Wondershare EdrawMind
Galerie de cartes mentales Notes d'étude CISSP - Domaine 5 (Gestion de l'accès aux identités)
- 7
Notes d'étude CISSP - Domaine 5 (Gestion de l'accès aux identités)
Il s'agit d'une carte mentale sur les notes d'étude CISSP - Domaine 5 (Gestion des accès aux identités). Le contenu principal comprend : des questions de révision et des points de connaissances.
Modifié à 2024-04-02 12:32:49
- bacteria
This is a mind map about bacteria, and its main contents include: overview, morphology, types, structure, reproduction, distribution, application, and expansion. The summary is comprehensive and meticulous, suitable as review materials.
- Plant asexual reproduction
This is a mind map about plant asexual reproduction, and its main contents include: concept, spore reproduction, vegetative reproduction, tissue culture, and buds. The summary is comprehensive and meticulous, suitable as review materials.
- Reproductive development of animals
This is a mind map about the reproductive development of animals, and its main contents include: insects, frogs, birds, sexual reproduction, and asexual reproduction. The summary is comprehensive and meticulous, suitable as review materials.
Notes d'étude CISSP - Domaine 5 (Gestion de l'accès aux identités)
- bacteria
This is a mind map about bacteria, and its main contents include: overview, morphology, types, structure, reproduction, distribution, application, and expansion. The summary is comprehensive and meticulous, suitable as review materials.
- Plant asexual reproduction
This is a mind map about plant asexual reproduction, and its main contents include: concept, spore reproduction, vegetative reproduction, tissue culture, and buds. The summary is comprehensive and meticulous, suitable as review materials.
- Reproductive development of animals
This is a mind map about the reproductive development of animals, and its main contents include: insects, frogs, birds, sexual reproduction, and asexual reproduction. The summary is comprehensive and meticulous, suitable as review materials.
- Recommandé pour vous
- Contour
Modèle de compétences pour répondre aux questions de géographie pour l'examen d'entrée à l'université
- 10
Connaissances en matière de sécurité des expériences en matière d'électricité, de sécurité de l'eau et de chimie organique
- 10
Notes d'étude CISSP - Domaine 5 (Gestion de l'accès aux identités)
Points de connaissance
5.1. Contrôler l'accès physique et logique aux actifs
5.1.1.Informations
5.1.1.1 Présentation de la gestion des identités et des accès
La gestion des identités et des accès (IAM ou IDAM) est le fondement de la sécurité de l'information, en se concentrant sur l'identification et l'authentification des entités demandant l'accès aux ressources et en garantissant un comportement responsable. Une entité peut être un utilisateur, un système, une application ou un processus.
IAM se compose de quatre éléments de base : identification, authentification, autorisation et audit (IAAAA)
5.1.1.2 Contrôle d'accès logique et physique
1 Contrôle d'accès physique : y compris les portes, rideaux, clôtures, etc., pour contrôler l'accès physique au bâtiment.
2 Contrôle d'accès logique : il s'agit de mots de passe, de codes PIN ou de clés symétriques partagées, etc., utilisés pour accéder au système.
3. Stratégie de contrôle : il est nécessaire de comprendre les actifs et les priorités d'accès de l'organisation, d'adopter des contrôles d'accès physiques stricts pour les actifs physiques de valeur et les exigences de confidentialité, et d'adopter des contrôles logiques pour les systèmes d'information avec des exigences strictes en matière d'intégrité des données.
5.1.1.3 Définition du contrôle d'accès
•Objet:
Entité à laquelle le sujet tente d'accéder, telle qu'un fichier, une application, une installation ou une base de données. Les objets doivent répondre aux exigences de confidentialité, d’intégrité, de disponibilité, de non-répudiation et d’authenticité (CIANA).
•corps principal:
Il peut s'agir d'utilisateurs humains ou d'entités non humaines telles que des systèmes, des programmes et des appareils. Un sujet a besoin d'accéder à un objet et le contrôle d'accès définit la manière dont cet accès est accordé, utilisé et surveillé.
•accéder:
Les opérations que le sujet est autorisé à effectuer sur l'objet.
5.1.1.4 Informations
Les informations (y compris les données brutes) peuvent apparaître sur des systèmes, des appareils, des supports de stockage, des applications, etc., où elles peuvent être transmises, stockées ou traitées.
Différentes informations nécessitent différents types ou niveaux de protection. Les besoins de protection doivent être évalués en fonction du cycle de vie des informations et les mesures correspondantes doivent être prises.
5.1.2. Système
5.1.2.1 Définition du système
Un système est un ensemble de matériel, de logiciels, de personnes, de politiques, de procédures et d'autres ressources couramment utilisées dans CISSP pour discuter des systèmes d'information électroniques.
5.1.2.2 Mise en œuvre du contrôle d'accès au système CIANA
• Confidentialité : la sécurité des informations contenues dans le système doit être assurée pour éviter tout accès non autorisé. Contrôles d'accès physique comme les coffres-forts verrouillés et contrôles d'accès logiques comme le chiffrement complet du disque (FDE).
•Intégrité : empêchez les utilisateurs non autorisés de modifier les informations via le contrôle d'accès.
• Disponibilité : par exemple, des armoires de serveur verrouillées empêchent les utilisateurs non autorisés d'arrêter le système de manière malveillante ou accidentelle.
· Authenticité : utilisez l'authentification dans IAM pour prouver que les croyances, commandes ou autres informations du système sont dignes de confiance. Après avoir réussi à prouver son identité, la crédibilité du sujet ou des preuves qu'il fournit peut être évaluée.
•Non-répudiation : repose sur la capacité du système IAM à identifier et authentifier de manière unique les mandataires, ainsi que sur les enregistrements des actions du système et des informations d'identification.
5.1.2.3 IAM centralisé
La gestion centralisée de l'IAM dispose d'une fonction de contrôle d'accès dédiée (telle qu'une équipe ou un service spécifique) chargée de gérer tous les contrôles d'accès, offrant ainsi les avantages d'une surveillance et d'une surveillance strictes. L’inconvénient est qu’il peut y avoir un seul point de défaillance.
5.1.2.4 IAM distribué
La gestion décentralisée de l'IAM décentralise les fonctionnalités, attribuant souvent les décisions de contrôle d'accès aux propriétaires du système ou des informations. Cela offre une plus grande liberté et flexibilité, mais présente l’inconvénient d’une application incohérente et d’un manque de surveillance unifiée.
5.1.3. Équipement
Certains appareils peuvent nécessiter des mesures de sécurité uniques pour éviter le vol ou les dommages. Il s'agit notamment du verrouillage de l'écran, de l'effacement à distance, de la séparation des applications et des informations (conteneurisation) et de diverses autres mesures physiques et logiques.
L’objectif de l’IAM des appareils est de sécuriser les points de terminaison, de limiter l’accès aux appareils non sécurisés et de garantir que seuls les utilisateurs autorisés y ont accès.
5.1.4.Installations
5.1.4.1 Système de contrôle d'accès physique (PACSS)
Les systèmes de contrôle d'accès physique comprennent les installations qui mettent en œuvre la sécurité physique, telles que les portes, les clôtures, les tourniquets, les badges de sécurité et les gardes.
De plus, les procédures administratives nécessaires au fonctionnement de ces contrôles sont incluses, telles que : les horaires de surveillance des gardes, les exigences en matière de badge, les procédures de quai de chargement, ainsi que l'enregistrement et l'escorte des visiteurs.
Précautions:
•Les situations d'urgence doivent également être prises en compte lors de la conception du PACSS, car la vie humaine est la principale préoccupation.
•Les fournisseurs de services cloud (CSP) et les smartphones personnels sont devenus de nouveaux actifs que de nombreuses organisations doivent protéger.
•La complexité des contrôles retenus doit être proportionnelle à la valeur des actifs protégés.
5.1.4.2 Éléments du système de contrôle d'accès physique
1. Identification de l'utilisateur et de l'appareil
Les personnes sont généralement identifiées par des cartes d'identité, des autocollants ou des badges, et les objets peuvent être identifiés à l'aide d'étiquettes RFID, de codes-barres ou de codes à réponse rapide (QR).
2. Clôtures et portails
Les clôtures empêchent les entrées indésirables et dirigent les personnes vers des points d’entrée contrôlés. Le portail offre la possibilité de mettre en œuvre des contrôles supplémentaires, tels que la présentation d'un badge d'identification ou la saisie d'un mot de passe, où ont lieu l'identification et l'authentification.
3. Porte de sécurité
N'autorisez l'entrée qu'à ceux qui présentent les informations d'identification appropriées, telles que l'utilisation d'une carte à puce, d'une application pour smartphone ou d'un code PIN.
4. Serrures et clés
5. Capteur de détection d'intrusion
Ces capteurs sont des contrôles de détection et peuvent détecter les accès non autorisés. Par exemple, des capteurs infrarouges, acoustiques et de poids ou de pression peuvent détecter les intrus en fonction de la température corporelle, du bruit d'un verre brisé ou du mouvement de l'intrus.
6 portes tournantes ou doubles portails
Là où les tourniquets ne permettent généralement qu'à une seule personne à la fois, les doubles portes exigent que les utilisateurs présentent un jeu d'informations d'identification pour entrer dans un espace de vestibule sécurisé, puis nécessitent un autre jeu d'informations d'identification pour entrer dans l'espace principal depuis le vestibule.
7. Surveillance vidéosurveillance
8. Sécurité
Les gardes constituent l’une des formes de contrôle d’accès physique les plus utiles, les plus flexibles et les plus coûteuses.
5.1.5.
1. Principe du moindre privilège
L'accès aux applications doit suivre le principe du moindre privilège, en accordant un accès approprié et non excessif basé sur le modèle de contrôle d'accès basé sur les rôles (RBAC).
2. Connaître le principe de ce dont vous avez besoin (vous pouvez savoir ce dont vous avez besoin)
L'accès à des données spécifiques par les applications doit suivre le principe de savoir ce qui est nécessaire. Par exemple, dans la gestion des appareils mobiles (MDM), la technologie de conteneurisation peut empêcher les applications non autorisées d'accéder aux données de l'organisation grâce à une isolation logique.
3 Granularité des autorisations d'accès
Les applications fournissent souvent plusieurs niveaux d'accès utilisateur. La granularité décrit le niveau d'accès contrôlable. Les applications à haute granularité prennent en charge la personnalisation de l'accès de chaque utilisateur à des objets spécifiques, tandis que les applications à faible granularité autorisent uniquement l'accès de base à l'application et à toutes les données qu'elle contient. Une granularité insuffisante peut entraîner des failles de sécurité.
5.2. Identification et authentification du personnel de gestion, des équipements et des services
5.2.1. Mise en œuvre de la gestion des identités (IdM)
Plusieurs fonctions clés de la gestion des identités (IdM) :
1. Créer : établir l'identité en traitant la demande, en prenant en charge le processus d'examen et d'approbation.
2. Suppression : mettez en œuvre le processus de suppression des utilisateurs pour garantir la suppression en temps opportun de l'identité et des droits d'accès.
3. Gestion des identités et des comptes : fournir des fonctions de gestion de compte centralisées ou décentralisées pour gérer efficacement les identités des utilisateurs.
4. Gestion des droits d'investissement : une fois l'identité créée, l'IdM est responsable de l'attribution des droits d'accès initiaux à l'identité.
5. Examen de l'identité : supervisez et examinez les identités des utilisateurs et les droits d'accès pour garantir la sécurité et la conformité.
5.2.2. Authentification monofacteur et multifacteur (MFA)
5.2.2.1 Facteurs d'authentification de l'identité
1. Trois principaux types de facteurs d’authentification :
•Ce que vous savez (facteur de connaissance, type 1) : Mots de passe, mots de passe ou réponses aux questions de sécurité, etc.
•De quoi disposez-vous (facteur de possession, type 2) : téléphone portable, clé USB, carte d'accès, etc.
•Ce que vous êtes (facteurs biométriques, type 3) : empreinte digitale, scan de l'iris, etc.
L'authentification à facteur unique utilise un facteur d'authentification, tandis que l'authentification à facteurs multiples en utilise deux ou plus. Le type 1 est le plus faible et le type 3 est le plus fort, mais le type 3 peut également être facilement contourné. Par conséquent, une authentification multifacteur est recommandée.
2 nouveaux types de facteurs d'authentification
Déterminez où et comment les utilisateurs sont authentifiés. Par exemple, se connecter à partir d'un nouvel appareil ou d'un emplacement inconnu, déclenchant une invite d'authentification multifacteur (MFA).
5.2.2.2 Que savez-vous (Type 1)
Avantages : Simple à utiliser et facile à mettre en œuvre.
Inconvénients : facile à oublier et facilement détruit par les attaquants.
1. Dernières recommandations en matière de politique de mot de passe du NIST SP 800-63B :
Privilégiez la convivialité plutôt que la complexité : les mots de passe complexes peuvent être difficiles à retenir, ce qui permet de multiplier les tentatives de saisie pour tenir compte des fautes de frappe.
Augmentez la longueur plutôt que la complexité : autorisez des mots de passe plus longs (par exemple, 1PassedTheCISspcertifrcation) sans augmenter la complexité (par exemple, iP@ss3dTh3C1sSp). Le premier est plus facile à mémoriser pour les utilisateurs, tandis que le second peut entraîner davantage de verrouillages accidentels.
Moins de changements Les mots de passe sont plus difficiles à deviner ou à déchiffrer, c'est pourquoi les directives actuelles exigent qu'ils ne soient modifiés que s'ils ont été compromis.
2. Suggestions générales de mots de passe :
•Longueur du mot de passe : pas moins de 8 caractères.
• Complexité du mot de passe : comprend les lettres majuscules, les lettres minuscules, les chiffres et les caractères spéciaux.
• Durée de vie du mot de passe : changez régulièrement les mots de passe.
•Stockage du code pyramidal : stockage crypté, stockage sans texte.
• Récupération de mot de passe : stratégies efficaces pour faire face à l'oubli et à la perte.
•Vérification du mot de passe : vérifiez s'il a déjà été utilisé.
•Évaluation de la force du mot de passe : invitez les utilisateurs à choisir des mots de passe plus forts.
Les organisations doivent développer leurs propres politiques de mots de passe basées sur les exigences du secteur et de conformité.
5.2.2.3 Qu'avez-vous (Type 2)
Tels que les certificats numériques, les badges d'identité ou les cartes à puce, les jetons d'authentification physiques et les applications d'authentification sur smartphone. Généralement non utilisé seul, peut être partagé ou emprunté.
1. Certificat numérique : certificat électronique prouvant l’identité et la clé publique du propriétaire.
2. Badge numérique ou carte à puce : doté d'un support physique permettant d'identifier l'identité de l'utilisateur. Mot de passe de saisie de la machine à carte à puce ou vérification des empreintes digitales
3. Jeton d'authentification physique : un appareil physique qui génère un code d'authentification unique.
• Jeton de mot de passe dynamique synchronisé (TOTP) : synchronisez avec l'heure du serveur et générez régulièrement des mots de passe.
•Jeton de mot de passe dynamique asynchrone (HOTP) : déclenchez manuellement l'acquisition de mots de passe dynamiques, à l'aide d'un nom occasionnel (un numéro à usage unique) pour garantir l'utilisation unique du mot de passe. TOTP utilise une norme de mot de passe à usage unique basée sur le temps. HOTP utilise une norme de mot de passe à usage unique basée sur l'algorithme HMAC.
4. Application d'authentification sur smartphone : application mobile qui génère des codes d'authentification uniques et vérifie l'identité de l'utilisateur via un smartphone.
5.2.2.4 Qu'êtes-vous (Type 3)
Les facteurs biométriques sont utilisés pour identifier ou vérifier l’identité. Utilisé comme deuxième ou troisième facteur de MFA, pas souvent utilisé seul.
Méthodes biométriques courantes :
• Reconnaissance d'empreintes digitales : scannez votre empreinte digitale pour déverrouiller l'appareil.
·Reconnaissance de la rétine : analyse les modèles de vaisseaux sanguins rétiniens, avec une grande précision, difficile à déchiffrer et peut divulguer des informations sur la santé (PHI) et des problèmes de sécurité.
• Reconnaissance de l'iris : scannez les modèles d'iris avec une grande précision, permettant une reconnaissance longue distance.
•Reconnaissance faciale : analysez les traits du visage pour déverrouiller les appareils et attraper les criminels.
•Reconnaissance vocale : Technologie de reconnaissance vocale pour l'identification des identités.
• Reconnaissance de l'écriture manuscrite : scannez les traces d'écriture manuscrite pour identifier votre identité.
•Identification par électrocardiogramme : scannez l'électrocardiogramme pour identifier la personne.
5.2.2.5 Erreurs courantes de contrôle d'accès
· Taux de faux rejets (FRR) : erreurs de type 1. Les données biométriques valides ne peuvent pas être vérifiées et sont utilisées dans des environnements ayant des exigences de sécurité élevées.
Faux négatif, rejetant le bon utilisateur
•Taux de fausses acceptations (FAR) : erreurs de type 2. Les données biométriques invalides sont identifiées à tort comme des identités valides et sont utilisées dans des environnements avec de faibles exigences de sécurité.
Faux positif, mauvais utilisateur autorisé
•Le taux d'erreur de croisement (CER) est le point d'intersection du FRR et du FAR et est utilisé comme valeur d'évaluation standard. En comparant la précision des dispositifs biométriques, les appareils avec un CER inférieur sont plus précis que les appareils avec un CER plus élevé.
5.2.2.6 Authentification multifacteur (MFA)
Les mots de passe seuls peuvent être facilement devinés, les jetons seuls peuvent être perdus ou volés, et la biométrie seule peut provoquer des faux positifs. Utilisé en combinaison pour augmenter la force et la précision.
5.2.3. Responsabilité
La responsabilité est un mécanisme permettant de garantir qu'un utilisateur ou un programme assume la responsabilité des actions qu'il effectue et des décisions qu'il prend. Une responsabilisation efficace nécessite une identification et une documentation claires de qui (utilisateur ou programme) a effectué quelle action (comportement). Cela nécessite de fournir à chaque utilisateur ou programme une identification unique et de vérifier l'authenticité de son identité.
5.2.4. Gestion des séances
La gestion des sessions commence par l'identification et l'authentification de l'utilisateur et se termine par la déconnexion de l'application ou du système. La protection des données et des données échangées pendant la session est essentielle. Les sessions doivent également respecter des exigences de sécurité, telles que limiter leur durée et se dérouler uniquement entre des hôtes spécifiques.
1. Pour garantir une gestion sécurisée des sessions, veuillez prendre les mesures suivantes :
• Mécanisme d'authentification puissant
• Clés de session haute résistance
• Excellents algorithmes et mécanismes de cryptage
• Limiter le délai d'expiration de la session
• Les sessions inactives sont automatiquement déconnectées
• Mesures de contrôle pour détecter toute activité anormale
2. Failles de sécurité liées à la session :
• Détournement de session : un attaquant usurpe l'identité de l'une des parties à la communication dans le but d'obtenir ou de falsifier des informations.
• Détournement côté session : les utilisateurs du même réseau détournent les sessions via le reniflage de paquets, volent les informations des cookies de session et usurpent l'identité d'utilisateurs légitimes.
• Fixation de session : attaques contre des applications Web qui réutilisent les ID de session, où un attaquant utilise un ID de session existant pour tromper le navigateur de l'utilisateur afin qu'il authentifie et vole les informations d'identification.
3. Pratiques de sécurité de gestion de session
• Guide des meilleures pratiques de gestion de session publié par l'OWASP : https://shorturl.ac/owasp_session.
suggestion:
•Utilisez des chaînes d'identification de session longues et complexes pour éviter les informations identifiables évidentes.
-Définissez les attributs de sécurité appropriés, tels que l'attribut Secure, lors du stockage des jetons de session sous forme de cookie pour forcer l'utilisation de HTTPS.
•Suivez les meilleures pratiques de développement, évitez d'inclure les ID de session dans les URL, ne partagez pas les ID de session et supprimez rapidement les ID de session inutiles.
5.2.5. Enregistrement, certification et identification
La gestion des identités consiste à vérifier les informations des utilisateurs et à créer des comptes d'utilisateurs ou des informations d'identification pour établir l'identité. Elle doit prendre en compte la sécurité du système et de ses données, y compris l'authenticité, la confidentialité et l'intégrité.
1.Le niveau d’assurance de l’identité (IALS) du NIST est divisé en 3 niveaux :
•IAL1 (identité auto-certifiée)
Le niveau le plus bas exige que les utilisateurs certifient eux-mêmes leur identité. Il n’est pas nécessaire d’associer un individu à une identité réelle vérifiée. S'applique aux systèmes où les conséquences du monde réel n'impliquent pas de responsabilité.
•IAL2 (présenter les pièces d'identité et les justificatifs) :
Les utilisateurs sont tenus de soumettre des documents d'identité et des certificats en personne ou à distance pour une authentification par nom réel. Souvent utilisé dans des scénarios d'emploi où des documents d'identité valides doivent être fournis à l'employeur.
•IAL3 (Preuve de présence physique et examen formel) :
Le niveau le plus élevé exige une preuve d'identité en personne avec des preuves fiables (telles qu'une carte d'identité émise par le gouvernement) et un examen formel de l'identité et des documents par le personnel formé du CSP. La vérification personnelle augmente la confiance.
2. Le niveau d'assurance requis dépend des exigences de sécurité du système et de ses données ainsi que de la sensibilité du travail de l'utilisateur.
Par exemple : Dans les opérations aériennes, il peut y avoir différentes exigences d'identification pour différents employés en fonction de la sensibilité du travail. Les agents d'accueil qui fournissent des conseils sur la capacité des passagers ont moins d'impact sur la vie, la santé et la sécurité et ne nécessitent donc que des mécaniciens et du personnel de maintenance peuvent nécessiter un examen plus rigoureux.
3. Une fois les informations d'identité soumises, vérifiées et vérifiées à un niveau approprié, une identité peut être établie pour l'utilisateur.
5.2.6. Gestion fédérée des identités (FIM)
La gestion des identités fédérées (FIM) réduit les frais administratifs et simplifie la gestion de plusieurs ensembles d'informations d'identification en partageant l'authentification des utilisateurs et les droits d'accès entre les systèmes participant à la fédération. FIM est similaire à l'authentification unique (sSO) et est conçu pour réduire les coûts de création et de gestion de compte, fournir aux utilisateurs un accès facile et offrir des avantages en matière de sécurité. Cependant, les risques posés par la fédération doivent également être soigneusement évalués. Si les pratiques de sécurité d'une organisation de la fédération sont insuffisantes, cela peut entraîner des risques de sécurité pour d'autres systèmes dans l'ensemble de la fédération.
5.2.7. Système de gestion des informations d'identification (CMS)
Les systèmes de gestion des informations d'identification permettent aux organisations de gérer de manière centralisée les identifiants utilisateur et les mots de passe. De tels systèmes sont disponibles sous forme de produits logiciels commerciaux et déployés sur site ou dans un environnement cloud.
La principale responsabilité d'un CMS est de créer des comptes pour les utilisateurs et de distribuer les informations d'identification à la demande sur divers systèmes et systèmes de gestion d'identité centralisés tels que LDAP ou Microsoft Active Directory. Un système de gestion des informations d'identification peut exister en tant qu'application autonome ou être un composant d'un système IAM.
5.2.8.Authentification unique (SSO)
SSO est une méthode d'authentification qui permet aux utilisateurs d'accéder à plusieurs ressources avec une seule authentification. Les technologies qui implémentent le SSO incluent Kerberos et Windows Active Directory. La combinaison du SSO avec la gestion fédérée des identités vous permet de tirer parti de fournisseurs d'identité tiers pour authentifier les utilisateurs auprès de ressources telles que plusieurs organisations et sites Web.
Avantages du SSO :
• Réduisez le fardeau de la gestion des mots de passe des utilisateurs et réduisez le risque de mots de passe faibles.
•Détectez et réagissez rapidement aux comportements suspects.
Inconvénients de l'authentification unique :
•—Rien ne va mal : lorsqu'un compte SSO est compromis, toutes les applications compatibles SSO sont affectées.
5.2.9. Gestion des identités et des accès juste à temps (JIT)
Le contrôle d'accès juste à temps (JIT) applique le principe du moindre privilège en fournissant un accès temporaire à une application ou à une ressource lors de l'exécution d'une tâche spécifique.
Scénarios courants :
• Key Vault : en tant qu'élément de gestion de compte privilégié, un coffre-fort central stocke les informations d'identification du compte partagé et élève les privilèges au cours d'une période de temps spécifique.
· Créer temporairement des comptes : créez dynamiquement des comptes temporaires avec les autorisations requises, supprimez-les automatiquement immédiatement après utilisation ;
·Élévation temporaire des privilèges : le compte bénéficie de privilèges élevés pour une période de temps limitée et est automatiquement supprimé une fois le délai écoulé.
5.3. Identités fédérées avec des services tiers
5.3.1. Identité en tant que service (IDaas)
IDaas est une extension de Federated Identity (FIM) et est utilisée pour répondre aux besoins de collaboration de différentes équipes, départements et organisations.
Des solutions souvent fédérées telles que SAML et OAuth sont mises en œuvre pour répondre aux besoins IAM dans les systèmes internes et externes.
Principaux risques liés aux IDaas tiers :
• Point de défaillance unique : si IDaas échoue, les systèmes associés deviendront inutilisables.
•Perte de contrôle : la reconnaissance d'identité est la base du contrôle d'accès et son externalisation comporte des risques élevés. Si les données d'un fournisseur IDaaS sont violées, les informations de gestion de l'identité et des accès d'une entreprise peuvent être affectées.
5.3.2. Au sein de l'entreprise
Le principal avantage d'une solution de gestion des identités (IdM) sur site est le contrôle complet du matériel et des logiciels utilisés dans le système IAM, tels que le protocole LDAP (Lightweight Directory Access Protocol) ou Microsoft Active Directory (AD) hébergés au siège social ou centre de données. )système.
5.3.3.Cloud
1 Les services d'identité basés sur le cloud sont fournis par un tiers Identity as a Service (IDaas), qui est responsable de l'identification, de l'autorisation et de la gestion des accès. Couramment utilisé dans les applications Saas pour les fournisseurs de services cloud utilisés par les clients au sein d'une organisation, tels que Microsoft Office 365 et le cloud Azure intégré à Active Directory.
Les solutions 2Cloud peuvent nécessiter un Cloud Access Security Broker (CASB) pour contrôler et filtrer l'accès aux services cloud. CASB fournit des services de contrôle d’accès, d’audit et de responsabilisation.
3. Les services basés sur le cloud ont une fiabilité et une disponibilité élevées car le centre de données du fournisseur de services cloud dispose de plusieurs redondances. Les services basés sur le cloud peuvent réduire considérablement les coûts par rapport aux services sur site, réduisant ainsi l'achat et la maintenance des équipements ainsi que le besoin de personnel spécialisé.
5.3.4.Type mixte
Les solutions de services d'identité hybrides combinent des solutions de gestion des identités basées sur le cloud et sur site. Un modèle hybride constitue la meilleure option permettant aux entreprises de conserver un certain degré de contrôle tout en bénéficiant des avantages d'une approche basée sur le cloud, tels que l'élasticité et la rentabilité.
Risques mixtes :
•Des ressources suffisantes sont nécessaires pour maintenir une double implémentation IAM. Même si le passage au cloud peut réduire les besoins de maintenance en interne, une approche hybride n’élimine pas complètement ce besoin.
•Une approche hybride comporte les mêmes risques qu'un IAM basé sur le cloud, car un tiers gère l'identité.
•Si l'IDaaS est compromis, un risque supplémentaire surviendra car les ressources internes dépendent d'un IAM interne synchronisé avec le fournisseur IDaaS.
5.4. Mettre en œuvre et gérer les mécanismes d'autorisation
5.4.1. Comprendre le mécanisme d'autorisation
5.4.1.1 Comparaison des autorisations, pouvoirs et privilèges
•autorisation
Sur le plan technique, les utilisateurs ont des droits d'accès aux ressources, telles que lisibles, lisibles et inscriptibles, exécutables, etc.
•droite
Des droits réalistes, par exemple, vous avez le droit de consulter les données de la base de données, à condition d'avoir une autorisation de lecture.
Par rapport
•privilège
La combinaison d'autorisations et de droits est appelée un privilège.
• Droit
Les droits font référence au nombre de privilèges accordés à un utilisateur, généralement spécifiés lors de l'attribution initiale d'un compte.
5.4.1.2 Comprendre le mécanisme d'autorisation
1Déni implicite (mécanisme de liste blanche)
Les accès qui ne figurent pas sur la liste blanche seront rejetés. Par exemple : les utilisateurs non authentifiés ne peuvent pas accéder au site Web.
2. Tableau des capacités (accent mis sur la capacité du sujet)
Considérez le sujet et déterminez les objets auxquels le sujet a accès et les opérations qu'il peut effectuer. Par exemple : les employés ordinaires peuvent accéder aux partages de fichiers, mais ne peuvent pas les modifier.
3 Liste de contrôle d'accès (faites attention à l'état d'accès de l'objet)
Considérez l'objet et déterminez les utilisateurs qui peuvent accéder à l'objet et les opérations qui peuvent être effectuées. Par exemple : les fichiers privés ne sont accessibles qu’aux administrateurs.
4. Matrice de contrôle d'accès (composée d'un tableau de capacités et d'une liste de contrôle d'accès)
Combinez des tableaux de capacités et des listes de contrôle d'accès, telles que le contrôle d'accès par pare-feu. Par exemple : restreindre les accès illégaux via des pare-feu.
5. Interface de contrainte (restreindre les opérations des utilisateurs)
Limitez les actions et les vues des utilisateurs. Par exemple : le menu système ne peut pas être modifié par les utilisateurs ordinaires.
6. Contrôle du contenu dépendant (limité par le contenu de l'objet)
Restreindre les utilisateurs en fonction du contenu. Par exemple : restreindre l’accès des utilisateurs en fonction des vues de la base de données.
7. Contrôle dépendant du contexte (basé sur les actions du sujet ou les contraintes de temps)
Restreindre les utilisateurs en fonction des actions du sujet ou de l'heure. Par exemple : les services de fichiers ne sont accessibles que pendant les heures de bureau
8. Sachez ce dont ils ont besoin (restreindre l'accès des sujets uniquement à ce dont ils ont besoin pour le travail)
Dois savoir
9. Moindres privilèges (accorder aux sujets uniquement les autorisations dont ils ont besoin pour effectuer leur travail)
10. Séparation des tâches (les tâches sensibles sont effectuées par plusieurs personnes)
11. Défense en profondeur (mécanisme de protection multicouche, comprenant des contrôles physiques, techniques et de gestion)
5.4.1.3 Définir les exigences à l'aide des politiques de sécurité
La politique de sécurité d'une organisation détermine les exigences de contrôle d'accès et guide la mise en œuvre. Les systèmes et environnements d'information modernes mettent souvent en œuvre un modèle de contrôle d'accès hybride, comprenant des pare-feu basés sur des règles, des systèmes partagés avec contrôle d'accès dynamique et des services des ressources humaines qui déterminent un contrôle d'accès basé sur les rôles pour des fonctions professionnelles spécifiques et les autorisations associées.
5.4.2. Contrôle d'accès basé sur des règles (RUBAC)
Le contrôle d'accès basé sur des règles (RUBAC) est une méthode de détermination d'autorisation basée sur une liste prédéfinie de règles. Pour éviter toute confusion avec le contrôle d'accès basé sur les rôles, il est souvent abrégé en RUBAC. Comme pour une liste d’invités lors d’un banquet, les personnes figurant sur la liste sont autorisées à entrer et les autres se voient refuser l’entrée.
Dans les systèmes d'information, les listes de contrôle d'accès (ACL) sont souvent utilisées pour implémenter RUBAC, comme les ensembles de règles de pare-feu, afin de déterminer quelles adresses IP ou quels ports sont autorisés ou bloqués.
Il existe deux approches des systèmes basés sur des règles :
1. Implicitement autorisé : tous les accès sont autorisés par défaut. Sauf s’il existe des règles interdisant spécifiquement l’accès. Par exemple, un magasin est ouvert à tous les membres du public mais refuse certains clients connus pour voler.
2. Refus implicite : seules les personnes figurant sur la liste approuvée sont autorisées à accéder, et les autres sont refusées par défaut. Parfois appelée refuser tout ou autoriser avec exceptions, cette approche constitue une bonne pratique de sécurité de base car elle réduit le risque d'accès non autorisé.
5.4.3. Contrôle d'accès basé sur les rôles (RBAC)
Le contrôle d'accès basé sur les rôles (RBAC) est une méthode de contrôle de l'accès aux ressources en fonction des rôles des utilisateurs au sein d'une organisation.
Avantages du RBAC :
• Attribuez des autorisations en fonction de la fonction : RBAC réduit le risque que du personnel non autorisé accède à des informations sensibles en attribuant les autorisations requises à chaque rôle.
•Gestion des autorisations au niveau du rôle : les administrateurs peuvent gérer les autorisations au niveau du rôle plutôt que pour chaque utilisateur, simplifiant ainsi le processus de gestion du contrôle d'accès et améliorant l'efficacité.
• Prend en charge l'audit et la responsabilité : RBAC enregistre une piste d'audit indiquant qui a accès à quelles ressources et quand, permettant ainsi une enquête sur les incidents de sécurité et garantissant des contrôles d'accès appropriés.
• Appliquer le principe du moindre privilège : suivez le principe du moindre privilège en attribuant des autorisations via RBAC pour garantir que les utilisateurs obtiennent uniquement les autorisations dont ils ont besoin pour effectuer leur travail.
REMARQUE : Il est une convention acceptée dans la communauté de la sécurité selon laquelle l'abréviation RBAC se rapporte uniquement au contrôle d'accès basé sur les rôles.
5.4.4. Contrôle d'accès obligatoire (MAC)
Le contrôle d'accès obligatoire (MAC) est un modèle de contrôle d'accès strict couramment utilisé dans les organisations militaires et gouvernementales.
En mode MAC, c'est l'administrateur de sécurité qui est responsable de l'attribution des droits d'accès, et non le propriétaire des données.
MAC est implémenté en attribuant des étiquettes de sécurité aux principaux et aux volumes. Par exemple, lorsqu'un utilisateur dispose d'une étiquette de sécurité « secrète ». Les documents marqués « Top Secret » ne seront pas accessibles, mais les documents marqués « Secret » ou « Non confidentiel » seront accessibles.
MAC est largement utilisé dans les modèles de confidentialité et d'intégrité tels que les modèles Bell-LaPadula, Biba et Clark-Wilson. En résumé, MAC est une méthode de contrôle d’accès stricte et non discrétionnaire adaptée aux organisations ayant des besoins de sécurité élevés.
5.4.5. Contrôle d'accès discrétionnaire (DAC)
Le contrôle d'accès discrétionnaire (DAC) est un modèle de contrôle d'accès dans lequel le propriétaire du système ou des données détermine quels sujets peuvent accéder à une ressource. DAC est un contrôle d’accès décentralisé, flexible mais difficile à gérer.
Prenons l'exemple de WeChat Moments : les éditeurs peuvent décider si le contenu est public pour les autres utilisateurs ou réservé à un groupe spécifique d'utilisateurs (comme les amis proches ou la famille).
5.4.6.Contrôle d'accès basé sur les attributs (ABAC)
Le contrôle d'accès basé sur les attributs (ABAC) combine les attributs des utilisateurs, des hôtes, des réseaux et des appareils pour prendre des décisions d'accès basées sur des politiques. ABAC contrôle l'accès de manière flexible en fonction du jour de la semaine, de l'heure de la journée, du lieu de connexion, etc.
Les pare-feu avec état sont un exemple de pare-feu qui évalue les attributs du sujet pour déterminer les demandes d'accès. ABAC fournit un moyen de contrôle granulaire basé sur des attributs et des politiques.
5.4.7. Contrôle d'accès basé sur les risques
Un modèle de contrôle d'accès basé sur les risques traite les risques comme des changements dynamiques et ajuste l'autorisation. Contrairement aux modes tels que RBAC et RUBAC, il utilise des paramètres tels que les informations sur les menaces, les journaux système et le comportement des utilisateurs pour l'authentification dynamique.
Par exemple, lorsqu'un service est touché par une attaque de phishing, un système IAM peut augmenter temporairement la fréquence des connexions MFA pour atténuer la menace. Les institutions financières utilisent également ce modèle pour détecter la fraude sur les comptes personnels, car le profil de risque évolue en fonction du comportement et de l'activité des utilisateurs.
5.5. Gestion du cycle de vie de la fourniture d'identités et d'accès
5.5.1. Cycle de vie de la gestion des accès
5.5.2. Accès au compte et examen de son utilisation
5.5.2.1 Examen de l'accès au compte
•Vérifiez les objets : comptes d'utilisateurs (liés aux individus) et comptes système (comptes non humains, tels que les sauvegardes automatiques, les appels API, etc.).
• Examiner le contenu : vérifiez si les utilisateurs disposent d'un accès approprié aux systèmes, aux données et aux autorisations, et enquêtez sur les comptes inactifs ou dormants, les autorisations excessives et les combinaisons d'accès toxiques.
•Fréquence de l'examen : déterminée par l'organisation en fonction des obligations légales et réglementaires et des dommages potentiels.
• Examens automatisés : exploitez des outils de sécurité tels que SIEM ou SOAR pour effectuer des examens automatisés.
5.5.2.2 Examen de l'utilisation du compte
• Examinez le comportement des comptes utilisateur et système pour identifier les utilisations inutiles ou inappropriées et renforcer la responsabilité.
• Les audits d'utilisation peuvent être effectués dans le cadre d'un audit d'accès, réalisés avec des outils automatisés tels que SIEM ou via des audits aléatoires. Ceci est essentiel pour maintenir la sécurité et identifier les événements suspects tels que l’élévation des privilèges d’un attaquant.
5.5.3. Configuration et déconfiguration
•Le provisionnement est le processus d'octroi de l'accès aux systèmes, aux données et aux ressources, tandis que la déconfiguration est la révocation de ces droits d'accès. Généralement lié aux changements d'employés (tels que l'arrivée, le départ, le transfert ou la promotion), la coordination avec les ressources humaines ou l'équipe informatique est nécessaire pour garantir une exécution en toute sécurité.
•Les politiques de gestion des accès doivent prendre en compte les changements d'accès des utilisateurs en cas de changements hostiles, amicaux et de travail.
• La déconfiguration doit être conforme aux réglementations en matière de confidentialité et fournir des méthodes appropriées pour désactiver et supprimer les données utilisateur, telles que la fourniture d'une entrée de déconnexion du compte.
5.5.4. Définition des rôles
Les rôles sont un moyen de définir l'accès en fonction du service, de la fonction ou des responsabilités professionnelles d'un utilisateur. Il suit les principes de gestion des accès tels que le moindre privilège et met en œuvre des contrôles de sécurité tels que la séparation des tâches. Les rôles simplifient le processus de provisionnement et de déprovisionnement en attribuant des rôles aux utilisateurs plutôt qu'en les autorisant un par un. La mise à jour continue de l’appartenance aux rôles est une partie essentielle du cycle de provisionnement et de déprovisionnement.
5.5.5. Élévation de privilèges
L'élévation des privilèges est le processus permettant d'obtenir des privilèges plus élevés.
1. Élévation normale des privilèges :
•La nécessité doit être examinée, enregistrée et mise en œuvre en utilisant autant que possible des rôles ou des groupes. Les méthodes courantes incluent les autorisations temporaires (telles que la commande sudo de Linux ou la commande runas de Windows) et l'accès d'urgence.
2. Attaque d’élévation de privilèges :
•Attaque par escalade verticale : un attaquant tente d'obtenir des privilèges plus élevés, par exemple via une injection SQL.
•Attaque d'escalade latérale (mouvement latéral) : l'attaquant obtient plus d'autorisations de compte du même niveau.
3. Mesures préventives :
•Mettre en œuvre le principe du moindre privilège
· Réparer les vulnérabilités rapidement
·Effectuer des analyses de vulnérabilité
· Surveiller le trafic et le comportement du réseau
· Développer une politique de mot de passe forte
·Formation de sensibilisation à la sécurité
5.6. Implémentation d'un système d'authentification
5.6.1 Connectivité Open ID (OIDC) et autorisation ouverte (Oauth)
5.6.1.1 Autorisation ouverte (OAuth)
OAuth est un protocole ouvert, dont la dernière version est la 2.0, qui permet une méthode simple et standard d'obtenir une autorisation sécurisée à partir d'applications Web, mobiles et de bureau. Il se concentre sur l'autorisation plutôt que sur l'authentification.
Quatre rôles clés définis par OAuth :
1) Client : Toute application qui fait une demande d'accès à une ressource protégée.
2) Propriétaire de la ressource : personne qui possède une ressource protégée et peut accorder l'autorisation à d'autres personnes d'utiliser la ressource, généralement un utilisateur final, ou une application ou un service. Ces autorisations sont généralement accordées via une boîte de dialogue de consentement.
3) Serveur d'autorisation : tout serveur qui émet un jeton d'accès au client après une authentification réussie, le jeton est utilisé pour accéder à l'ensemble du système d'alliance ;
4) Serveur de ressources : tout serveur hébergeant des ressources protégées qui accepte et répond aux demandes d'accès.
5.6.1.2 Connectivité OpenID (OIDC)
OIDC ajoute des fonctions d'authentification à la version OAuth 2.0 et combine la gestion des identités pour offrir aux utilisateurs une expérience d'authentification de type SSO.
1.ldPs et JWT
Dans OIDC, les utilisateurs peuvent choisir des fournisseurs d'identité (IdP), tels que WeChat, Weibo, Microsoft, Google, etc.
Le fournisseur d'identité (OpenlD Provider) fournit un jeton d'identification à l'utilisateur final, qui est codé en JWT (Json Web Token)
2. Processus d'obtention du jeton
L'utilisateur sélectionne un IdP et fournit des informations d'authentification à la partie utilisatrice à l'aide d'OAuth. Les informations d'authentification dans OIDC sont transmises du fournisseur OIDC (OP) à la partie de confiance (RP) sous la forme d'un jeton (WT), qui contient des revendications sur l'utilisateur et une authentification d'identité pour ses revendications.
Résumé : Pour réduire la confusion, n'oubliez pas qu'OAuth est un cadre d'autorisation, OpenID est une couche d'authentification et OpenID Connect (OIDC) est un cadre d'authentification qui repose sur OAuth et fournit des services d'authentification et d'autorisation.
5.6.2. Langage de balisage d'assertion de sécurité (SAML)
Security Assertion Markup Language (SAML) est un format de données standard open source basé sur XML qui échange des données d'authentification et d'autorisation entre les parties, en particulier les fournisseurs d'identité et les fournisseurs de services. La dernière version est SAML2.0.
1.Processus d'interaction SAML
Premièrement, il y a le principal (comme un navigateur Web), qui fait une demande à un fournisseur de services (comme une application Web), qui s'appuie sur les assertions d'un fournisseur d'identité (IdP) pour l'identification, l'authentification et l'autorisation de l'utilisateur.
2 Les quatre composants de SAML.
1) Assertions : définit comment les attributs SAML, tels que les protocoles ou les cadres d'informations d'authentification et d'autorisation, sont
Utilisation des services.
2) Liaisons : spécifie comment la communication demande-réponse est effectuée entre les différents participants (tels que les utilisateurs, les fournisseurs d'identité et les fournisseurs de services).
3) Protocoles : spécifie la manière dont les messages sont conditionnés et échangés entre les participants, notamment HTTP et SOAP (Simple Object Access Protocol).
4) Profils : dans une implémentation SAML spécifique, les profils sont une combinaison d'assertions, de liaisons et de protocoles.
Comparaison SAML, OAuth2, QOIDC
5.6.3. Kerbéros
Kerberos est un protocole d'authentification standard ouvert populaire utilisé dans diverses technologies, notamment Linux et UNIX, notamment dans Active Directory de Microsoft. Kerberos a été développé par le MIT et fournit des services d'authentification SSO et de sécurité de bout en bout. La façon dont cela fonctionne consiste à générer des jetons d'authentification, appelés tickets, qui sont émis en toute sécurité aux utilisateurs afin qu'ils puissent accéder davantage aux ressources du réseau. Kerberos utilise une cryptographie à clé symétrique et des clés partagées au lieu de transmettre des mots de passe sur le réseau.
1. Plusieurs composants importants de Kerberos :
1) Principal : parties qui utilisent Kerberos pour l'identification et l'authentification, y compris les utilisateurs et les services ou applications.
2) Centre de distribution de clés (KDC) : utilisé pour effectuer l'enregistrement de nouveaux utilisateurs et maintenir une base de données de clés secrètes.
3) Serveur d'authentification (AS) : gère la génération et la distribution des tickets de subvention (TGT) et effectue la vérification en échangeant des données cryptées pour garantir un accès sécurisé au serveur.
4) Service d'octroi de tickets (TGS) : génère des tickets de session qui sont fournis aux entités de sécurité lorsqu'ils doivent s'authentifier auprès des ressources ou entre eux.
Kerberos au travail
2. Points de risque Kerberos
•KDC est un point de défaillance unique, sauf s'il existe une configuration redondante avec plusieurs serveurs.
• L'authentification et la distribution des tickets dépendent fortement de la synchronisation de l'heure du système dans le domaine Kerberos et nécessitent la prise en charge de NTP, sinon des problèmes d'horodatage se produiront sur les tickets.
5.6.4. RAYON et TACACS
5.6.4.1 RAYON
RADIUS est un protocole d'accès qui fournit des services d'authentification, d'autorisation et de comptabilité (AAA) pour les connexions distantes à un réseau. Il était à l'origine utilisé pour prendre en charge les connexions commutées vers les grands FAI. Il prend en charge plusieurs protocoles d'authentification tels que PAP, CHAP et MS-CHAP, mais crypte uniquement les mots de passe. Étant donné que le protocole UDP est utilisé, davantage de ressources doivent être consommées et des mécanismes de vérification des erreurs doivent être intégrés pour compenser la nature sans connexion d'UDP.
5.6.4.2 TACAC
Le protocole propriétaire de Cisco peut héberger AAA (authentification, autorisation et audit) sur différents serveurs, le transmettre via le port TCP49 et crypter toutes les informations d'authentification.
TACACS prend en charge l'authentification multifacteur.
5.6.4.3 Diamètre
Développé pour surmonter les limites de RADIUS, Diameter est un protocole point à point utilisé par les appareils sans fil et les smartphones, mais il n'est pas rétrocompatible avec RADIUS.
Questions de révision
1 Laquelle des fonctionnalités suivantes est décrite comme un modèle de contrôle d'accès qui se concentre sur les mandataires et identifie les objets auxquels chaque mandataire peut accéder ? A. Liste de contrôle d'accès B. Liste de refus implicite C.Tableau des capacités D.Matrice de gestion des autorisations
C Tableau des capacités des sujets Liste de contrôle d'accès aux objets Sujet-Objet-Matrice
2. L'organisation de Jim prend largement en charge les implémentations IDaaS d'applications basées sur le cloud. L'entreprise de Jim ne dispose pas de personnel interne de gestion des identités et n'utilise pas de service d'identité centralisé. Au lieu de cela, ils s'appuient sur Active Directory pour fournir des services AAA Servir. Laquelle des options suivantes Jim devrait-il recommander comme meilleur moyen de répondre aux besoins d'identité interne de l'entreprise ? A. Intégrez les systèmes internes à l’aide d’OAuth. B. Utilisez un service d'identité tiers local. C. Intégrer les systèmes internes à l'aide de SAML. D. Concevoir une solution interne pour répondre aux besoins uniques de l'organisation.
B P508 La fédération basée sur le cloud utilise généralement un tiers pour partager l'identité fédérée
3. Lequel des éléments suivants n’est pas une faiblesse de Kerberos ? A.KDC est un point de défaillance unique. B.KDC contrôlé par un attaquant permettrait l'usurpation d'identité de n'importe quel utilisateur. C. Les informations d'authentification ne sont pas cryptées. D. Vulnérable à la tentative de deviner le mot de passe.
C
4. À quel type de facteur d'authentification appartient la reconnaissance des formes vocales ? A. Quelque chose que vous savez B. Ce que vous possédez C. Ce que tu es D. Où vous êtes
C
5. Si l'organisation de Susan exige qu'elle se connecte à l'aide d'un nom d'utilisateur, d'un code PIN, d'un mot de passe et d'un scan rétinien, combien de types de facteurs d'authentification différents utilise-t-elle ? R. Une sorte de B. Deux sortes C. Trois types D. Quatre types
B
6.Charies souhaite déployer un système de gestion des informations d'identification (CMS). Il veut garder la clé aussi sécurisée que possible. Parmi les propositions suivantes, laquelle est la meilleure option de conception pour la mise en œuvre de son CMS ? A. Utilisez AES-256 au lieu de 3DES. B. Utilisez des touches longues. C. Utilisez HSM (Hardware Security Module). D. Changez régulièrement votre mot de passe.
C Introuvable, rappelez-vous
7.Bran est chercheur dans une université. Dans le cadre de ses recherches, il a utilisé ses diplômes universitaires pour se connecter à un cluster informatique hébergé à l’Institut de technologie. Une fois connecté, il peut accéder au pôle et utiliser les ressources selon son rôle dans le projet de recherche : et par la même occasion, les ressources et services de son établissement. Qu'a mis en œuvre l'université de Bran pour y parvenir ? A. Empilement de domaines B. Gestion fédérée des identités C. Imbrication de domaines D.Connexion hybride
B
8. Organisez les étapes suivantes dans l'ordre dans lequel elles se produisent pendant le processus d'authentification Kerberos. 1. Générez des tickets client/serveur 2. Générer du TGT (ticket d'octroi de ticket) 3. Générer la clé client/TGS (serveur d'attribution de tickets) 4. Accès des utilisateurs aux services 5. L'utilisateur fournit des informations d'authentification A.5,3,2,1,4 B.5,4,2,1,3 C.3,5,2,1,4 D.5,3,1,.2,4
UN L'option A devrait être 52314
Processus d'authentification Kerberos Le processus d'authentification Kerberos est un protocole interactif impliquant le client, le serveur d'authentification (AS) et le serveur d'attribution de tickets de service (TGS). Ses principales étapes sont les suivantes : 1. Le client envoie une demande d'authentification au serveur d'authentification (AS), qui contient généralement un nom d'utilisateur et un mot de passe. 2. AS vérifie les informations d'identification du client. Si les informations d'identification sont valides, AS génère un « Ticket Granting Ticket » (TGT) crypté. Le TGT contient les informations d'identité de l'utilisateur et une clé de session, et le TGT est renvoyé au client. 3. Le client utilise le mot de passe pour déchiffrer le TGT et obtenir la clé de session. Cette clé de session sera utilisée pour les communications ultérieures. 4. Lorsque le client a besoin d'accéder à un service réseau spécifique, il utilise la clé de session pour générer un « Ticket de service » et l'envoie à TGS. 5. TGS vérifie le TGT du client. Si le TGT est valide, TGS génère un ticket de service crypté, crypte le ticket de service à l'aide de la clé du service et le renvoie au client. 6. Le client envoie le ticket de service au service et le service s'authentifie à l'aide de la clé de session dans le ticket de service. Si le ticket de service est valide, le service permet au client d'accéder aux services requis. Ce processus garantit que l'identité du client est vérifiée et que le client a accès au service demandé. Dans le même temps, le protocole Kerberos utilise des algorithmes de chiffrement à clé symétrique et des horodatages pour protéger la sécurité des données pendant la transmission.
9. Quels sont les principaux problèmes qui résultent souvent du contrôle d’accès décentralisé ? A. Une interruption de l’accès peut survenir. B. Contrôles incohérents. C. Le contrôle est trop fin. D. Les coûts de formation sont élevés.
B
10. Un rappel vers un numéro fixe est un exemple de quel type de facteur d'authentification ? A. Quelque chose que vous savez B où tu es C. Ce que vous possédez D. Ce que tu es
B
11. Kathleen doit configurer une approbation Active Directory pour permettre Domaine Kerberos K5 pour l'authentification. Quel type de relation de confiance doit-elle créer ? A. Une fiducie raccourcie B. Une fiducie forestière C. Une fiducie externe Confiance du domaine D.A
D
12. Lequel des protocoles AAA suivants est le plus couramment utilisé ? A.TACACS B.TACACS C. XTACACS D.Super TACACS
B
14 Les utilisateurs des systèmes Windows ne peuvent pas utiliser la fonctionnalité Envoyer un message. Quel modèle de contrôle d'accès décrit le mieux cette restriction A. Moindre privilège B. besoin de savoir C. Interface limitée D. Séparation des tâches
C Vérifiez le livre
15. Quel type de contrôle d'accès permet au propriétaire d'un fichier d'accorder à d'autres utilisateurs l'accès au fichier à l'aide d'une liste de contrôle d'accès ? A. Basé sur les rôles B. Involontaire C. Basé sur des règles D. Indépendant
D
16.Le travail d’Alex l’oblige à examiner les informations de santé protégées (PHI) pour garantir un traitement approprié des patients. Son accès aux dossiers médicaux des patients n'incluait pas l'accès aux adresses des patients ou aux informations de facturation. Lequel des concepts de contrôle d’accès suivants décrit le mieux ce type de contrôle ? A. Séparation des tâches B. Interface restreinte C.Contrôle contextuel D. besoin de savoir
D
Pour les questions 17 à 19, veuillez vous référer au tableau suivant en fonction de votre compréhension du processus de connexion Kerberos : 17 Au point A du diagramme, le nom d'utilisateur et le mot de passe du client sont envoyés au KDC. Qu'en est-il du nom d'utilisateur et du mot de passe Protégé? Chiffrement A.3DES B. Chiffrement TLS C. Cryptage SSL Cryptage D.AES 18. Au point B du diagramme, après avoir vérifié que le nom d'utilisateur est valide, quelles sont les deux choses importantes que le KDC envoie au client ? élément? A. TGT crypté et clé publique B. Billets d'accès et clés publiques C TGT chiffré, horodaté et clé symétrique chiffrée avec hachage du mot de passe utilisateur D TGT et jeton d'accès cryptés et horodatés 19. Quelles tâches le client doit-il effectuer avant d'utiliser TGT ? A. Il doit générer le hachage du TGT et déchiffrer la clé symétrique. B. Il doit accepter le TGT et décrypter la clé symétrique. C Il doit déchiffrer le TGT et la clé symétrique. D. Il doit envoyer une réponse valide au KDC à l'aide d'une clé symétrique et le TGT doit être installé.
D Microsoft Active Directory prend en charge le chiffrement Rivest Cipher 4 (RC4), Advanced Encryption Standard 128 bits (AES-128), Advanced Encryption Standard 256 bits (AES-256) et le chiffrement Data Encryption Standard (DES). Ces algorithmes de chiffrement sont complétés par des fonctions de hachage cryptographique telles que Secure Hash Algorithm (SHA) et Message Digest Algorithm 5 (MDA5). Il est préférable d'éviter d'utiliser le cryptage DES, considéré comme non sécurisé.
C
B
^ .130102334..%22 %7D&request_id =171202843516800213053640&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~top_positive~default-1-126828074-null-null.142^v100^pc_search_result_base3&utm_term=Kerberos &spm=1018.2226.3001.4187 Explication détaillée
20 Sam envisage de mettre en œuvre un système d'authentification biométrique dans son organisation et envisage d'utiliser l'analyse rétinienne. Quelles préoccupations d'autres membres de son organisation pourraient-ils soulever à propos de l'analyse rétinienne ? A. Les analyses rétiniennes peuvent révéler des informations sur des conditions médicales. B. Le scanner rétinien est douloureux car il nécessite un jet d'air vers l'œil de l'utilisateur. C. Les scanners Retina constituent le type d’appareil biométrique le plus coûteux. D. Les scanners Retina ont un taux de fausses alarmes élevé, ce qui peut entraîner des problèmes de support.
UN
21. Sur quel type de modèle le contrôle d’accès obligatoire est-il basé ? A. Contrôle d'accès discrétionnaire B. Contrôle d'accès basé sur le groupe C. Contrôle d'accès basé sur la grille D. Contrôle d'accès basé sur des règles
C
22. Greg souhaite contrôler l'accès aux iPad utilisés comme terminaux de point de vente dans son organisation. Laquelle des méthodes suivantes doit-il utiliser pour mettre en œuvre un contrôle d'accès logique aux appareils dans un environnement partagé ? A. Utilisez un code PIN partagé pour tous les terminaux de point de vente afin de les rendre plus faciles à utiliser. B. Autorisez chaque utilisateur à se connecter au cloud à l'aide d'OAuth. C. Chaque utilisateur reçoit un code PIN unique pour l'iPad qu'il utilise. D. Utilisez Active Directory et le compte utilisateur pour vous connecter à iad, à l'aide de l'ID utilisateur et du mot de passe AD.
D
23. Quelle est la meilleure façon d’assurer la traçabilité de l’utilisation de l’identité ? A. Journalisation Autorisation B C. Signature numérique D. Certification de type 1
UN Introuvable, rappelez-vous
24 Jim a occupé des postes dans les ressources humaines, la paie et le service client au sein de son entreprise au cours des dernières années. Quel type de processus son entreprise doit-elle mettre en œuvre pour s’assurer qu’il dispose de l’autorité appropriée ? A. Reconfigurer B. Examen du compte C. Extension des privilèges D. Annulation de compte
B
25.À quel type de modèle de contrôle d’accès Biba appartient-elle ? A.MAC B.DAC C. Rôle BAC D.ABAC
UN P525 Le système de fichiers Windows NTFS utilise DAC Le système d'exploitation Windows utilise RBAC Basé sur des règles de pare-feu Réseau défini par logiciel ABAC P530 MAC est basé sur une grille et s'appuie sur des étiquettes de classification, ce qui signifie que Biba et Bell-~ appartiennent à MAC
26. Lequel des éléments suivants est un protocole client/serveur conçu pour permettre à un serveur d'accès réseau d'authentifier des utilisateurs distants en envoyant des messages de demande d'accès à un serveur central ? A. Kerberos B. PAE C. RAYON D.OAuth
C
27.Henry travaille avec l'équipe de développement d'applications Web pour concevoir le processus d'authentification et d'autorisation pour la nouvelle application de l'entreprise. L'équipe souhaite rendre les identifiants de session aussi sécurisés que possible. Parmi les propositions suivantes, laquelle ne constitue pas une bonne pratique qu’Henry devrait recommander ? A. Les jetons d’ID de session doivent être prévisibles. B. L'ID de session doit avoir au moins 64 bits d'entropie. La longueur de la session C doit être d'au moins 128 bits. D. L'ID de session ne devrait avoir aucun sens.
UN
28.Angela utilise un renifleur pour surveiller le trafic vers un serveur RADIUS configuré avec les paramètres par défaut. Quel protocole doit-elle surveiller et quel trafic pourra-t-elle lire ? A.UDP, incapable de lire le trafic. Tout le trafic RADIUS est crypté. B.TCP. Tout le trafic peut être lu sauf le mot de passe, qui est crypté. C.UDP. Tout le trafic peut être lu à l'exception du mot de passe, qui est crypté. D.TCP, impossible de lire le trafic. Tout le trafic RADIUS est crypté.
C
29. Quel type de contrôle d'accès décrit le mieux la fonctionnalité d'évaluation de la posture du NAC ? A. Contrôle d'accès obligatoire B.Contrôle d'accès basé sur les risques C. Contrôle d'accès discrétionnaire D. Contrôle d'accès basé sur les rôles
B P532 Rappelez-vous
30. Quel est un exemple de cas où une application ou un système permet à un utilisateur connecté d'effectuer une action spécifique ? Un rôle B. Gestion du groupe C. Connexion D.Autorisation
D
31. Alex travaille dans l'entreprise depuis plus de dix ans et a occupé divers postes au sein de l'entreprise. Un audit a révélé qu'il avait accès aux dossiers et applications partagés en raison de son poste précédent. Qu'est-il arrivé à l'entreprise d'Alex ? question? A. Surprovisionnement B. Accès non autorisé C. Extension des privilèges Examen du compte D
C
32. Geoff souhaite empêcher les attaques d'élévation de privilèges dans son organisation. Laquelle des pratiques suivantes est la plus susceptible d’empêcher l’élévation latérale des privilèges ? A. Authentification multifacteur B. Restreindre les autorisations aux groupes et aux comptes C. Désactiver les ports et services inutilisés D. Nettoyer les entrées des utilisateurs dans les applications
UN
33.L'environnement Microsoft Exchange de Jim inclut des services sur site Serveurs dans les centres de données et Office 365 pour les employés ne se trouvant pas dans l'un de ces bureaux déployer. Les identités sont créées et utilisées dans les deux environnements et fonctionnent dans les deux. Quel système d'articulation de type tête Jim utilise-t-il ? A. Principaux systèmes cloud B. Système local principal C. Système hybride D.Système multi-locataire
C
34. Le tableau suivant montre quel type de système de contrôle d'accès ? A.RBAC B DAC C MAC DTBAC
C Basé sur la grille, le sujet et l'objet ont des attributs, c'est donc MAC
35. L'entreprise de Michelle divise son département marketing et communication en deux équipes distinctes, créant ainsi un nouveau département. Elle souhaite créer des rôles qui permettent à chaque équipe d'accéder aux ressources. Que doit-elle faire pour maintenir une sécurité et des autorisations appropriées ? A Placez l'équipe marketing dans un groupe existant car elle aura des exigences d'accès similaires. B Conservez l'équipe marketing dans le groupe existant et créez un nouveau groupe de communication en fonction de ses besoins spécifiques. C Conserver l'équipe de communication dans le groupe actuel et créer un nouveau groupe marketing en fonction de ses besoins spécifiques. D. Créez deux nouveaux groupes, évaluez les autorisations dont ils ont besoin pour remplir leurs rôles et ajoutez des autorisations supplémentaires si nécessaire.
D
36. Quel processus se produit lorsqu'un sujet déclare son identité ? A. Connexion B. Identifier C.Autorisation D. Présentation des jetons
B
37. Les chiens, les gardes et les clôtures sont des exemples courants de quel type de contrôle ? A. Type de détection B. Type de récupération C. Type administratif D. Type physique
D
38.L'organisation de Susan met à jour sa politique en matière de mots de passe et souhaite utiliser les mots de passe les plus solides possibles. Quelle exigence de mot de passe a le plus grand impact sur la prévention des attaques par force brute ? A. Modifiez la durée d'utilisation maximale de 1 an à 180 jours. B. Augmentez la longueur minimale du mot de passe de 8 à 16 caractères. C. Augmentez la complexité du mot de passe et exigez au moins trois catégories de caractères (telles que des lettres majuscules, des lettres minuscules, des chiffres et des symboles). D. Conservez un historique de mots de passe d'au moins quatre mots de passe pour éviter leur réutilisation.
B L'augmentation de la longueur a le plus grand impact
39. Alaina effectue régulièrement des examens des comptes de service. Parmi les événements suivants, lequel la préoccupe le plus ? A. Connexion interactive pour les comptes de service B. Modifications du mot de passe pour les comptes de service C. Restrictions sur les autorisations des comptes de service D. Opérations locales utilisant des comptes de service
UN P508 Mots originaux dans le livre - Définir le compte comme compte non interactif
40. Dans une organisation utilisant la biométrie, quand peut-on choisir d’autoriser un FRR plus élevé plutôt qu’un FAR plus élevé ? A. Quand la sécurité est plus importante que la disponibilité B. Lorsque les faux rejets ne posent pas de problème en raison de problèmes de qualité des données C. Lorsque le CER du système est inconnu D. Lorsque le CER du système est très élevé
UN
41 À la suite de récents rapports faisant état d'accès non autorisés à des postes de travail en dehors des heures de bureau, on a demandé à Derek de trouver un moyen de garantir que le personnel de maintenance ne puisse pas se connecter aux postes de travail du bureau d'affaires. Le personnel de maintenance dispose des systèmes de l'organisation dans ses salles de repos et ses bureaux, car il doit toujours accéder à ces systèmes. Que devrait faire Derek pour satisfaire ce besoin ? A nécessite une authentification multifacteur et permet uniquement aux employés de bureau d'avoir des jetons multifacteur. B. Utilisez un contrôle d'accès basé sur des règles pour interdire la connexion en dehors des heures de travail dans la zone de travail. C. À l'aide du contrôle d'accès basé sur les rôles, configurez un groupe contenant tous les responsables et Accorde le droit de se connecter uniquement au poste de travail spécifié. D. Utilisez le géorepérage pour autoriser uniquement la connexion dans les zones de maintenance.
C
42. Nick souhaite implémenter la gestion de session pour son application Web. Parmi les propositions suivantes, lesquelles sont des techniques ou méthodes courantes de gestion de sessions d'applications Web ? (Sélectionnez tout ce qui s'y rapporte.) A. Suivi IP B. Cookies Réécriture C.URL Jeton D.TLS
AVANT JC. souviens-toi
Pour les questions 43 à 45, utilisez vos connaissances en matière d'intégration SAML et de conception d'architecture de sécurité et reportez-vous au scénario et à l'illustration suivants : Alex est responsable de l'intégration SAML avec un partenaire tiers clé qui fournit divers services de productivité d'entreprise à son organisation. 43.Alex est très préoccupé par les écoutes clandestines du trafic SAML et veut s'assurer que les fausses assertions échouent. Que doit-il faire pour prévenir ces attaques potentielles ? A. Fournissez une authentification de sécurité à l'aide du modèle de sécurité SAML. B. Implémentez TLS à l’aide de suites de chiffrement puissantes pour vous protéger contre les deux attaques. C. Implémentez TLS à l’aide de suites de chiffrement fortes et utilisez des signatures numériques. D. Implémentez TLS et le hachage de messages à l'aide de suites de chiffrement fortes. 44. Si l'organisation d'Alex est principalement composée d'utilisateurs externes itinérants, quels risques de disponibilité l'intégration d'applications critiques pour l'entreprise dans l'authentification sur site crée-t-elle, et comment doit-il les gérer ? R. Les intégrations tierces peuvent ne pas être fiables ; elles utilisent SSL et les signatures numériques. B. Si l'organisation locale se déconnecte, les utilisateurs itinérants ne pourront pas accéder aux applications tierces ; mettre en œuvre un système d'authentification local dans le cloud hybride. C. Les utilisateurs locaux peuvent ne pas être redirigés correctement vers des services tiers ; Les navigateurs D peuvent ne pas rediriger correctement ; utilisez un fichier hosts pour garantir que les problèmes de redirection sont résolus. 45. Quelle solution peut le mieux aider à résoudre la redirection SSO contrôlée par un tiers présentée à l'étape 2 À la question? A. Activités de sensibilisation concernant les tiers de confiance B.TLS C. Gérer les redirections sur le site local D. Implémenter IPS pour détecter les attaques de redirection SSO
C
B
ARappelez-vous
46.Susan a été invité à indiquer si son organisation devrait utiliser une solution MAC ou une solution DAC. Si la mise en œuvre du contrôle d’accès nécessite flexibilité et évolutivité, quelle option devrait-elle recommander et pourquoi ? A. MAC, car il offre une plus grande évolutivité et flexibilité, il suffit d'en ajouter d'autres si nécessaire. Il suffit d'étiqueter B.DAC offre une évolutivité en permettant aux administrateurs individuels de sélectionner les objets qu'ils contrôlent. et flexibilité C.MAC, puisque le partitionnement est excellent pour la flexibilité, l'ajout de partitions le rendra bien évolutif sexe D.DAC, parce que le processus décisionnel central peut réagir rapidement et en réduisant le nombre de décisions nécessaires et Le transfert de ces décisions vers une autorité centrale offre évolutivité et flexibilité
B
47.Lequel des outils suivants n'est généralement pas utilisé pour vérifier que les processus de provisionnement sont configurés de manière à garantir la politique de sécurité d'une organisation ? A. Examen du journal B. Examen manuel des autorisations C. Détection basée sur les signatures D. Examiner les enregistrements de la piste d'audit
C souviens-toi
48.Jessica doit envoyer des informations à une organisation tierce sur les services qu'elle fournit. Quel langage de balisage basé sur des normes doit-elle choisir pour créer l'interface ? A.SAML B. SAVON C.SPML D.XACML
C souviens-toi
49. Lors d'un test d'intrusion, Chris a récupéré un fichier contenant des mots de passe hachés pour les systèmes auxquels il tentait d'accéder. Quel type d’attaque est le plus susceptible de réussir contre les mots de passe hachés ? A. Violente attaque B. Attaque via la valeur de hachage Attaque de table arc-en-ciel C D Une attaque de récupération de sel
C
50 L'intégration de l'identité de Google avec une variété d'organisations et d'applications dans tous les domaines est un exemple de lequel des éléments suivants ? A.PKI B. Fédération C. Authentification unique D. Approvisionnement
B souviens-toi
51.Amanda commence un nouvel emploi et découvre qu'elle a accès à divers systèmes dont elle n'a pas besoin au travail. Quel problème a-t-elle rencontré ? A. Dérive des autorisations B. Conflit de limitation C. Moindre privilège D. Trop d'autorisations
D
52. Lorsque Chris authentifie l'identité d'une personne et ajoute un identifiant unique, tel qu'un identifiant d'utilisateur, au système d'identité Quel processus s'est produit ? A. Vérification de l'identité B. S'inscrire C. Gestion des annuaires D. Gestion des sessions
B
53.Selah souhaite assurer la traçabilité comportementale de la principale application métier de son organisation. Quelles sont les mesures de contrôle les plus couramment utilisées dans cette situation ? (Sélectionnez tout ce qui s'y rapporte.) A. Activez la journalisation d’audit. B. Fournissez à chaque employé un compte unique et activez l'authentification multifacteur. C. Activez les exigences de connexion basées sur l'heure et le lieu. D. Fournissez à chaque employé un compte unique et exigez un mot de passe auto-sélectionné.
UN B
54. Chariles souhaite fournir des services d'autorisation dans le cadre de son application Web. S’il souhaite une intégration facile avec d’autres fournisseurs d’identité Web, quelle norme doit-il utiliser ? A.OpenID B.TACACS C. RAYON D.OAuth
D
55 La société de Cameron utilise un système qui permet aux utilisateurs de demander un accès privilégié au système lorsque cela est nécessaire. . Camneron a demandé l'accès et, en raison de son rôle, la demande a été pré-approuvée. Il peut alors accéder au système pour effectuer des tâches. Une fois terminé, les autorisations sont supprimées. Quel type de système utilise-t-il ? A. Confiance zéro B. Gestion fédérée des identités C. Authentification unique D. Accès en temps opportun
D
56. Ene est responsable de la création d'un site Web bancaire. Elle doit vérifier l'identité de l'utilisateur qui s'est inscrit sur le site. Que doit-elle faire pour vérifier l'identité de l'utilisateur ? A. Demandez aux utilisateurs de créer des questions uniques qu'eux seuls connaissent. B. Les nouveaux utilisateurs doivent apporter personnellement leur permis de conduire ou leur passeport à la banque. C. Utilisez les informations dont disposent à la fois la banque et l'utilisateur, telles que les questions tirées de leur rapport de crédit. D. Appelez le numéro de téléphone enregistré de l'utilisateur pour vérifier qui il prétend être.
C
57.L'organisation de Susan fait partie d'une fédération qui permet aux utilisateurs de plusieurs organisations d'accéder aux ressources et services d'autres sites fédérés. Lorsque Susn souhaite utiliser des services sur des sites partenaires, lequel utiliser ? Fournisseur d'identité ? A. Fournisseur d’identité de l’organisation de Susan B. Fournisseur d’identité du fournisseur de services C. Leur fournisseur d’identité et le fournisseur d’identité de leur fournisseur de services D. Le prestataire crée une nouvelle identité
UN
58. Un nouveau client d'une banque qui utilise des scanners d'empreintes digitales pour authentifier les utilisateurs a été surpris de constater que lorsqu'il scannait son empreinte digitale, il était connecté au compte d'un autre client. Quel type d’erreur biométrique s’est produit ? A. Erreur d'enregistrement B. Une erreur de type 1 Erreur C.A Type 2 D. Mauvaise durée d'utilisation et méthode d'utilisation
C
· Taux de faux rejets (FRR) : erreurs de type 1. Les données biométriques valides ne peuvent pas être vérifiées et sont utilisées dans des environnements ayant des exigences de sécurité élevées.
Faux négatif, rejetant le bon utilisateur
•Taux de fausses acceptations (FAR) : erreurs de type 2. Les données biométriques invalides sont identifiées à tort comme des identités valides et sont utilisées dans des environnements avec de faibles exigences de sécurité.
Faux positif, mauvais utilisateur autorisé
59. Quel type de contrôle d'accès est généralement utilisé avec les pare-feu ? A. Contrôle d'accès discrétionnaire B. Contrôle d'accès basé sur des règles C. Contrôle d'accès basé sur les tâches D. Contrôle d'accès obligatoire
B
60. Quelle activité importante de gestion des identités et des accès effectuez-vous lorsque vous saisissez votre identifiant et votre mot de passe ? A.Autorisation B. Vérification C.Attestation D. Connexion
C
61. Katleen travaille dans une installation de colocation de centre de données qui fournit un espace physique de centre de données aux individus et aux organisations. Jusqu'à récemment, chaque utilisateur recevait une carte-clé à bande magnétique pour accéder à la partie de l'installation où se trouvait son serveur, ainsi qu'une clé pour accéder à la cage ou au rack dans lequel se trouvait son serveur. Quelques serveurs ont été compromis au cours des deux derniers mois, mais les journaux de passes n'affichent que des identifiants valides. Quelle est la meilleure option proposée par Keatnleen pour garantir que les utilisateurs du pass sont bien ceux qu'ils sont censés être ? A Ajouter un lecteur de carte qui oblige les utilisateurs de pass à saisir un code PIN, B. Ajoutez un système de caméra à l'installation pour observer qui accède au serveur. C. Ajoutez des facteurs biométriques. D. Remplacez les cartes-clés à bande magnétique par des cartes à puce.
C
62 Theresa souhaite permettre à ses employés de stocker et de gérer en toute sécurité les mots de passe des systèmes, y compris les comptes de service et autres informations d'identification administratives rarement utilisées. Quel type d’outil doit-elle mettre en œuvre pour y parvenir ? A. Authentification unique B. Système d'identité fédéré C. Gestionnaire de mots de passe D. Système d'authentification multifacteur
C souviens-toi
63.Olivia souhaite limiter les commandes qu'un utilisateur peut exécuter via sudo afin de réduire le risque d'attaques par élévation de privilèges. Quel fichier Linux doit-elle modifier pour y parvenir ? Fichier de configuration A.bash .bin Fichier B.sudoers Fichier de configuration .allowed de C. bash Fichier D.sudont
B
64. Quels objets et agents du modèle MAC ont des étiquettes ? R. Les objets et sujets classés comme Confidentiel, Confidentiel ou Top Secret portent des étiquettes. B. Tous les objets ont une étiquette et tous les sujets ont un compartiment. C. Tous les objets et sujets ont une étiquette. D. Tous les sujets ont une étiquette et tous les objets ont un compartiment.
C
Pour les questions 65 à 67, veuillez vous référer aux scénarios et diagrammes suivants : Chris est l'architecte de l'identité d'un site Web de commerce électronique en pleine croissance. Lui et son équipe ont l'intention de tirer parti des identités sociales en permettant aux utilisateurs d'utiliser leurs comptes Google existants comme compte principal sur les sites de commerce électronique. Cela signifie que lorsqu'un nouvel utilisateur se connecte pour la première fois à la plateforme de commerce électronique, il peut choisir d'utiliser son compte Google (en utilisant OAuth 2.0) ou de créer un nouveau compte sur la plateforme en utilisant son adresse e-mail et un mot de passe de son choix. 65. Lorsqu'une application de commerce électronique crée un compte pour un utilisateur Google, le mot de passe de l'utilisateur doit être enregistré Où est-il stocké ? UN. Le mot de passe est stocké dans la base de données de l'application e-commerce. B. Le mot de passe est stocké dans la mémoire du serveur d'applications e-commerce. C. Les mots de passe sont stockés dans le système de gestion de compte de Google. D. Le mot de passe n'est pas stocké, mais une valeur hachée salée est stockée dans Google. dans le système de gestion des comptes. 66. Lequel des éléments suivants est responsable de l'authentification des utilisateurs de Google ? A. Applications de commerce électronique. B. Il existe à la fois une application de commerce électronique et un serveur Google. C. Serveurs Google. D. Le graphique ne fournit pas suffisamment d’informations pour le déterminer. 67. Quel type d'attaque la création et l'échange de jetons d'État visent-ils à empêcher ? A. XSS B. CSRF C.Injection SQL D.XACML
D
C
B Contrefaçon de demande intersite (anglais : falsification de demande intersite), également connue sous le nom d'attaque en un clic ou de session, souvent abrégée en CSRF ou méthode d'opération d'attaque. Comparé au cross-site scripting (XSS), qui tire parti de la confiance de l'utilisateur dans le site Web spécifié, CSRF tire parti de la confiance du site Web dans le navigateur Web de l'utilisateur. la défense: Vérifiez le champ Référent Il y a un champ Referer dans l'en-tête HTTP, qui est utilisé pour indiquer l'adresse d'où provient la requête. Lors du traitement de demandes de données sensibles, de manière générale, le champ Référent doit être sous le même nom de domaine que l'adresse demandée. En prenant l'opération bancaire ci-dessus comme exemple, l'adresse du champ Référent doit généralement être l'adresse Web où se trouve le bouton de transfert, qui doit également se trouver sous www.examplebank.com. S'il s'agit d'une requête issue d'une attaque CSRF, le champ Referer contiendra une adresse contenant une URL malveillante et ne se situera pas sous www.examplebank.com. A ce moment, le serveur pourra identifier l'accès malveillant. Cette méthode est simple et facile à mettre en œuvre, avec une faible charge de travail. Elle ne nécessite qu’une seule étape de vérification aux points d’accès clés. Mais cette méthode a aussi ses limites, car elle dépend entièrement du navigateur pour envoyer le bon champ Referer. Bien que le protocole http ait des réglementations claires sur le contenu de ce champ, il ne peut garantir la mise en œuvre spécifique du navigateur visiteur, ni garantir que le navigateur ne présentera pas de failles de sécurité affectant ce champ. Et il existe également la possibilité que des attaquants attaquent certains navigateurs et altèrent leurs champs Referer. Ajouter un jeton de vérification Étant donné que l'essence du CSRF est que l'attaquant trompe l'utilisateur pour qu'il accède à l'adresse qu'il a définie, si le navigateur de l'utilisateur est tenu de fournir des données qui ne sont pas stockées dans le cookie et ne peuvent pas être falsifiées par l'attaquant à titre de vérification lors de l'accès à des données sensibles, puis l'attaque L'attaquant ne peut plus lancer d'attaques CSRF. Ces données sont généralement un élément de données du formulaire. Le serveur le génère et l'ajoute au formulaire, et son contenu est un nombre pseudo-aléatoire. Lorsque le client soumet une demande via le formulaire, ce numéro pseudo-aléatoire est également soumis pour vérification. Lors d'un accès normal, le navigateur client peut obtenir et renvoyer correctement ce nombre pseudo-aléatoire. Cependant, lors d'attaques trompeuses via CSRF, l'attaquant n'a aucun moyen de connaître à l'avance la valeur de ce nombre pseudo-aléatoire, et le serveur le fera. la valeur du jeton de vérification est vide ou erronée, la demande suspecte sera rejetée.
68. Quel est le nom de votre animal de compagnie ? Avec quel type d'authentification ce problème se produit-il ? A. Certification basée sur les connaissances B. Authentification dynamique basée sur les connaissances C. Authentification hors bande D. Le troisième facteur d'authentification
UN
69. Madhuri crée un tableau des privilèges, objets et principaux attribués pour gérer le contrôle d'accès aux systèmes dont elle est responsable. Chaque fois qu'un mandataire tente d'accéder à un objet, le système vérifie la table pour s'assurer que le mandataire dispose des autorisations appropriées pour l'objet. Quel type de système de contrôle d’accès Madhuri utilise-t-il ? A. Tableau des capacités B. Liste de contrôle d'accès C. Matrice de contrôle d'accès D. Système de gestion des droits des sujets/objets
C
70. En examinant les tickets d'assistance, l'organisation de Ben a découvert que les changements de mot de passe représentaient plus d'un quart de ses cas d'aide. Laquelle des options suivantes est la plus susceptible de réduire considérablement ce chiffre ? A. Authentification à deux facteurs B. Authentification biométrique C. Réinitialisation du mot de passe en libre-service D. Phrase secrète
C souviens-toi
71. La grande organisation de Brian utilise RADIUS pour fournir des services AAA aux périphériques réseau depuis de nombreuses années. et a récemment pris conscience de problèmes de sécurité liés aux informations transmises lors du processus d'authentification. Que devrait faire Brian pour Cryptage d’implémentation RADIUS ? A. Utilisez les capacités de cryptage intégrées à RADIUS. B. Implémentez RADIUS sur son UDP natif en utilisant TLS pour assurer la protection. C. Implémentez RADIUS sur TCP en utilisant TLS pour assurer la protection. D. Utilisez les chiffrements AES256 pré-partagés entre les appareils. .
C RADIUS lui-même utilise le protocole UDP, et après avoir utilisé TLS, c'est le protocole TCP.
72 Jim permet aux applications basées sur le cloud d'accéder en son nom à des informations sur d'autres sites Web. Lequel des outils suivants peut y parvenir ? A. Kerberos B.OAuth C.OpeniD D. LDAP
B Un protocole d'autorisation est requis, c'est donc OAuth
73.L'organisation de Ben a été confrontée à un accès non autorisé à des applications et à des postes de travail pendant les heures de déjeuner, lorsque les employés ne sont pas à leur bureau. Quelle est la meilleure solution de gestion de session que Ben recommanderait pour empêcher ce type d’accès ? A Utiliser les ID de session pour tous les accès et vérifier les adresses IP du système pour tous les postes de travail B. Définissez un délai d'expiration de session pour l'application, utilisez un économiseur d'écran protégé par mot de passe sur le poste de travail et définissez un délai d'expiration d'inactivité. C Utilisez des identifiants de session pour tous les programmes et utilisez des économiseurs d'écran protégés par mot de passe sur les postes de travail. D. Définissez le délai d'expiration de la session pour l'application et vérifiez les adresses IP du système de tous les postes de travail.
B
74 Le diagramme suivant montre quel type de scénario d'authentification A. Union mixte B. Union sur place C. Fédération cloud Fédération D. Kerberos
UN P508 La fédération basée sur le cloud utilise généralement un tiers pour partager l'identité fédérée La fédération hybride est une combinaison de fédération cloud et de fédération sur site
75. Chris souhaite identifier les individus tout en contrôlant l'accès à l'installation. Il veut également s'assurer que ce sont ces personnes qui sont autorisées à entrer et il ne veut pas qu'il y ait des coûts permanents importants. Quelles solutions parmi les options suivantes répondront à toutes ces exigences ? (Sélectionnez tout ce qui s'y rapporte.) A. Personnel de sécurité et pièce d'identité avec photo B. Badge RFID et lecteur avec clavier PIN C. Lecteur de badge et de carte à bande magnétique avec clavier NIP D. Personnel de sécurité et lecteurs de bandes magnétiques
AVANT JC.
76. À quel type de deuxième facteur d'authentification appartient un appareil comme une clé de sécurité Yubikey ou Titan ? Un jeton B. Identifiants biométriques C. Carte à puce D. PIV
UN souviens-toi
77. Quelle technologie d'authentification peut être associée à OAuth pour authentifier et obtenir des informations de profil utilisateur à l'aide de l'API RESTful ? A.SAML B.Shibboleth C. OpenID Connect D. Higgins
C
78.Jim souhaite mettre en œuvre un système de contrôle d'accès pour garantir que les utilisateurs ne peuvent pas déléguer l'accès. Il souhaitait également imposer un contrôle d'accès au niveau du système d'exploitation. Quel mécanisme de contrôle d’accès répond le mieux à ces exigences ? A. Contrôle d'accès basé sur les rôles B. Contrôle d'accès discrétionnaire C. Contrôle d'accès obligatoire D. Contrôle d'accès basé sur les attributs
C
79.L'administrateur de sécurité de l'entreprise de Susan a configuré le poste de travail qu'elle utilise pour lui permettre de se connecter uniquement pendant les heures de travail. Quel type de contrôle d’accès décrit le mieux cette restriction ? A. Interface restreinte B. Contrôle contextuel C. Contrôles liés au contenu D. Moindre privilège
B
80.Ben utilise un jeton logiciel qui change le code toutes les minutes. Quel type de jeton utilise-t-il ? A. Asynchrone B. Carte à puce C. Synchronisation D. Statique
C
81. Un pare-feu est un exemple de quel type de mécanisme de contrôle d'accès ? A. Contrôle d'accès obligatoire B. Contrôle d'accès basé sur les attributs C. Contrôle d'accès discrétionnaire D. Contrôle d'accès basé sur des règles
D
82.Michelle travaille pour une société de services financiers et souhaite enregistrer des clients pour son application Web. Si elle souhaite vérifier rapidement et automatiquement que la personne est bien celle qu’elle prétend être lors de sa première connexion sans avoir à entretenir de relation préalable avec elle, quel type de mécanisme d’authentification peut-elle utiliser ? A. Demandez leur numéro de sécurité sociale. B. Utilisez l'authentification basée sur les connaissances. C. Effectuez une authentification manuelle. D. Utiliser des facteurs biométriques.
B souviens-toi
83 L'entreprise de Megan souhaite utiliser les comptes Google pour adopter rapidement son application Web. Quelles technologies communes de fédération cloud Megan doit-elle mettre en œuvre ? (Sélectionnez tout ce qui s'y rapporte) A. Kerberos B.OpeniD C.OAuth D. RAYON
AVANT JC.
84. La longueur de l'ID de session et la taille de l'ID de session sont essentielles pour prévenir quel type d'attaque ? A. Déni de service B. Vol de cookies C. Conversation devinant D. Attaque de l'homme du milieu
C
85. Le système de contrôle d'accès de l'organisation de Naomi vérifie que son ordinateur est entièrement branché, qu'une analyse anti-malware a réussi et que le pare-feu est activé, entre autres vérifications de sécurité, avant de lui permettre de se connecter au réseau. S'il y a un problème potentiel, elle ne pourra pas se connecter et devra contacter l'assistance. Quel type de système de contrôle d’accès décrit le mieux ce type de processus ? A.MAC B. Contrôle d'accès basé sur des règles C. Contrôle d'accès basé sur les rôles D. Contrôle d'accès basé sur les risques
D
86. Isabelle souhaite empêcher les attaques d'élévation de privilèges sur les comptes de service de son organisation. Laquelle des pratiques de sécurité suivantes Le mieux pour cette situation ? A. Supprimez les autorisations inutiles. B Désactivez la connexion interactive pour le compte de service. C. Limiter le temps de connexion au compte. D. Utilisez des noms de compte de service dénués de sens ou aléatoires.
UN
87. Quels sont les dangers de permettre aux parties utilisatrices d'OpenID de contrôler les connexions aux fournisseurs OpenID ? A. Peut entraîner une sélection incorrecte du fournisseur OpenLD. B. Possibilités d'attaques de phishing en envoyant des données à de faux fournisseurs OpenID. C. Les parties utilisatrices peuvent être en mesure de voler les noms d'utilisateur et les mots de passe des clients. D. La partie utilisatrice ne peut pas envoyer d'assertion signée.
B
88. Jim met en œuvre une solution d'identité cloud pour son organisation. Quel type de technologie utilise-t-il ? A. Identité en tant que service B. Le statut de salarié en tant que service C. RADIUS basé sur le cloud D.OAuth
UN IDaaS
89.Kisten souhaite contrôler l'accès à une application dans l'organisation en fonction du poste de l'employé, des autorisations d'application requises pour chaque groupe de postes, de l'heure et du lieu. Quel type de système de contrôle devrait-elle choisir ? Un contrôle d'accès de base d'attribut (ABAC) B. Contrôle d'accès discrétionnaire (DAC) C. Contrôle d'accès obligatoire (MAC) D. Contrôle d'accès de base des attributs de rôle (rôle BAC)
UN
90. Lorsqu'Alex définit les autorisations indiquées dans le diagramme ci-dessous en tant qu'utilisateur sur un serveur Linux, quel type de modèle de contrôle d'accès utilise-t-il ? $ chmod 7313 al $1s-la total 12 drwxr-xr-x 3 racine drwxr-xr-x 3 racine A. Contrôle d'accès basé sur les rôles B. Contrôle d'accès basé sur des règles C. Contrôle d'accès obligatoire (MAC) D. Contrôle d'accès discrétionnaire (DAC)
D
91.Joanna dirige l'équipe de gestion de l'identité de son organisation et souhaite s'assurer que les rôles sont mis à jour à mesure que les employés accèdent à de nouveaux postes. Sur quelle problématique des employés devrait-elle se concentrer pour éviter des problèmes de définition des rôles ? A. S'inscrire B. Dérive des autorisations C.Abolition D. Responsabilités du compte
B
92Quel type de mécanisme d’autorisation est présenté dans la figure ci-dessous ? A. Contrôle d'accès basé sur les rôles (RBAC) B. Contrôle d'accès de base d'attribut (ABAC) C. Contrôle d'accès obligatoire (MAC) D. Contrôle d'accès discrétionnaire (DAC)
UN
93. Susan résout un problème d'authentification Kerberos, qui inclut un TGT (ticket octroyant un ticket) non accepté comme ticket valide, "et une incapacité à obtenir un nouveau ticket. Si le système qu'elle dépanne a été correctement configuré pour l'authentification Kerberos , son nom d'utilisateur et son mot de passe sont corrects. Sa connexion réseau est correcte, quel pourrait être le problème ? A.Le serveur Kerberos est hors ligne. B. Il y a une incompatibilité de protocole. C. Le TGT du client est marqué comme compromis et non autorisé. D Les horloges du serveur Kerberos et du client local ne sont pas synchronisées.
D
94. Brian souhaite expliquer les avantages de la fédération locale à la direction de l'organisation. Laquelle des options suivantes ne constitue pas un avantage courant des systèmes d’identité fédérée ? A. Simplifiez la gestion des comptes B. Authentification unique C. Prévenir les attaques par force brute D. Augmenter la productivité
C
95.La banque d'Aaron souhaite permettre à ses clients d'utiliser une nouvelle application complémentaire fournie par un partenaire tiers avec lequel elle travaille. Étant donné que tous les clients ne souhaitent pas ou n'ont pas besoin d'un compte, Aaron recommande aux banques d'utiliser un flux de travail basé sur SAML qui crée un compte lorsqu'un utilisateur télécharge l'application et tente de se connecter. Quel type de système de configuration recommande-t-il ? A. Configuration juste à temps (JIT) B.OpeniD C.OAuth D. Kerberos
UN
96.Quel protocole d'authentification Windows utilise-t-il par défaut pour les systèmes Active Directory ? A. RAYON B. Kerberos C.OAuth D.TACACS
B Kerberos : Kerberos est le service d'authentification par défaut pour Active Directory
97.Valérie doit contrôler l'accès aux applications déployées sur les appareils mobiles dans un environnement BYOD. Quel type de solution lui permettrait le mieux d'exercer un contrôle sur les applications tout en s'assurant qu'elles ne laissent pas de données résiduelles sur les appareils utilisés par les utilisateurs finaux ? A. Déployez l'application sur les appareils BYOD et exigez un code PIN unique pour chaque appareil. B a déployé les applications sur le système de bureau et demande aux utilisateurs d'y accéder en utilisant l'authentification d'entreprise à l'aide d'une interface distante. C. Utilisez un conteneur d'applications pour déployer le siège d'application sur les appareils BY0D et exigez un code PIN unique pour chaque appareil. D. L'utilisation d'un environnement d'application hébergé virtuel nécessite une authentification à l'aide des informations d'identification de l'entreprise.
D
98. Faites correspondre les mécanismes d'autorisation suivants avec leurs descriptions : 1. Contrôle d'accès de base des attributs basés sur les rôles (Role-BAC) 2. Contrôle d'accès de base aux attributs basé sur des règles (Règle BAC) 3. Contrôle d'accès discrétionnaire (DAC) 4. Contrôle d'accès de base d'attribut (ABAC) 5. Contrôle d'accès obligatoire (MAC) A. Un modèle de contrôle d’accès appliqué par le système d’exploitation. B. Accordez des autorisations ou des droits en fonction des exigences de correspondance par adresse IP, heure ou autres détails spécifiques. C. Parfois appelé contrôle d'accès basé sur des politiques, ce modèle utilise des informations sur le principal pour attribuer des autorisations. D. Un modèle qui accorde aux mandataires les autorisations appropriées pour attribuer ou transmettre ces autorisations à d'autres mandataires. E. Utilisé pour attribuer des autorisations en fonction du travail ou de la fonction.
1E2B3D4C5A
99. Associer les technologies d’authentification numérique aux catégories appropriées. Chaque technologie doit être associée à une catégorie. Chaque catégorie peut être utilisée une fois, plusieurs fois ou pas du tout. Technologie d'authentification 1. Mot de passe 2.Carte d'identité 3. Scan de la rétine 4. Jeton mobile 5. Analyse des empreintes digitales catégorie: A. quelque chose possédé B. Quelque chose à savoir C. est quelque chose
1B2A3C4A5C
100. Faites correspondre les contrôles d’identité et d’accès suivants aux types d’actifs qu’ils sont les mieux adaptés à protéger. Chaque option ne peut être sélectionnée qu'une seule fois. 1. Actifs informationnels 2.Système 3. Appareils mobiles 4. Installations 5. Candidatures partenaires A. Contrôle d'accès discrétionnaire B. Lecteur de carte de contrôle d'accès C. Gestion fédérée des identités D. Authentification biométrique E. Comptes d'utilisateurs avec authentification multifacteur
1A2E3D4B5C