第5章 身份和访问管理
2023-03-28 09:32:08 2 举报
AI智能生成
CISPP考试 第五章 身份和访问管理
作者其他创作
大纲/内容
2. 控制和监控访问
2.1 比较访问控制模型
比较权限、权力和特权
权限
权力
特权
理解授权机制
隐式拒绝
访问控制矩阵
能力表
约束接口
基于内容的控制
基于上下文的控制
因需可知
最小特权
职责分离
使用安全策略定义需求
介绍访问控制模型
自主访问控制
基于角色的访问控制
基于规则的访问控制
基于属性的访问控制
强制访问控制
基于风险的访问控制
自主访问控制
非自主访问控制
基于角色的访问控制
基于规则的访问控制
基于属性的访问控制
强制访问控制
基于风险的访问控制
2.2 实现认证系统
互联网上实现SSO
XML
SAML
OAuth
OpenID
OIDC
在内部网络上实现SSO
AAA
Kerberos
RADIUS
TACACS+
2.3 了解访问控制攻击
常见访问控制攻击
特权提升
使用su和sudo命令
尽量减少sudo命令的使用
口令攻击
字典攻击
暴力破解攻击
喷射攻击
凭证填充攻击
生日攻击
彩虹表攻击
Mimikatz
哈希传递攻击
Kerberos漏洞利用攻击
嗅探攻击
欺骗攻击
核心保护方法
控制对系统的物理访问
控制对文件的电子访问
哈希和加盐口令
使用口令掩码
部署多因素身份认证
使用账户锁定控制
使用上次登录通知
1. 管理身份和认证
1.1 控制对资产的访问
控制物理和逻辑访问
人、信息、系统、设备、设施、应用程序都是资产
CIA三性和访问控制
1.2 管理身份标识和认证
比较主体和客体
主体:主体是一种活动实体,访问被动客体以及客体接收信息或数据
客体:客体是一个被动实体,可以向活动主体提供信息
身份注册、证明和创建
授权和问责
授权:授权表示可以信任谁来执行特定操作
问责:审计、日志记录和监控可以确保主体对其行为负责
身份认证因素
你知道什么
口令策略组件
最长期限
口令复杂度
口令长度
最短期限
口令历史
权威口令建议
口令必须经过哈希
口令不应该过期
不应要求用户使用特殊字符
用户可以复制和粘贴口令
用户可以使用所有字符
口令长度至少为8个字符,最多为64个字符
口令系统应该筛选口令
你拥有什么
智能卡
令牌
同步动态口令令牌
异步动态口令令牌
你是什么
指纹
面部扫描
视网膜扫描
虹膜扫描
手掌扫描
声纹识别
多因素身份认证
MFA:使用两个或更多因素的身份认证
使用身份认证应用程序进行双因素身份认证
HOTP
TOTP
无口令身份认证
设备身份认证
服务身份认证
双向身份认证
1.3 实施身份管理
单点登录
SSO:是一种集中式访问控制技术,允许主体在系统上进行单次身份认证并访问多个资源,而不必再次进行身份认证
LDAP与集中式访问控制
LDAP与PKI
SSO与联合身份标识
基于云的联合
本地联合
混合联合
准时制
凭证管理系统
凭证管理器应用程序
脚本访问
会话管理
1.4 管理身份和访问配置生命周期
配置和入职
取消配置和离职
定义新角色
账户维护
账户访问审查
0 条评论
下一页