导图社区 CISSP学习笔记-14(控制和监控访问)
- 1
- 举报
CISSP学习笔记-14(控制和监控访问)
这是一篇关于CISSP学习笔记-14(控制和监控访问)的思维导图,主要内容包括:复习题,考试要点,知识点。
编辑于2024-03-08 10:42:16- CISSP
- 信息
- 相似推荐
- 大纲
CISSP学习笔记-14(控制和监控访问)
知识点
比较访问控制模型
比较权限、权利和特权
权限
访问客体的权限
权利
对客体采取行动的能力,如备份、恢复数据
差别很小
特权
权利和权限的组合
理解授权机制
隐式拒绝
默认拒绝
访问控制矩阵
包含主体,客体和权限的列表
能力表
主体分配权限的方式,关注主体,ACL关注客体
约束接口
基于内容的控制
数据库
基于上下文的控制
如未购买完成,不能浏览电子书内容
因需可知
最小特权
因需可知-访问授权,最小特权-执行操作的权利
职责分离
使用安全策略定义需求
安全策略不介绍如何满足安全需求、如何实施策略,专业人员用安全策略作为安全需求的指南
介绍访问控制模型
自主访问控制 DAC
客体有所有者,所有者允许或者拒绝其他主体访问客体 微软的NTFS使用了DAC
可以把权力委派给数据托管员
基于身份访问是一个子集
ACL控制客体,win是
基于角色的访问控制 RBAC
将主体放入角色中,对角色进行分配权限 win就是
组-角色
防止特权蠕变,在人员频繁变动的环境中
区别TBAC-基于任务的访问控制,如Project就是
基于规则的访问控制
全局规则
防火墙
基于属性的访问控制 ABAC
SDN使用ABAC
如允许使用移动设备的用户在某个时段登录设备
强访问控制 MAC
标签、格子
主体客体都由标签
主体复合一定要求获得标签,根据标签获得访问相同标签的客体
隔离区-加强因需可知
环境分类
分层环境
高可以访问低,不可以访问更高
分区环境
域,隔离,主体必须有访问另一个域的许可才可以
混合环境
MAC比DAC更安全,但是不具有灵活性和可扩展性
基于风险的访问控制
使用机器学习,根据过去的活动做出预测
移动设备
多因素身份认证
非自主访问
实现认证系统
互联网上实现SSO
XML
SAML
基于XML,提供支持浏览器访问的SSO
OAuth
开放标准
2.0不兼容1.0
只提供授权
OpenID
开放标准
OIDC
使用OAuth2.0授权框架
同时提供身份认证和授权
比较SAML、OAuth、OpenID、OIDC
SAML
提供认证、授权、属性信息
使用三个实体:主体、服务提供商、身份提供者
OAuth
授权框架,不是认证协议
使用API
令牌
OpenID
身份认证标准
由OpenID Foundation 维护
OIDC
提供身份认证和授权
建立在OpenID之上,但是使用JSON Web令牌
在内部网络上实现SSO
AAA协议
Kerberos
密钥分发中心
身份认证服务器
票证
票证授予的票证
主体
领域
RADIUS
TACACS+
了解访问控制攻击
常见访问控制攻击
窃取凭证
绕过认证机制
特权提升
使用su和sudo命令
尽量减少sudo命令的使用
口令攻击
字典攻击
暴力破解攻击
喷射攻击
特殊的暴力破解攻击,绕过账户锁定
凭证填充攻击
攻击一个网站下载用户名和口令,然后攻击同一个人在其他网站的账户
生日攻击
彩虹表攻击
盐
胡椒
Mimikatz
捕获口令、哈希值、票证、私钥
哈希传递攻击
使用NTLM或Kerberos的win系统最容易受到攻击
Kerberros漏洞利用攻击
超哈希传递攻击
票证传递
获取lsass.exe进程中的票证
白银票证
截取服务账户NTLM哈希值创建票证
授予服务TGS票证,非TGT
黄金票证
获取TGT哈希值后可以随意创建票证
Kerberos暴力破解
ASREPRoast
未启用Kerberos预身份认证
Kerberosting
未启用Kerberos预身份认证
收集加密的TGS票证
嗅探攻击
欺骗攻击
核心保护方法
考试要点
了解基于角色的访问控制(RBAC)模型的校心概念。RBAC 模型使用基于任务的角色,当管理员將用户账户分配到角色或组时,用户将获得特权。将用户从角色中移除时,将取消用户通过角色成员获得的权限。
了解自主访问控制DAC模型的核心概念。基于规则的访问控制模型使用組规则、限制或过滤器来确定访问。防火墙的访问控制列表定义了允许访问和阻止访问的规则列表。
了解基于角色的访问控制RBAC模型的核心概念。RBAC模型使用基于任务的角色,当管理员将用户账户分配到角色或组时,用户讲获得特权。将用户从角色中移除,将取消用户通过角色成员获得的权限
了解基于规则的访问控制模型的核心概念。基于规则的访问控制模型使用一组规则、限制或过滤器来确定访问。防火墙的访问控制列表定义了允许访问和组织访问的规则列表
了解互联网使用的单点登录方法。单点登录(SSO)是一种机制,允许主体仅经过一次身份认证便可访问多个对象而不必再次进行身份认证。安全断言标记语言(SAML)是一种基于XML 的开放标准,用于交换身份认证和授权信息。OAuth 2.0是RFC 6749 中描述的授权框架,并得到许多在线网站的文持。 OASIS 维护 OpeniD 和 OpenlD CommecOIDC). OpenlD提供身份认证。OIDC 使用 OAutb 框架并基于 OpenID 标准来提供身份认证和授权。
丁解基于属性的访问控制(ABAC)模型的核心概念。 ABAC-模型是基于规则的访问控制模型的高级实现,使用基于属性的规则。软件定义网络(SDN)通常采用 ABAC 模型。
了解强制访问控制(MAC)模型的核心概念。MAC 模型使用标签来标识安全域。主体需要具备相匹配的标签才可以访问对象。MAC 模型强制实施因需可知原则,并支持分层环境、分区环境或两者组合而成的混合环境。MAC 模型通常被称为基于格的模型。
了解基于风险的访问控制模型的核心概念。基于风险的访问控制模型评估环境和情景,并依据基于软件的安全策略做出决策。该模型可以基于多种因素来控制访问,例如基于IP地址的用户位置、用户是否使用多重身份认证登录以及用户所用的设备。其高级实现可以使用机器学习来评估风险。
了解 Kerberos。 Kerberos 是组织最常用的单点登录方法。Kerberos 的主要用途是身份认证,Kerberos 使用对称密码技术和票证水证明身份标识并提供身份认证。一合服务器与网络时何协议ANTP)服务照在时间上保持同步,网络中所有客户端在时间上保特同步。
了解AAa 协议的目的。一些AAA 协议提供集中的身份认证、授权和记账服务。网络访间(或远程访问)系统使用 AAA 协议。例如,网络接入服务器是 RADIUS服务器的客户端,RADIU'S 服务器则提供 AAA 服务。RADIUS 使用 UDP协议,并且仅对口令进行加密。TACACS+使用TCP 协议,并加密整个会话。Diameter 基于 RADIUS,并且改进了 RADIUS 的许多缺陷,但 Diameter 与 RADIUS 不兼容。
了解特权提升。攻击者攻破单个系统后,使用特权提升技术来获得额外特权。攻击者往往首先尝试在攻陷的系统上获得额外特权。然后,攻击者还可访问网络中的其他系统,并尝试获得更高的特权。通过限制授子服务账户的特权,包括尽量减少sudo 账户的使用,可以降低一些特权提升攻击的成功率。
了解哈希传递攻击。哈希传递攻击允许攻击者利用捕获的用户口令哈希值(而不是用户口令)来冒充用户。哈希传递攻击通常利用 NTLM 漏洞,但攻击者也可以针对其他协议(包括Kerberos)发起类似的政击。
了解 Kerberos 漏洞利用攻击。Kerberos 攻击试图利用 Kerberos 票证中的漏洞。在一些攻击中,攻击者捕获 lsas.exe 进程中保存的票证并发起票证传递攻击。白银票证授子攻击者服务账户的所有权限。获得 Kerberos 服务账户(KRBTGT)的口令哈希值后,攻击者可以创建黄金票证,从而在活动目录中随意创建票证。
了解暴力破解攻击和字典攻击的工作原理。针对被盗口令数据库文件或系统的登录提示找行的暴力破解攻击和宇典攻击,旨在获取口令。在暴力破解攻击中,攻击者追历键盘字符的所有可能组合,而字典攻击使用预定义的可能口令列表。账户锁定控制可以有效抵御在线攻击。
了解盐和胡椒预防口令攻击的工作原理。加盐的方法在进行哈希计算之前向口令添加额外的位,有助于抵御彩虹表攻击。一些算法,如 Argon2、borypt 和基于口令的密钥派生函数2PBKDF2),加盐并多次重复执行哈希西数。盐与口令哈希值存储在同一数据库。胡椒是一个非常大的常数,可以进一步提高哈希口令的安全性,存储在哈希口令的数据库之外的某个地方。
了解嗅探攻击。在嗅探攻击(或窥探攻击)中,攻击者使用数据包捕获工具(如嗅探器或协议分析器)来捕获、分析和读取网络发送的数据。攻击者可以轻松读取网络中以明文形式发送的数据,但若对传输数据实施加密,可以抵御此类攻击。
了解欺骗攻击。欺骗是指伪装成某物或其他人,可应用于各类攻击,包括访问控制攻击。攻击者经常试图获取用户的凭证,从而冒用其身份。欺骗攻击包括电子邮件救骗、电话号码欺骗和IP欺骗。许多网络钓鱼攻击使用欺骗方法。
复习题
1 以下哪项最恰当地描述了隐式拒绝原则? A. 允许所有未明确拒绝的操作。 B. 所有未明确允许的行为均被拒绝。 C.必须明确拒绝所有行动。 D.以上都不是。
B
2.一个表格包括多个客体和主体,标识每个主体对不同客体的具体访问权限。这个表格 叫什么? A. 访问控制列表 B. 访问控制矩阵 C.联盟 D.特权蠕变
B
3 你正在仔细研究访问控制模型并希望实现一个模型,该模型允许对象所有者向其他用户授予特权。以下哪个访问控制模型符合此要求? A. 强制访问控制(MAC)模型 B. 自主访问控制(DAC)模型 C.基于角色的访问控制(RBAC)模型 D.基于规则的访问控制模型
B
4.以下哪个访问控制模型允许数据所有者修改权限? A. 自主访问控制(DAC) B. 强制访问控制(MAC) C.基于规则的访问控制 D.基于风险的访问控制
A
5.集中授权机构根据组织的层次结构确定用户可以访问哪些文件。以下哪一项最符合 这一点? A. DAC模型 B. 访问控制列表(ACL) C.基于规则的访问控制模型 D. RBAC模型
D
6.下列关于 RBAC 模型的说法正确的是? A. RBAC模型允许用户成为多个组的成员。 B. RBAC模型允许用户成为单个组的成员。 C. RBAC模型不分层。 D.RBAC模型使用标签。
A
7.你正在仔细研究不同的访问控制模型。以下哪项最能描述基于规则的访问控制模型? A,使用单独应用于用户的本地规则。 B. 使用单独应用于用户的全局规则。 C.平等地使用适用于所有用户的本地规则。 D.平等地使用适用于所有用户的全局规则。
D
8你的组织正考虑在数据中心都署软件定义网络(SDN)。 SDN 中常用的访问控制模型有哪些? A.强制访问控制(MAC)模型 B. 基于属性的访问控制(ABAC)模型 C.基于角色的访问控制(RBAC)模型 D.自主访问控制(DAC)模型
B
9 MAC模型支持不同类型的环境。针对具体标签,以下哪项通过分配预定义标签支持用户访问权限? A.分区环境 B. 分层环境 C.集中式环境 D.混合环境
B 在分层环境中,各种分类标签按照低安全性到高安全性的有序结构来分配。强制访问控制(MAC)模型支持三种环境:分层、分区和混合。分区环境忽略级别,而只允许访问某个级别的单个隔离区域。混合环境是分层和分区环境的组合。MAC 模型不使用集中式环境。
10. 以下哪个访问控制模型标识出携带标签的主体的访问上限和下限? A. 非自主访问控制 B.强制访问控制(MAC) C.自主访问控制(DAC) D.基于属性的访问控制(ABAC)
B MAC模型使用标签来识别分类级别的上下限
11.以下哪个访问控制模型使用标签,且通常被称为基于格的模型? A. DAC B. 非自主 C. MAC D. RBAC
C
12. 管理层希望用户在访问云资源时使用多因素身份认证。以下哪个访问控制模型可以满足此要求? A. 基于风险的访问控制 B. 强制访问控制(MAC) C.基于角色的访问控制(RBAC) D. 自主访问控制(DAC)
A 基于风险的访问控制模型可以要求用户使用至因素身份认证进行身份认证。题中列出的其他访问拉制模型都不能评估用户的登录方式。
13.以下哪种访问控制模型根据环境和情景来确定访问权限? A. 基于风险的访问控制 B. 强制访问控制(MAC) C. 基于角色的访问控制(RBAC) D.基于属性的访问控制(ABAC)
A
14. 一家云服务提供商己使用 JSON Web 令牌实现 SSO 技术。令牌提供身份认证信息并包括用户配置文件。以下哪项最能识别该技术? A. OIDC B. OAuth C. SAML D. OpenID
A
15. 你网络中的一些用户在使用 Kerberos 服务器进行身份认证时遇到了问题。在解决问题时,你确认自己可以登录常用的工作计算机。但是,你无法使用自己的凭证登录用户计算机。以下哪项最有可能解决这个问题? A. 高级加密标准(AES) B. 网络访问控制(VAC) C.安全断言标记语言(SAML) D.网络时间协议(NTP)
D 通过将中央计算机与外部 NTP 服务器配置成时间同步,并使所有其他系统与 NTP 保持时间同步,可以解决问题,并且是最佳选择。Kerberos 要求计算机之间的时间误差不超过 5 分钟,并且该方案及可用的选项表明用户的计算机与 Kerberos 服务器不同步。 Kerberos 使用 AES 加密。但是,由于用户成功登录一台计算机,这表明Kerberos 正在工作,并且安装了 AES。 NAC 在用户进行身份认证后检查系统的健康状况。NAC 不会阻止用户登录。一些联合身份管理系统使用 SAML,但 Kerberos 不需要 SAML。
16 你的组织有支持数千名员工的大型网络,并且使用Kerberos。以下哪项是主要用途? A.保密性 B. 完整性 C. 身份认证 D.问责制
C
17. RADIUS 架构中网络接入服务器的作用是什么? A. 认证服务器 B. 客户端 C.AAA 服务器 D.防火墙
B 网络访问服务器是 RADIUS 架构中的客户端。RADTUS 服务器是身份认证服务器,提供身份认证、授权和计费(AAA)服务。网络访问服务器可能启用了主机防火墙,但这不是主要功能。
18. Larry 管理一台 Linux 服务器。Lary 有时需要执行 root 级别特权的命令。如果攻击者攻破 Larry 的账户,管理层希望确保攻击者无法运行 root 级别特权的命令。以下哪个是最佳选择? A. 授子 Larry sudo 访问权限。 B. 给Larry root 口令。 C.将Larry 的账户添加到管理员组。 D.将Larry的账户添加到 LocalSystem 账户。
B
19. 攻击者使用工具利用 NTLM 中的漏洞。他们识别出管理员的账户。尽管没有获取管理员的口令,但攻击者确实通过冒充管理员访问了远程系统。以下哪项最能描述这种攻击? A. 票证传递 B. 黄金票证 C.彩虹表 D.哈希传递
D 众所周知,NTLM 容易受到哈希传递攻击,这种场最描述了哈希传递攻击。 Kerberos 攻击试图採纵票证,例如票证传递攻击和黄金票证攻击,但这些不是 NTLM 攻击。 彩虹表攻击在离线暴力破解攻击中使用彩虹表。
20.你的组织服近遭受了重大数据泄露。经过调查,安全分析师发现攻击者正在使用黄金票证来访问网络资源。攻击者利用哪项中的漏洞? A. RADIUS B. SAML C. Kerberos D. OIDC
C