O controle do authentication e de acesso é dois aspectos da segurança em que os administradores e os usuários devem participar ingualmente para todo o nível da eficácia para existir. As políticas da segurança necessitam apresentar os regulamentos e as exigências claramente e devem ajudar a empregados compreender o seriousness da conformidade. As políticas do authentication estabelecem as mais melhores práticas e as execuções exatas usadas fornecer o acesso aos sistemas desktop, aos usuários, e aos recursos locais da rede, e dos locais remotos. Há os métodos well-known para fornecer o authentication e os diversos guidelines que críam um ambiente mais altamente seguro. As edições do authentication dirigidas pela política da segurança são importantes para a maioria outras de áreas cobertas dentro da política. O controle de acesso é relacionado ao authentication e usado frequentemente simultaneamente porque o authentication de uma sociedade de grupo dos instantiates do usuário e fornece o acesso aos recursos.
Não surprisingly, a segurança do authentication envolve a execução e o uso de vários formulários do authentication. Os meios geralmente usados são senhas, números de identificação pessoal (pinos), senhas single-use, encryption da público-chave, cartões da proximidade, cartões espertos, o outro símbolo da código-geração, e agentes biometric. O método o mais geralmente usado do authentication é a combinação de username/password. Na comparação com outros métodos do authentication, este é também o roubo o mais fàcilmente—comprometido das senhas vem em muitos formulários diferentes, frequentemente devido à escolha do indivíduo da senha. Os povos tendem a gravitate para palavras ou frases fàcilmente recordadas ao selecionar senhas, tais como nomes de membros da família, animais de estimação, passatempos, ou outros interesses. Infelizmente, os atacantes supõem frequentemente fàcilmente estas senhas. No quest para balançar a facilidade de utilização com segurança elevada, os usuários da ajuda das políticas da segurança do authentication críam umas senhas mais fortes que não possam assim fàcilmente ser discernidas. As políticas fornecem também os guidelines por que os usuários podem aumentar a segurança de seu trabalho diário. O enforcement destes guidelines ocorre frequentemente como uma característica do sistema operando-se ou dos programas que fazem o authentication.
A política da segurança do authentication diferencia-se também no meio onde e como os métodos do authentication são usados. As exigências da segurança para o acesso aos sistemas, às redes, ou às facilidades diferentes exigem frequentemente a necessidade para cada usuário manter diversos métodos do authentication. Isto é especial verdadeiro para administradores do computador e da rede. Os usuários não são o único grupo governado por políticas do authentication. Os administradores necessitam ser concernidos mesmo mais com a segurança do authentication porque têm e controlam o acesso aos clientes, aos sistemas, e aos recursos altamente privilegiados. Há diversos guidelines para a manipulação e o uso das senhas, também. Estes guidelines ajudam manter usuários continuamente pensar da segurança em tudo que .
A política da segurança do authentication do z da companhia para usuários e administradores inclui estes guidelines:
|
|
· Nos sistemas onde os credentials são o par de username/password, as senhas devem encontrar-se com os seguintes critérios:
a senha de o deve ser ao menos oito caráteres.
o devem ser uma combinação das letras, dos números, e de caráteres estendidos ou especiais.
o a companhia manterá um history de senhas do último cinco de um usuário para impedir a repetição.
as senhas de o devem ser suficientemente diferentes de toda a senha no history impedir testes padrões de senhas fàcilmente obtidas.
as palavras comuns do dicionário de o não são permitidas.
as senhas de o expirarão cada 12 semanas, requerendo o usuário criar um novo.
as senhas de o devem ser escolhidas com cuidado evitando nomes da família ou do animal de estimação, interesses pessoais, ou a outra informação que pode ser ligada e fàcilmente identificado.
· Os administradores devem abide pelos critérios determinados para usuários, com a adição que suas senhas expirarão mais freqüentemente, em seis semanas.
· As senhas para clientes privilegiados mudarão cada quatro semanas para fornecer uma segurança mais elevada porque estes clientes são compartilhados amongst diversos administradores.
· O acesso remoto será concedido usando as senhas single-use e código-gerando o símbolo da segurança para impedir o roubo de credentials do usuário.
· Todos os clientes do usuário terão uma senha. Todo o cliente do usuário sem uma senha será disabled ou terá uma senha aleatória gerada para ele.
· Os clientes recentemente criados terão gerado aleatòria as senhas que expiram em cima do primeiro início de uma sessão, requerendo o usuário ajustar uma senha nova.
· As senhas devem nunca ser escritas para baixo ou armazenado em um meio recoverable tal como o papel, notas pegajosas, ou branco-placas.
· Os usuários devem nunca dizer a qualquer um suas senhas.
· Os administradores nunca pedirão a usuários suas senhas. Caso alguém pedir a senha, relate-a por favor imediatamente a ELA e ao grupo da segurança.
· Ao automatizar as tarefas que requerem o authentication, evite de armazenar senhas claramente em arquivos de dados de. Se possível, cifre ou hash a senha antes de armazená-la, a fim impedir o roubo das senhas.
· Ao usar cartões espertos, os cartões da proximidade, ou a outra ferragem símbolo-baseou métodos do authentication, mantem o dispositivo em sua pessoa em todas as vezes, e não deixam outra pedi-lo.
· Ao usar métodos do encryption da público-chave para o authentication, a informação chave confidencial deve ser protegida através das limitações ou do armazenamento do acesso da lima em dispositivos externos tais como cartões espertos.
· Ao usar o encryption, as chaves confidenciais e secretas podem ser escrowed pela administração proteger os dados da perda e assegurar-se de que o acesso seja atingível quando requerido.
· Todos os authentications, se bem sucedido ou as falhas, são registrados pelo sistema que está sendo alcançado.
· Os sistemas devem ser configurarados para permitir três tentativas falhadas do início de uma sessão antes que o fechamento do cliente ocorra.
· No evento da falha do início de uma sessão e do fechamento do cliente, os clientes internos devem ser configurarados para permitir outra vez inícios de uma sessão após 30 minutos. O uso de fechamentos permanentes é suportado também por muitos sistemas operando-se. Estes requerem um administrador intervir e reabrir o cliente. Um fechamento permanente pode resultar em uma negação da condição do serviço se um atacante atacar clientes múltiplos.
· Os clientes do acesso remoto devem ser disabled depois que três falharam tentativas do início de uma sessão, requerendo a intervenção administrativa para reusar do cliente.
· Os administradores devem executar as observações do início de uma sessão que são indicadas antes dos alertas de início de uma sessão. Estas observações devem advertir usuários desautorizados que suas ações estão monitoradas e as tentativas de incorporar o sistema estão proibidas. Os ramifications legais puderam resultar do uso continuado por pessoal desautorizado.
· No evento de senhas e de dispositivos perdidos ou roubados do authentication, deve ser notificado imediatamente a fim incapacitar o acesso para esse cliente e começar a criação de credentials novos do acesso.
· Os administradores devem confirmar a identidade dos usuários antes de emitir senhas novas. Isto pode ser feito na pessoa com a apresentação de um emblema ou de uma foto ID, no uso de uma senha especial da recuperação, em um número de identificação pessoal, no número de segurança social, ou no outro método que é sabido normalmente somente pelo usuário e pelo administrador.
Como você pode ver, o uso do authentication é negócio sério. Os usuários e os administradores necessitam ser feitos cientes dos efeitos negativos do emprego errado do authentication. Para sumariar, os componentes importantes do authentication são
· Usuários e administradores ensinando para usar firmemente métodos do authentication através da criação forte da senha, as.well.as manter senhas seguras.
· Authentication que registra e que monitora.
· Os métodos diferentes do authentication devem ser definidos e usado para que as aplicações diferentes forneçam o nível o mais elevado da segurança, em vez de estandardizar em um único método do authentication. Para o exemplo, o acesso remoto merece frequentemente um mecanismo mais forte do authentication do que o acesso interno do usuário .
· A importância de políticas estritas da segurança do authentication, tais como critérios da expiração da senha e de seleção, para fazer o ataque e comprometer difícil.
O controle de acesso é o componente relacionado seguinte ao authentication. O controle de acesso existe no acesso de rede—de diversos níveis, no acesso do arquivo de dados de, e no acesso do recurso. O acesso de rede é determinado por protocolos, os números portuários, os sistemas da fonte e do destino, e as redes. O controle de acesso da rede é mantido muito provável pelo guarda-fogo. O controle de acesso do arquivo de dados de e do recurso de sistema é realizado através da funcionalidade do sistema operando-se, tal como as permissões da lima ligadas às sociedades do usuário e de grupo. Uma política da segurança do controle de acesso apresenta o usuário com um jogo das mais melhores práticas para utilizar esta funcionalidade. Considere A Política Do Controle De Acesso Do Z Da Companhia:
· O controle de acesso da rede ocorre através do guarda-fogo, que é configurarado para permitir o acesso do Internet para empregados. Se um serviço requerido for obstruído pelo guarda-fogo, contate o grupo da administração ELE ou da rede para discutir soluções possíveis.
· Os empregados são concedidos o acesso aos recursos computando da companhia global através de seu procedimento de início de uma sessão desktop.
· As partes da lima comum são inicializadas automaticamente no tempo do início de uma sessão. O usuário tem direitas adicionar às áreas comuns, mas não remover as limas ou os dobradores a menos que o usuário os criar.
· Os clientes do usuário de UNIX devem ser criados com a sociedade nos grupos de usuários ou no equivalente global (dependente do sistema se operando).
· Os clientes do usuário de UNIX devem ter seu próprio grupo confidencial como o navio do membro do grupo de defeito, que permite que ajustem permissões com segurança em seus limas e diretórios.
· Os clientes de Windows devem ser membros do grupo de usuários do domínio.
· Os diretórios home devem ser criados para permitir o acesso somente pelo proprietário do diretório.
· O ajuste do umask de UNIX permite que os usuários especifiquem um nível da permissão do defeito para limas recentemente criadas. Isto deve ser ajustado para criar as limas que disallow todos mais para as modificar ou executar. (o umask do defeito é geralmente 022, que cría limas com lido e escreve permissões para o proprietário e lê permissões para o grupo e o mundo.)
· Os ajustes de UNIX SetUID/GID devem ser evitados a menos que absolutamente necessário.
· As permissões de ajustes do recurso do usuário including o login, o profile, e os rhosts devem ser fixadas de encontro a modificação desautorizada.
· Os usuários devem contatá-la departamento se alguma incerteza existir ao ajustar métodos de controle do acesso.
· Se desautorizado o acesso às limas, dobradores,or outros dados é suspeitado, notifica-a departamento para uma investigação.
· As varreduras automáticas executarão em uma base regular para procurarar por ajustes inseguros do controle de acesso em limas, em dobradores, e em aplicações do usuário.
· Windows NT e 2000 sistemas operando-se fornecem o acesso a todos (através do especial "todos" grupo) pelo defeito. Este acesso do grupo deve ser removido e substituído com o grupo de usuários do domínio, se o acesso a todos os empregados dever ser concedido.
Nota
Windows NT e 2000 sistemas operando-se suportam um mecanismo ligeiramente diferente do controle de acesso do que UNIX. O mecanismo de Windows manda o padrão ler, escrever e executar permissões como UNIX, mas também tem diversos atributos especiais tais como full-access e modifica-os. A permissão full-access permite que o indivíduo modifique todas as permissões, including a mudança as permissões para outras. Este não é frequentemente o efeito desejado, assim nos casos onde o usuário requer lido somente, escreve, e executa o acesso, full-access não deve ser permitido. O atributo modificar permite que um usuário faça mudanças a uma lima já na existência, mas não críe limas ou dobradores novos.
As políticas do controle de acesso podem apresentar a informação técnica útil aos usuários e promover a consciência da segurança. Anotar os detalhes técnicos de mecanismos do controle de acesso para os sistemas operando-se no uso é benéfica porque o usuário ocasional é frequentemente inconsciente de sua existência ou de seu uso. A identificação dos contatos e dos procedimentos para edições do controle de acesso é usada ajudar ao usuário aprender e utilizar ajustes seguros
Online: 417 users browsing the articles directory
|
|