大家好,我是 Mike Chapple,这是 CISSP 官方学习指南第 14 章考试要点的音频复习。
授权确保在经过身份验证的身份的权限下,可以进行所请求的活动或对象访问。
例如,它确保具有适当权限的用户可以访问文件和其他资源。
常见的授权机制包括隐式拒绝、访问控制列表、访问控制矩阵、功能列表、受限接口、内容相关控制和上下文相关控制。
这些机制强制执行安全原则,例如需要知道、最小特权原则和职责分离。
在 DAC 模型中,所有对象都有所有者,所有者可以修改权限。
每个对象都有一个访问控制列表,定义文件的读取和修改等权限。
所有其他模型都是非自主模型,管理员集中管理非自主控制。
基于角色的访问控制或 RBAC 模型使用工作角色,当管理员将用户的帐户放入角色或组中时,用户将获得特权。
将用户从角色中移除将删除通过角色成员身份授予的权限。
基于规则的访问控制模型使用一组规则、限制或过滤器来确定访问权限。
防火墙的访问控制列表包括一组规则,这些规则定义了允许哪些访问以及阻止哪些访问。
描述基于属性的访问控制 ABAC 模型的关键概念。
ABAC 模型是基于规则的访问控制模型的高级实现,该模型应用基于属性的规则。
软件定义网络或 SDN 通常使用 ABAC 模型。
MAC 模型强制执行需要知道的原则,并支持分层环境、分区环境或混合环境中的两者结合。
基于风险的访问控制模型评估环境和情况,并根据基于软件的安全策略做出决策。
它可以根据多种因素控制访问,例如由 IP 地址确定的用户位置、用户是否使用多因素身份验证登录以及用户的设备。
SSO 是一种允许主体进行一次身份验证并访问多个对象而无需再次进行身份验证的机制。
安全断言标记语言或 SAML 是一种基于开放 XML 的标准,用于交换身份验证和授权信息。
OAuth 2.0 是 RFC 6749 中描述的授权框架,并得到许多在线站点的支持。
Oasis 维护OpenID Connect OIDC。
OIDC 使用 OAuth 2.0 框架并基于 OpenID 标准提供身份验证和授权。
一台服务器将其时间与网络时间协议 NTP 服务器同步,网络中的所有客户端都与同一时间同步。
例如,网络访问服务器是 radius 服务器的客户端,radius 服务器提供 AAA 服务。
TACACS plus 使用 TCP 并加密整个会话。
攻击者在利用单个系统后使用特权升级技术来获取更多特权。
他们还可以访问网络中的其他系统并尝试获取提升的特权。
限制服务帐户的特权可降低某些特权升级攻击的成功率。
相反,每个操作在请求时都会作为持续身份验证过程的一部分进行验证,并且只有在检查策略后才允许访问。
零信任架构的关键组件是策略引擎和策略管理员,它们统称为策略决策点和策略执行点。
Kerberos 攻击试图利用 Kerberos 票证中的弱点。
在某些攻击中,他们会捕获 LSASS.exe 进程中持有的票证,然后利用它们进行票证攻击。
攻击者可以在获得 Kerberos 服务帐户的哈希值后创建黄金票证,从而使他们能够在 Active Directory 中随意创建票证。
暴力破解和字典攻击针对的是被盗密码数据库文件或系统的登录提示。
它们旨在发现密码,在暴力破解中,会使用所有可能的键盘字符组合,而在字典攻击中使用预定义的可能密码列表,帐户锁定控制会限制这些攻击的有效性。
这些是第 14 章“控制和监控访问”需要了解的学习要点。
原文始发于微信公众号(晓说森林):第14章 控制和监控访问
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3201690.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论