de maintenir plusieurs méthodes d'authentification. Cela vaut particulièrement pour des administrateurs d'ordinateur et de réseau. Les utilisateurs ne sont pas le seul groupe régi par des politiques d'authentification. Des administrateurs doivent être bien plus concernés par la sécurité d'authentification parce qu'ils ont et commandent accès aux comptes, aux systèmes, et aux ressources fortement privilégiés. Il y a plusieurs directives pour la manipulation et l'usage des mots de passe, aussi. Ces directives aident à maintenir des utilisateurs penser continuellement à la sécurité dans tout ce qu'elles font.
La politique de sécurité de l'authentification du z de compagnie pour des utilisateurs et des administrateurs inclut ces directives :
|
|
· Sur des systèmes où les qualifications sont la paire d'username/password, les mots de passe devraient rencontrer les critères suivants :
le mot de passe de o devrait être au moins huit caractères.
o ils devraient être une combinaison des lettres, des nombres, et des caractères prolongés ou spéciaux.
o la compagnie maintiendra une histoire des mots de passe du bout cinq d'un utilisateur pour empêcher la répétition.
les mots de passe de o devraient être suffisamment différents de n'importe quel mot de passe dans l'histoire pour empêcher des modèles des mots de passe facilement obtenus.
on ne permet pas des mots communs de dictionnaire de o.
les mots de passe de o expireront toutes les 12 semaines, exigeant de l'utilisateur de créer un neuf.
des mots de passe de o devraient être choisis soigneusement en évitant des noms de famille ou d'animal de compagnie, des intérêts personnels, ou toute autre information qui peut être liée et facilement identifiée.
· Les administrateurs doivent respecter les critères déterminés pour des utilisateurs, avec l'addition que leurs mots de passe expireront plus fréquemment, à six semaines.
· Les mots de passe pour des comptes privilégiés changeront toutes les quatre semaines pour fournir une sûreté plus élevée parce que ces comptes sont partagés parmi plusieurs administrateurs.
· On accordera l'accès à distance en utilisant les mots de passe à utiliser une seule fois et code-produisant de la marque de sécurité pour empêcher le vol des qualifications d'utilisateur.
· Tous les comptes d'utilisateur auront un mot de passe. N'importe quel compte d'utilisateur sans mot de passe sera handicapé ou aura un mot de passe aléatoire produit pour lui.
· Les comptes nouvellement créés auront aléatoirement produit des mots de passe qui expirent sur la première ouverture, exigeant de l'utilisateur de placer un nouveau mot de passe.
· Des mots de passe devraient jamais ne être notés ou stockés sur un milieu récupérable tel que le papier, les notes collantes, ou les blanc-conseils.
· Les utilisateurs devraient ne jamais dire à n'importe qui leurs mots de passe.
· Les administrateurs ne demanderont jamais à des utilisateurs leurs mots de passe. Au cas où quelqu'un demanderait le mot de passe, rapportez-svp l'immédiatement LUI et au groupe de sécurité.
· En automatisant charge qui exigent l'authentification, évitez de stocker des mots de passe clairement dans des fichiers de données. Si possible, chiffrez ou hachez le mot de passe avant de le stocker, afin d'empêcher le vol des mots de passe.
· En utilisant les cartes futées, les cartes de proximité, ou l'autre matériel marque-a basé des méthodes d'authentification, gardent le dispositif sur votre personne à tout moment, et ne laissent pas d'autres l'emprunter.
· En utilisant des méthodes de chiffrage de public-clef pour l'authentification, l'information principale privée devrait être protégée par l'intermédiaire des restrictions ou du stockage d'accès de dossier sur les dispositifs externes tels que les cartes futées.
· En utilisant le chiffrage, les clefs privées et secrètes peuvent être escrowed par l'administration pour protéger les données contre la perte et pour s'assurer que l'accès est possible une fois requis.
· Toutes les authentifications, si réussi ou échecs, sont notés par le système étant consulté.
· Des systèmes devraient être configurés pour permettre trois tentatives échouées d'ouverture avant que le verrouillage de compte se produise.
· En cas de l'échec d'ouverture et du verrouillage de compte, des comptes internes devraient être configurés pour permettre des ouvertures encore après 30 minutes. L'utilisation des verrouillages permanents sont également soutenues par beaucoup de logiciels d'exploitation. Ceux-ci exigent d'un administrateur d'intervenir et de rouvrir le compte. Un verrouillage permanent peut avoir comme conséquence un démenti d'état de service si un attaquant attaque des comptes multiples.
· Les comptes d'accès à distance devraient être handicapés après que trois aient échoué des tentatives d'ouverture, exigeant l'intervention administrative pour la réutilisation du compte.
· Les administrateurs devraient mettre en application les notices d'ouverture qui sont montrées avant des messages de sollicitation d'ouverture. Ces notices devraient avertir les utilisateurs non autorisés que leurs actions sont surveillées et des tentatives d'écrire le système sont interdites. Les ramifications légales pourraient résulter de l'utilisation continue par le personnel non autorisé.
· En cas des mots de passe et des dispositifs perdus ou volés d'authentification, ELLE devrait être annoncée immédiatement afin de neutraliser l'accès pour ce compte et commencer la création de nouvelles qualifications d'accès.
· Les administrateurs devraient confirmer l'identité des utilisateurs avant de publier de nouveaux mots de passe. Ceci peut être fait dans la personne avec la présentation d'une identification d'insigne ou de photo, l'utilisation d'un mot de passe spécial de rétablissement, un numéro d'identification personnelle, le nombre de sécurité sociale, ou toute autre méthode qui est normalement connue seulement par l'utilisateur et l'administrateur.
Comme vous pouvez voir, l'utilisation de l'authentification est des affaires sérieuses. Des utilisateurs et les administrateurs doivent être mis au courant des effets négatifs de l'abus d'authentification. Pour récapituler, les composants importants de l'authentification sont
· Utilisateurs et administrateurs d'enseignement pour employer des méthodes d'authentification solidement par la création forte de mot de passe, aussi bien que pour maintenir des mots de passe bloqués.
· Authentification notant et surveillant.
· Différentes méthodes d'authentification devraient être définies et employées pour différentes applications pour fournir le niveau le plus élevé de la sécurité, au lieu de la normalisation sur une méthode simple d'authentification. Par exemple, l'accès à distance mérite souvent un mécanisme plus fort d'authentification que l'accès interne de serveur .
· L'importance des politiques strictes de sécurité d'authentification, telles que des critères d'expiration de mot de passe et de choix, pour faire l'attaque et compromettre difficile.
Le contrôle d'accès est le prochain composant relatif à l'authentification. Le contrôle d'accès existe à l'accès de réseau—de plusieurs niveaux, à l'accès de fichier de données, et à l'accès de ressource. L'accès de réseau est déterminé par des protocoles, des nombres gauches, des systèmes de source et de destination, et des réseaux. Le contrôle d'accès de réseau est très probablement maintenu par le mur à l'épreuve du feu. Le contrôle d'accès de fichier de données et de ressource de système est accompli par l'intermédiaire de la fonctionnalité de logiciel d'exploitation, telle que des permissions de dossier liées aux adhésions d'utilisateur et de groupe. Une politique de sécurité de contrôle d'accès présente l'utilisateur avec un ensemble des meilleures pratiques pour utiliser cette fonctionnalité. Considérez La Politique De Contrôle d'accès Du Z De Compagnie :
· Le contrôle d'accès de réseau se produit par l'intermédiaire du mur à l'épreuve du feu, qui est configuré pour permettre l'accès d'Internet pour des employés. Si un service exigé est bloqué par le mur à l'épreuve du feu, entrez en contact avec le groupe d'administration LUI ou de réseau pour discuter les solutions possibles.
· On accorde des employés l'accès aux ressources informatiques de compagnie globale par l'intermédiaire de leur procédé d'ouverture de bureau.
· Des parts de dossier commun sont automatiquement initialisées au temps d'ouverture. L'utilisateur a des droits de s'ajouter aux secteurs communs, mais de ne pas enlever des dossiers ou des chemises à moins que l'utilisateur les ait créés.
· Des comptes d'utilisateur d'UNIX devraient être créés avec l'adhésion dans les groupes d'utilisateurs ou l'équivalent globaux (personne à charge de logiciel d'exploitation).
· Les comptes d'utilisateur d'UNIX devraient avoir leur propre groupe privé comme bateau de membre de groupe de défaut, qui leur permet de placer des permissions sans risque sur leurs dossiers et annuaires.
· Les comptes de Windows devraient être des membres du groupe d'utilisateurs de domaine.
· Des répertoires locaux devraient être créés pour permettre l'accès seulement par le propriétaire de l'annuaire.
· L'arrangement d'umask d'UNIX permet à des utilisateurs d'indiquer un niveau de permission de défaut pour les dossiers nouvellement créés. Ceci devrait être placé pour créer les dossiers qui rejettent chacun autrement pour les modifier ou exécuter. (l'umask de défaut est généralement 022, qui crée des dossiers avec lu et écrit des permissions pour le propriétaire et a lu des permissions pour le groupe et le monde.)
· Les arrangements d'UNIX SetUID/GID devraient être évités à moins qu'absolument nécessaire.
· Les permissions des arrangements de ressource d'utilisateur comprenant le login, le profile, et les rhosts devraient être fixées contre la modification non autorisée.
· Les utilisateurs devraient entrer en contact avec ELLE département si n'importe quelle incertitude existe en plaçant des méthodes de contrôle d'accès.
· Si non autorisé l'accès aux dossiers, les chemises,or d'autres données est suspecté, l'informe département pour une recherche.
· Les balayages automatiques s'exécuteront de façon régulière pour rechercher les arrangements peu sûrs de contrôle d'accès sur des dossiers, des chemises, et des applications d'utilisateur.
· Windows NT et 2000 logiciels d'exploitation permet d'accéder à tout le monde (par l'intermédiaire du spécial "tout le monde" groupe) par défaut. Cet accès de groupe devrait être enlevé et remplacé avec le groupe d'utilisateurs de domaine, si l'accès à tous les employés doit être accordé.
Note
Windows NT et 2000 logiciels d'exploitation soutient un mécanisme légèrement différent de contrôle d'accès qu'unix. Le mécanisme de Windows fait exécuter la norme lire, écrire et des permissions comme UNIX, mais également a plusieurs attributs spéciaux tels que full-access et les modifie. La permission full-access permet à l'individu de modifier toutes les permissions, y compris le changement les permissions pour d'autres. Ce n'est souvent pas l'effet désiré, ainsi dans les cas où l'utilisateur exige seulement lu, écrit, et exécute l'accès, full-access ne devrait pas être permis. L'attribut de modification permet à un utilisateur de faire des changements à un dossier déjà en existence, mais de ne pas créer de nouveaux dossiers ou chemises.
Les politiques de contrôle d'accès peuvent présenter l'information technique utile aux utilisateurs et favoriser la conscience de sécurité. Noter les détails techniques des mécanismes de contrôle d'accès pour les logiciels d'exploitation en service est salutaire parce que l'utilisateur occasionnel est souvent ignorant de leur existence ou de leur utilisation. L'identification des contacts et des procédures pour des issues de contrôle d'accès est employée pour aider l'utilisateur à apprendre et utiliser les arrangements bloqués
Online: 406 users browsing the articles directory
|
|