Authentisierung und Zugriffssteuerung

Share

|

Authentisierung und Zugriffssteuerung sind zwei Aspekte der Sicherheit, an denen Verwalter und Benutzer für jedes mögliches Niveau der Wirksamkeit gleichmäßig teilnehmen müssen, um zu bestehen. Sicherheit politische Richtlinien müssen die Regelungen darstellen und Anforderungen offenbar und sollten Angestellten helfen, die Ernsthaftigkeit der Befolgung zu verstehen. Authentisierung politische Richtlinien stellen die beste Praxis und die genauen Implementierungen her, die verwendet werden, um Zugang zu den desktop Systemen, zu den Bedienern und zu den lokalen Netzbetriebsmitteln und von den Remoteaufstellungsorten zur Verfügung zu stellen. Es gibt die weithin bekannten Methoden, zum von von Authentisierung und von von einigen Richtlinien bereitzustellen, die ein in hohem Grade sicheres Klima verursachen. Die Authentisierung Punkte, die durch die Sicherheit Politik angesprochen werden, sind zu den meisten anderen Bereichen wichtig, die innerhalb der Politik umfaßt werden. Zugriffssteuerung hängt mit Authentisierung zusammen und wird häufig gleichzeitig weil die Authentisierung einer Benutzer instantiates Gruppe Mitgliedschaft verwendet und Zugang zu den Betriebsmitteln liefert.

Nicht überraschend, bezieht Authentisierung Sicherheit die Implementierung und den Gebrauch von verschiedenen Formen der Authentisierung mit ein. Allgemein verwendete Mittel sind Kennwörter, persönliche Identifikationsnummern (Stifte), Einwegkennwörter, Öffentlichkeit-Schlüssel Verschlüsselung, Nähekarten, intelligente Karten, anderes Code-Erzeugung Zeichen und biometrische Mittel. Die am allgemeinsten verwendete Authentisierung Methode ist die username/password Kombination. Im Vergleich zu anderen Authentisierung Methoden ist dieses auch der leicht verglichene—Diebstahl von Kennwörtern kommt in viele unterschiedliche Formen, häufig wegen der Wahl der Einzelperson des Kennwortes. Leute neigen, in Richtung in Richtung leicht erinnerten Wörtern oder zu Phrasen zu gravitieren, wenn sie Kennwörter, wie Namen der Familie Mitglieder, Haustiere, Liebhabereien oder andere Interessen vorwählen. Leider schätzen Angreifer häufig leicht diese Kennwörter. In der Suche, zum von von Benutzerfreundlichkeit mit hoher Sicherheit auszugleichen, verursachen Authentisierung Sicherheit Richtlinie-Hilfe Benutzer stärkere Kennwörter, die nicht so leicht erkannt werden konnten. Die politischen Richtlinien liefern auch Richtlinien, durch die Benutzer die Sicherheit ihrer täglichen Arbeit erhöhen können. Die Durchführung dieser Richtlinien tritt häufig als Eigenschaft des Betriebssystems oder der Programme auf, welche die Authentisierung tun.

Authentisierung Sicherheit Politik unterscheidet auch zwischen wo und wie Authentisierung Methoden verwendet werden. Sicherheit Anforderungen für Zugang zu den unterschiedlichen Systemen, zu den Netzen oder zum Service unterstellen häufig Notwendigkeit an jedem Benutzer, einige Authentisierung Methoden beizubehalten. Dies gilt für Computer- und Netzverwalter besonders. Benutzer sind nicht die einzige Gruppe, die durch Authentisierung politische Richtlinien geregelt wird. Verwalter müssen mit Authentisierung Sicherheit sogar mehr betroffen werden, weil sie Zugang zu in hohem Grade privilegierten Konten, zu Systemen und zu Betriebsmitteln haben und steuern. Es gibt einige Richtlinien für die Behandlung und den Gebrauch von Kennwörtern, auch. Diese Richtlinien helfen, Benutzer an, Sicherheit fortwährend zu denken in alles zu halten, das sie.

Politik Sicherheit Authentisierung Firma-z für Benutzer und Verwalter schließt diese Richtlinien mit ein:

· Auf Systemen, in denen Bescheinigungen das username/password Paar sind, sollten Kennwörter die folgenden Kriterien treffen:

O Kennwort sollte mindestens acht Buchstaben sein.

O sollten sie eine Kombination der Buchstaben, der Zahlen und der verlängerten oder Sonderzeichen sein.

O die Firma behält eine Geschichte der Kennwörter des Letzten fünf eines Benutzers bei, um Wiederholung zu verhindern.

O Kennwörter sollten zu jedem möglichem Kennwort in der Geschichte genug unterschiedlich sein, Muster der leicht erhaltenen Kennwörter zu verhindern.

O werden allgemeine Wörterbuchwörter nicht erlaubt.

O Kennwörter laufen alle 12 Wochen ab und erfordern den Benutzer, ein Neues zu verursachen.

O Kennwörter sollten sorgfältig gewählt werden, indem man Familie oder Haustiernamen, persönliche Interessen oder andere Informationen vermeidet, die verbunden werden und leicht gekennzeichnet werden können.

· Verwalter müssen durch die Kriterien bleiben, die für Benutzer, mit der Hinzufügung festgelegt werden, daß ihre Kennwörter häufiger ablaufen, bei sechs Wochen.

· Kennwörter für privilegierte Konten ändern alle vier Wochen, um höhere Sicherheit zur Verfügung zu stellen, weil diese Konten unter einigen Verwaltern geteilt werden.

· Fernzugriff wird mit Einwegkennwörtern bewilligt und Sicherheit Zeichen Code-erzeugend, um Diebstahl der Benutzerbescheinigungen zu verhindern.

· Alle Benutzerkonten haben ein Kennwort. Jedes mögliches Benutzerkonto ohne ein Kennwort ist untauglich oder hat ein gelegentliches Kennwort, das für es erzeugt wird.

· Eben verursachte Konten haben nach dem zufall die Kennwörter erzeugt, die nach erstem LOGON ablaufen und den Benutzer erfordert, ein neues Kennwort einzustellen.

· Kennwörter sollten nie notiert werden oder auf einem wiedergutzumachenden Mittel wie Papier, klebrigen Anmerkungen oder Weißbrettern gespeichert werden.

· Benutzer sollten jedermann ihre Kennwörter nie erklären.

· Verwalter bitten nie Benutzer um ihre Kennwörter. Im Falle daß jemand um das Kennwort bittet, berichten Sie ihm bitte sofort ES und die Sicherheit Gruppe.

· Wenn Sie Aufgaben automatisieren, die Authentisierung erfordern, vermeiden Sie, Kennwörter in den Dateien offenbar zu speichern. Wenn möglich, verschlüsseln Sie oder hacken Sie das Kennwort vor der Speicherung es, um den Diebstahl der Kennwörter zu verhindern.

· Wenn sie intelligente Karten verwenden, lassen Nähekarten, oder andere Kleinteile Zeichen-gründeten Authentisierung Methoden, halten die Vorrichtung auf Ihrer Person ständig, und andere sie nicht borgen.

· Wenn man Öffentlichkeit-Schlüssel Verschlüsselungmethoden für Authentisierung verwendet, sollten private Schlüsselinformationen über Akte Zugang Beschränkungen oder Speicher auf externen Vorrichtungen wie intelligenten Karten geschützt werden.

· Wenn sie Verschlüsselung verwenden, können private und geheime Schlüssel durch die Leitung escrowed sein, die Daten vor Verlust zu schützen und sicherzugehen, daß Zugang erreichbar ist, wenn erforderlich.

· Alle Authentisierungen, ob erfolgreich oder Ausfälle, werden durch das System geloggt, das erreicht wird.

· Systeme sollten zusammengebaut werden, um drei verlassene LOGON-Versuche zu erlauben, bevor Kontoaussperrung auftritt.

· Im Falle des LOGON-Ausfalls und der Kontoaussperrung, sollten interne Konten zusammengebaut werden, um LOGON nach 30 Minuten wieder zu erlauben. Der Gebrauch von dauerhaften Aussperrungen werden auch durch viele Betriebssysteme gestützt. Diese erfordern einen Verwalter einzugreifen und das Konto wieder zu öffnen. Eine dauerhafte Aussperrung kann eine Leistungsverweigerung Zustand ergeben, wenn ein Angreifer mehrfache Konten in Angriff nimmt.

· Fernzugriffkonten sollten untauglich sein, nachdem drei LOGON-Versuche verließen und administrative Intervention für die Wiederverwendung des Kontos erfordern.

· Verwalter sollten LOGON-Anschläge einführen, die vor LOGON-Aufforderungen gemacht werden. Diese Nachrichten sollten nicht autorisierte Benutzer warnen, daß ihre Tätigkeiten überwacht werden und Versuche, das System einzutragen verboten werden. Zugelassene Verzweigungen konnten aus anhaltendem Gebrauch durch nicht autorisiertes Personal resultieren.

· Im Falle der verlorenen oder gestohlenen Kennwörter und der Authentisierung Vorrichtungen, sollte ER sofort mitgeteilt werden, um Zugang für dieses Konto zu sperren und die Kreation der neuen Zugang Bescheinigungen anzufangen.

· Vor der Ausgabe der neuen Kennwörter Verwalter sollten die Identität der Benutzer bestätigen. Dieses kann in der Person mit der Darstellung eines Abzeichens oder des Fotos Identifikation, im Gebrauch von einem speziellen Wiederaufnahme Kennwort, in einer persönlichen Identifikationsnummer, in der Sozialversicherung Zahl oder in anderer Methode getan werden, die normalerweise nur vom Benutzer und vom Verwalter bekannt.

Wie Sie sehen können, ist der Gebrauch von Authentisierung ernstes Geschäft. Benutzer und Verwalter müssen bewußt gebildet werden den negativen Effekten der Authentisierung Fehlanwendung. Zusammenfassen, sollen die wichtigen Bestandteile der Authentisierung

· Unterrichtende Benutzer und Verwalter, zum von von Authentisierung Methoden durch starke Kennwortkreation, sowie sicher zu verwenden, um Kennwörter sicher zu halten.

· Loggende und überwachende Authentisierung.

· Unterschiedliche Authentisierung Methoden sollten definiert werden und verwendet werden, damit unterschiedliche Anwendungen das höchste Niveau der Sicherheit zur Verfügung stellen, anstatt zu standardisieren auf einer einzelnen Authentisierung Methode. Z.B. verdient Fernzugriff häufig eine stärkere Authentisierung Einheit, als interner Bedienerzugang.

· Der Wert der strengen Authentisierung Sicherheit Politik, wie Kennwortverfall und Auswahlkriterien, Angriff bilden und schwieriges sich vergleichen.

Zugriffssteuerung ist der folgende in Verbindung stehende Bestandteil zur Authentisierung. Zugriffssteuerung besteht am Netzzugang—einiger Niveaus, am Dateizugang und am Hilfsmittelzugang. Netzzugang wird durch Protokolle, Portzahlen, Quell- und Bestimmungsortsysteme und Netze festgestellt. Die Netzzugangsteuerung ist beibehalten durch die Brandmauer wahrscheinlichstes. Datei- und System Hilfsmittelzugriffssteuerung wird über Betriebssystemfunktionalität, wie Akte Erlaubnis vollendet, die mit Benutzer- und Gruppenmitgliedschaft verbunden wird. Eine Zugriffssteuerung-Sicherheit Politik stellt den Benutzer mit einem Satz bester Praxis für das Verwenden dieser Funktionalität dar. Betrachten Sie Zugriffssteuerung-Politik Firma-Z:

· Netzzugangsteuerung tritt über die Brandmauer auf, die zusammengebaut wird, um Internet-Zugang für Angestellte zu erlauben. Wenn ein erforderlicher Service durch die Brandmauer blockiert wird, treten Sie mit der ES oder Netzleitung Gruppe in Verbindung, zum der möglichen Lösungen zu besprechen.

· Angestellten werden Zugang zu rechnenden Betriebsmitteln der globalen Firma über ihr desktop Logon Verfahren bewilligt.

· Gemeinschaftsdateianteile werden automatisch zur LOGON-Zeit initialisiert. Der Benutzer hat Rechte, allgemeinen Bereichen hinzuzufügen, aber Akten oder Hefte nicht zu entfernen, es sei denn der Benutzer sie herstellte.

· UNIX Benutzerkonten sollten mit Mitgliedschaft in den globalen Benutzergruppen oder im Äquivalent (Betriebssystemabhängiger) verursacht werden.

· UNIX Benutzerkonten sollten ihre eigene private Gruppe als das Ersatzgruppe-Mitgliedsschiff haben, das sie Erlaubnis auf ihre Akten und Verzeichnisse sicher einstellen läßt.

· Windows Konten sollten Mitglieder der Gebiet Benutzergruppe sein.

· Hauptverzeichnisse sollten, um Zugang zu erlauben nur vom Inhaber des Verzeichnisses verursacht werden.

· Die UNIX umask Einstellung erlaubt Benutzern, ein Rückstellung Erlaubnisniveau für eben hergestellte Akten zu spezifizieren. Dieses sollte eingestellt werden, um Akten herzustellen, die jeder sonst mißbilligen, um sie zu ändern oder durchzuführen. (das Rückstellung umask ist im Allgemeinen 022, das Akten mit gelesen herstellt und Erlaubnis für den Inhaber schreibt und Erlaubnis für die Gruppe und die Welt. las)

· Die UNIX SetUID/GID Einstellungen sollten vermieden werden, es sei denn absolut notwendig.

· Die Erlaubnis der Benutzerhilfsmitteleinstellungen einschließlich login, profile und rhosts sollte gegen nicht autorisierte Änderung gesichert werden.

· Benutzer sollten mit IHR in Verbindung treten Abteilung, wenn irgendeine Ungewißheit besteht, wenn sie Zugriffssteuerungmethoden einstellt.

· Wenn nicht autorisiert, wird Zugang zu den Akten, Hefte,or andere Daten vermutet, SIE Abteilung für eine Untersuchung mitteilt.

· Automatische Scans führen regelmäßig durch, um nach unsicheren Zugriffssteuerungeinstellungen auf Benutzerakten, -heften und -anwendungen zu suchen.

· Windows NT und 2000 Betriebssysteme stellen Zugang zu jeder (über das spezielle "jeder" Gruppe) von der Rückstellung zur Verfügung. Dieser Gruppe Zugang sollte mit der Gebiet Benutzergruppe entfernt werden und ersetzt werden, wenn Zugang zu allen Angestellten bewilligt werden soll.

Anmerkung

Windows NT und 2000 Betriebssysteme stützen eine etwas andere Zugriffssteuerungeinheit als UNIX. Die Windows Einheit läßt den Standard Erlaubnis wie UNIX lesen, schreiben und durchführen, aber auch hat einige spezielle Attribute wie mit vollem Zugriff und ändert. Die mit vollem Zugrifferlaubnis erlaubt der Einzelperson, die ganze Erlaubnis, einschließlich Änderung zu ändern die Erlaubnis für andere. Dieses ist häufig nicht der gewünschte Effekt, also, in den Fällen wo der Benutzer nur gelesen benötigt, schreibt und führt den Zugang durch, mit vollem Zugriff sollte nicht ermöglicht werden. Das ändernattribut erlaubt einem Benutzer, Änderungen an einer Akte bereits im Bestehen vorzunehmen, aber neue Akten oder Hefte nicht herzustellen.

Zugriffssteuerungpolitische Richtlinien können nützliche technische Informationen den Benutzern darstellen und Sicherheit Bewußtsein fördern. Die technischen Details der Zugriffssteuerungeinheiten für die Betriebssysteme im Gebrauch zu merken ist vorteilhaft, weil der beiläufige Benutzer häufig von ihrem Bestehen oder von ihrem Gebrauch ahnungslos ist. Die Kennzeichnung der Kontakte und der Verfahren für Zugriffssteuerungausgaben wird benutzt, um dem Benutzer zu helfen, sichere Einstellungen zu erlernen und zu verwenden