Table des matières:
- Identification et authentification (I & A)
- Autorisation
- La reddition de comptes utilise des composants du système tels que des pistes d'audit (enregistrements) et des journaux pour associer un utilisateur à ses actions. Les journaux d'audit et les journaux sont importants pour
- Les techniques de contrôle d'accès sont généralement classées soit
Vidéo: ACL Etendue (KHALID KATKOUT) 2025
Le contrôle d'accès est la possibilité d'autoriser ou de refuser l'utilisation d'un objet (une entité passive, telle qu'un système ou un fichier) par un sujet (entité active, telle qu'un individu ou un processus).
Les systèmes de contrôle d'accès fournissent trois services essentiels:
- Identification et authentification (I & A): Ceux-ci déterminent qui peut se connecter à un système.
- Autorisation: Ceci détermine ce qu'un utilisateur autorisé peut faire.
- Responsabilité: Ceci identifie ce qu'un utilisateur a fait.
Identification et authentification (I & A)
Identification et authentification (I & A) est un processus en deux étapes qui détermine qui peut se connecter à un système.
- L'identification correspond à la façon dont un utilisateur dit à un système qui il est (par exemple, en utilisant un nom d'utilisateur).
• Le composant d'identification d'un système de contrôle d'accès est normalement un mécanisme relativement simple basé sur un nom d'utilisateur ou un identifiant d'utilisateur.
- Dans le cas d'un système ou d'un processus, l'identification est généralement basée sur
• Nom de l'ordinateur
• Adresse MAC (Media Access Control)
• Adresse IP (Internet Protocol)
• ID de processus (PID)
- Les seules exigences pour l'identification sont que l'identification
• Doit identifier de manière unique l'utilisateur.
• Ne doit pas identifier la position ou l'importance relative de cet utilisateur dans une organisation (comme des libellés tels que président ou PDG ).
• Évitez d'utiliser des comptes utilisateur communs ou partagés, tels que root , admin et sysadmin .
• De tels comptes n'offrent aucune responsabilité et sont des cibles juteuses pour les pirates informatiques.
- L'authentification est le processus de vérification de l'identité revendiquée d'un utilisateur (par exemple, en comparant un mot de passe entré au mot de passe stocké sur un système pour un nom d'utilisateur donné). L'authentification est basée sur au moins l'un de ces trois facteurs:
• Ce que vous connaissez, tel qu'un mot de passe ou un numéro d'identification personnel (PIN). Cela suppose que seul le propriétaire du compte connaît le mot de passe ou le code PIN nécessaire pour accéder au compte. Malheureusement, les mots de passe sont souvent partagés, volés ou devinés.
• Quelque chose que vous avez, comme une carte à puce ou un jeton. Cela suppose que seul le propriétaire du compte dispose de la carte à puce ou du jeton nécessaire pour déverrouiller le compte.
• Malheureusement, les cartes à puce ou les jetons peuvent être perdus, volés, empruntés ou dupliqués.
• Quelque chose que vous êtes, , comme les caractéristiques de l'empreinte digitale, de la voix, de la rétine ou de l'iris.Cela suppose que le doigt ou le globe oculaire attaché à votre corps est réellement le vôtre et vous identifie de façon unique.
• L'inconvénient majeur est l'acceptation par l'utilisateur - de nombreuses personnes ne sont pas à l'aise avec l'utilisation de ces systèmes.
Autorisation
Autorisation (ou établissement ) définit les droits et les autorisations d'un utilisateur sur un système. Une fois qu'un utilisateur (ou processus) est authentifié, l'autorisation détermine ce que cet utilisateur peut faire sur le système.
La plupart des systèmes d'exploitation modernes définissent des ensembles d'autorisations qui sont des variantes ou des extensions de trois types d'accès:
- Lire (R): L'utilisateur peut
Lire le contenu
- Écrire (W): L'utilisateur peut modifier le contenu d'un fichier ou d'un répertoire avec les tâches suivantes:
• Ajouter
• Créer
• Supprimer > • Renommer
Exécuter (X):
- Si le fichier est un programme, l'utilisateur peut exécuter le programme. Ces droits et autorisations sont implémentés différemment dans les systèmes basés sur
contrôle d'accès discrétionnaire ( DAC) et contrôle d'accès obligatoire (MAC). Responsabilisation
La reddition de comptes utilise des composants du système tels que des pistes d'audit (enregistrements) et des journaux pour associer un utilisateur à ses actions. Les journaux d'audit et les journaux sont importants pour
Détecter les violations de sécurité
- Recréer les incidents de sécurité
- Si personne ne consulte régulièrement vos journaux et qu'ils ne sont pas gérés de manière sécurisée et cohérente, ils peuvent ne pas être admissibles. preuve.
De nombreux systèmes peuvent générer des rapports automatisés en fonction de certains critères ou seuils prédéfinis, appelés
niveaux de détourage . Par exemple, un niveau d'écrêtage peut être défini pour générer un rapport pour: Plus de trois tentatives d'ouverture de session échouées sur une période donnée
- Toute tentative d'utilisation d'un compte utilisateur désactivé
- Ces rapports aident un administrateur système ou l'administrateur de sécurité identifie plus facilement les tentatives de rodage possibles.
Techniques de contrôle d'accès
Les techniques de contrôle d'accès sont généralement classées soit
discrétionnaire soit obligatoire . Comprendre les différences entre le contrôle d'accès discrétionnaire (DAC) et le contrôle d'accès obligatoire (MAC), ainsi que les méthodes de contrôle d'accès spécifiques dans chaque catégorie, est essentiel pour réussir l'examen Security +. Contrôle d'accès discrétionnaire
D
Contrôle d'accès discrétionnaire (DAC) est une politique d'accès déterminée par le propriétaire d'un fichier (ou d'une autre ressource). Le propriétaire décide qui est autorisé à accéder au fichier et quels sont ses privilèges. Deux concepts importants dans DAC sont
Propriété des fichiers et des données:
- Chaque objet d'un système doit avoir un propriétaire. La politique d'accès est déterminée par le propriétaire de la ressource (y compris les fichiers, les répertoires, les données, les ressources système et les périphériques). Théoriquement, un objet sans propriétaire est laissé sans protection. Normalement, le propriétaire d'une ressource est la personne qui a créé la ressource (comme un fichier ou un répertoire). Droits d'accès et permissions:
- Ce sont les contrôles qu'un propriétaire peut assigner à des utilisateurs individuels ou à des groupes pour des ressources spécifiques. Les contrôles d'accès discrétionnaires peuvent être appliqués à l'aide des techniques suivantes:
Les listes de contrôle d'accès
- (listes de contrôle d'accès) nomment les droits et autorisations spécifiques attribués à un objet pour un objet donné. Les listes de contrôle d'accès fournissent une méthode flexible pour appliquer des contrôles d'accès discrétionnaires. Le contrôle d'accès basé sur les rôles
- attribue l'appartenance à un groupe en fonction de rôles organisationnels ou fonctionnels. Cette stratégie simplifie grandement la gestion des droits d'accès et des autorisations: • Les droits d'accès et les autorisations pour les objets sont affectés à n'importe quel groupe ou, en plus, aux individus.
• Les individus peuvent appartenir à un ou plusieurs groupes. Les individus peuvent être désignés pour acquérir des autorisations
cumulatives (toute permission de groupe ) ou disqualifiés de toute autorisation ne faisant pas partie du groupe are in. Contrôle d'accès obligatoire
Le contrôle d'accès obligatoire (MAC) est une politique d'accès déterminée par le système et non par le propriétaire. MAC est utilisé dans
systèmes multiniveaux qui traitent des données hautement sensibles, telles que des informations classifiées gouvernementales et militaires. Un système multiniveau est un système informatique unique qui gère plusieurs niveaux de classification entre les sujets et les objets. Deux concepts importants dans MAC sont les suivants:
Etiquettes de sensibilité:
- Dans un système MAC, tous les sujets et objets doivent avoir étiquettes qui leur sont affectées. L'étiquette de sensibilité d'un sujet précise son niveau de confiance. L'étiquette de sensibilité d'un objet spécifie le niveau de confiance requis pour l'accès. Pour accéder à un objet donné, le sujet doit avoir un niveau de sensibilité égal ou supérieur à l'objet demandé.Importation et exportation de données:
- Le contrôle de l'importation d'informations provenant d'autres systèmes et l'exportation vers d'autres systèmes (y compris les imprimantes) est une fonction essentielle des systèmes MAC, qui doivent garantir que les étiquettes de sensibilité sont correctement entretenues. que les informations sensibles sont protégées de manière appropriée à tout moment. Deux méthodes sont couramment utilisées pour appliquer un contrôle d'accès obligatoire:
Contrôles d'accès basés sur des règles:
- Ce type de contrôle définit en outre des conditions spécifiques pour l'accès à un objet demandé. Tous les systèmes MAC implémentent un contrôle d'accès basé sur des règles simple pour déterminer si l'accès doit être accordé ou refusé en faisant correspondre • Label de sensibilité d'un objet
• Label de sensibilité d'un sujet
Lattice- Contrôles d'accès basés:
- Ces contrôles peuvent être utilisés pour des décisions de contrôle d'accès complexes impliquant plusieurs objets et / ou sujets. Un modèle de réseau est une structure mathématique qui définit les plus grandes limites et les valeurs de limite supérieure pour une paire d'éléments, comme un sujet et un objet.
