Сравнить модели контроля доступа

Внедрить систему аутентификации

Понимание атак на контроль доступа

Изучите концепции обучения модели управления доступом на основе ролей (RBAC). Модель RBAC использует роли на основе задач, где пользователи получают привилегии, когда администратор назначает учетную запись пользователя роли или группе. Когда пользователь удаляется из роли, разрешения, полученные пользователем благодаря членству в роли, аннулируются.

Понять основные концепции модели DAC дискреционного контроля доступа. Модель управления доступом на основе правил использует групповые правила, ограничения или фильтры для определения доступа. Список контроля доступа брандмауэра определяет список правил, разрешающих и блокирующих доступ.

Понимание основных концепций модели управления доступом на основе ролей RBAC. Модель RBAC использует роли на основе задач. Когда администратор назначает учетную запись пользователя роли или группе, пользователь получает привилегии. Удаление пользователя из роли приведет к аннулированию разрешений, полученных пользователем благодаря членству в роли.

Понять основные концепции модели управления доступом на основе правил. Модель управления доступом на основе правил использует набор правил, ограничений или фильтров для определения доступа. Список контроля доступа брандмауэра определяет список правил, которые разрешают доступ и организуют доступ.

Узнайте о методах единого входа, используемых в Интернете. Единый вход (SSO) — это механизм, который позволяет субъекту пройти аутентификацию один раз для доступа к нескольким объектам без необходимости повторной аутентификации. Язык разметки утверждений безопасности (SAML) — это открытый стандарт на основе XML для обмена информацией аутентификации и авторизации. OAuth 2.0 — это платформа авторизации, описанная в RFC 6749 и поддерживаемая многими веб-сайтами. OASIS поддерживает OpeniD и OpenID (ComecOIDC обеспечивает аутентификацию личности). OIDC использует структуру OAutb и основан на стандарте OpenID для обеспечения аутентификации и авторизации.

Динг объясняет основные концепции модели управления доступом на основе атрибутов (ABAC). Модель ABAC представляет собой расширенную реализацию модели управления доступом на основе правил, в которой используются правила на основе атрибутов. Программно-определяемые сети (SDN) часто используют модель ABAC.

Понять основные концепции модели обязательного контроля доступа (MAC). Модель MAC использует метки для идентификации доменов безопасности. Для доступа к объекту у субъекта должны быть соответствующие теги. Модель MAC реализует принцип «необходимости знать» и поддерживает многоуровневые среды, разделенные среды или гибридную среду, представляющую собой комбинацию этих двух. Модели MAC часто называют моделями на основе решетки.

Понять основные концепции модели управления доступом на основе рисков. Модель управления доступом на основе рисков оценивает среду и сценарии и принимает решения на основе программных политик безопасности. Эта модель может контролировать доступ на основе множества факторов, таких как местоположение пользователя на основе IP-адреса, вошел ли пользователь в систему с использованием многофакторной аутентификации и устройство, которое использует пользователь. Его продвинутая реализация может использовать машинное обучение для оценки рисков.

Узнайте о Керберосе. Kerberos — это метод единого входа, наиболее часто используемый организациями. Основная цель Kerberos — аутентификация личности. Kerberos использует симметричную криптографию и воду билетов для подтверждения личности и обеспечения аутентификации личности. Сервер и служба протокола сетевого времени (ANTP) синхронизируются по времени, и все клиенты в сети синхронизируются по времени.

Поймите цель соглашения AAa. Некоторые протоколы AAA предоставляют централизованные услуги аутентификации, авторизации и учета. Системы доступа к сети (или удаленного доступа) используют протокол AAA. Например, сервер доступа к сети является клиентом сервера RADIUS, а сервер RADIU предоставляет услуги AAA. RADIUS использует протокол UDP и шифрует только пароли. TACACS использует протокол TCP и шифрует весь сеанс. Diameter основан на RADIUS и устраняет многие недостатки RADIUS, но Diameter несовместим с RADIUS.

Узнайте о повышении привилегий. После того как злоумышленник скомпрометировал одну систему, он использует методы повышения привилегий для получения дополнительных привилегий. Злоумышленники часто сначала пытаются получить дополнительные привилегии в скомпрометированной системе. Злоумышленник также может получить доступ к другим системам в сети и попытаться получить более высокие привилегии. Ограничивая привилегии учетных записей вспомогательных служб, включая минимизацию использования учетных записей sudo, можно снизить вероятность успеха некоторых атак с целью повышения привилегий.

Узнайте об атаках с передачей хэша. Атака с передачей хэша позволяет злоумышленнику выдать себя за пользователя, используя захваченный хеш пароля пользователя (вместо пароля пользователя). Атаки с передачей хэша обычно используют уязвимости NTLM, но злоумышленники также могут запускать аналогичные атаки на другие протоколы, включая Kerberos.

Узнайте об атаках с использованием эксплойтов Kerberos. Атаки Kerberos пытаются использовать уязвимости в билетах Kerberos. В некоторых атаках злоумышленники захватывают билеты, сохраненные в процессе lsas.exe, и запускают атаку с передачей билетов. Серебряный билет предоставляет все разрешения сервисной учетной записи злоумышленника. Получение хэша пароля учетной записи службы Kerberos (KRBTGT) позволяет злоумышленнику создать золотой билет, тем самым создавая произвольные билеты в Active Directory.

Узнайте, как работают грубая сила и атаки по словарю. Атаки грубой силы и атаки кода, нацеленные на украденные файлы базы данных паролей или запросы на вход в систему для получения паролей. При атаке методом перебора злоумышленник перебирает все возможные комбинации символов клавиатуры, а при атаке по словарю используется заранее определенный список возможных паролей. Элементы управления блокировкой учетной записи эффективно защищают от онлайн-атак.

Узнайте, как соль и перец помогают предотвратить атаки на пароли. Соление помогает защититься от атак по радужным таблицам, добавляя дополнительные биты к паролю перед его хешированием. Некоторые алгоритмы, такие как Argon2, borypt и функция получения ключей на основе пароля 2PBKDF2), добавляют соль и выполняют алгоритм хэширования несколько раз. Соль хранится в той же базе данных, что и хэш пароля. Перец — это очень большая константа, которая еще больше повышает безопасность хешированного пароля, хранящегося где-то за пределами базы данных хешированных паролей.

Узнайте об атаках с перехватом. При атаке с перехватом (или атаке слежения) злоумышленник использует инструмент перехвата пакетов (например, сниффер или анализатор протоколов) для захвата, анализа и чтения данных, передаваемых по сети. Злоумышленники могут легко прочитать данные, отправленные по сети в виде открытого текста, но шифрование передаваемых данных может защитить от таких атак.

Узнайте о спуфинг-атаках. Спуфинг представляет собой выдачу себя за что-то или кого-то другого и может применяться к различным типам атак, включая атаки на контроль доступа. Злоумышленники часто пытаются получить учетные данные пользователя и тем самым выдать его личность. Спуфинг-атаки включают подмену электронной почты, подмену номера телефона и подмену IP-адреса. Многие фишинговые атаки используют методы обмана.

1 Что из следующего лучше всего описывает принцип неявного отказа? A. Разрешить все операции, которые явно не запрещены. Б. Любое поведение, не разрешенное явно, запрещено. C. Все действия должны быть явно отвергнуты. Д. Ничего из вышеперечисленного.

2. Таблица включает в себя несколько объектов и субъектов, определяя конкретные права доступа каждого субъекта к различным объектам. эта форма как это называется? А. Список контроля доступа Б. Матрица контроля доступа С. Альянс D. Расползание привилегий

3 Вы внимательно изучаете модели управления доступом и хотите реализовать модель, которая позволит владельцам объектов предоставлять привилегии другим пользователям. Какая из следующих моделей контроля доступа отвечает этому требованию? A. Модель обязательного контроля доступа (MAC) B. Модель дискреционного контроля доступа (DAC) С. Модель управления доступом на основе ролей (RBAC) D. Модель контроля доступа на основе правил

4.Какая из следующих моделей контроля доступа позволяет владельцам данных изменять разрешения? А. Дискреционный контроль доступа (DAC) Б. Обязательный контроль доступа (MAC) С. Управление доступом на основе правил D. Контроль доступа на основе рисков

5. Централизованный орган авторизации определяет, к каким файлам пользователи могут получить доступ, на основе иерархии организации. Что из перечисленного наиболее соответствует в этот момент? А. Модель ЦАП Б. Список контроля доступа (ACL) C. Модель контроля доступа на основе правил D. Модель RBAC

6. Какое из следующих утверждений о модели RBAC верно? О. Модель RBAC позволяет пользователям быть членами нескольких групп. Б. Модель RBAC позволяет пользователям быть членами одной группы. C. Модель RBAC не является иерархической. Модель D.RBAC использует метки.

7. Вы внимательно изучаете различные модели контроля доступа. Что из следующего лучше всего описывает модель управления доступом на основе правил? А. Используйте локальные правила, которые применяются индивидуально к пользователям. Б. Используйте глобальные правила, которые применяются индивидуально к пользователям. C. Используйте локальные правила, которые одинаково применяются ко всем пользователям. D. Используйте глобальные правила, которые одинаково применимы ко всем пользователям.

8. Ваша организация рассматривает возможность развертывания программно-определяемой сети (SDN) в центре обработки данных. Какие модели контроля доступа обычно используются в SDN? A. Модель обязательного контроля доступа (MAC) B. Модель управления доступом на основе атрибутов (ABAC) C. Модель управления доступом на основе ролей (RBAC) D. Модель дискреционного контроля доступа (DAC)

9 моделей MAC поддерживают различные типы сред. Какие из следующих тегов поддерживают доступ пользователей путем назначения предопределенных тегов? А. Среда раздела Б. Многоуровневая среда C. Централизованная среда D.Смешанная среда

10. Какая из следующих моделей контроля доступа определяет верхние и нижние ограничения доступа для субъектов, имеющих метки? А. Недискреционный контроль доступа Б. Обязательный контроль доступа (MAC) C. Дискреционный контроль доступа (DAC) D. Управление доступом на основе атрибутов (ABAC)

11. Какая из следующих моделей контроля доступа использует теги и часто называется моделью на основе решетки? А.DAC Б. Неавтономный C.MAC Д.РБАК

12. Руководство ожидает, что пользователи будут использовать многофакторную аутентификацию при доступе к облачным ресурсам. Какая из следующих моделей контроля доступа удовлетворяет этому требованию? A. Контроль доступа на основе рисков Б. Обязательный контроль доступа (MAC) C. Управление доступом на основе ролей (RBAC) D. Дискреционный контроль доступа (DAC)

13. Какая из следующих моделей контроля доступа определяет права доступа в зависимости от среды и контекста? A. Контроль доступа на основе рисков Б. Обязательный контроль доступа (MAC) C. Управление доступом на основе ролей (RBAC) D. Управление доступом на основе атрибутов (ABAC)

14. Поставщик облачных услуг внедрил технологию единого входа с использованием веб-токенов JSON. Токен предоставляет информацию для аутентификации и включает профиль пользователя. Что из следующего лучше всего характеризует эту технологию? А. ОИДК B.OAuth C.SAML Д.OpenID

15. У некоторых пользователей вашей сети возникают проблемы с аутентификацией на сервере Kerberos. При устранении неполадок вы проверяете, можете ли вы войти на свой обычный рабочий компьютер. Однако вы не можете войти на компьютер пользователя, используя свои собственные учетные данные. Что из следующего, скорее всего, решит эту проблему? А. Расширенный стандарт шифрования (AES) Б. Контроль доступа к сети (VAC) С. Язык разметки утверждений безопасности (SAML) D. Протокол сетевого времени (NTP)

16 Ваша организация имеет большую сеть, поддерживающую тысячи сотрудников, и использует Kerberos. Что из перечисленного является основным использованием? А. Конфиденциальность Б. Полнота C. Аутентификация личности D.Подотчетность

17. Какова роль сервера доступа к сети в архитектуре RADIUS? А. Сервер аутентификации Б. Клиент Сервер C.AAA Д. Брандмауэр

18. Ларри управляет сервером Linux. Иногда Лари необходимо выполнять команды с привилегиями корневого уровня. Если злоумышленник скомпрометирует учетную запись Ларри, руководство хочет гарантировать, что злоумышленник не сможет запускать команды с привилегиями корневого уровня. Что из следующего является лучшим вариантом? А. Предоставьте Ларри доступ к sudo. Б. Дайте Ларри пароль root. C. Добавьте учетную запись Ларри в группу «Администраторы». D. Добавьте учетную запись Ларри к учетной записи LocalSystem.

19. Злоумышленники используют инструменты для эксплуатации уязвимостей в NTLM. Они идентифицируют учетную запись администратора. Хотя пароль администратора не был получен, злоумышленник получил доступ к удаленной системе, выдав себя за администратора. Что из следующего лучше всего описывает эту атаку? А. Доставка билетов Б. Золотой билет C.Радужный стол D. Хэш-проход

20. Недавно в службах вашей организации произошла серьезная утечка данных. После расследования аналитики безопасности обнаружили, что злоумышленники использовали золотые билеты для доступа к сетевым ресурсам. В каком элементе злоумышленник воспользовался уязвимостью? А. РАДИУС Б. САМЛ К. Керберос Д. ОИДК