Vergleichen Sie Zutrittskontrollmodelle

Implementieren Sie ein Authentifizierungssystem

Zugriffskontrollangriffe verstehen

Verstehen Sie die Schulungskonzepte des rollenbasierten Zugriffskontrollmodells (RBAC). Das RBAC-Modell verwendet aufgabenbasierte Rollen, bei denen Benutzer Berechtigungen erhalten, wenn ein Administrator einer Rolle oder Gruppe ein Benutzerkonto zuweist. Wenn ein Benutzer aus einer Rolle entfernt wird, werden die Berechtigungen, die der Benutzer durch die Rollenmitgliedschaft erhalten hat, widerrufen.

Verstehen Sie die Kernkonzepte des DAC-Modells für diskretionäre Zugangskontrolle. Das regelbasierte Zugriffskontrollmodell verwendet Gruppenregeln, Einschränkungen oder Filter, um den Zugriff zu bestimmen. Die Zugriffskontrollliste einer Firewall definiert eine Liste von Regeln, die den Zugriff zulassen und blockieren.

Verstehen Sie die Kernkonzepte des rollenbasierten Zugriffskontroll-RBAC-Modells. Das RBAC-Modell verwendet aufgabenbasierte Rollen. Wenn ein Administrator einer Rolle oder Gruppe ein Benutzerkonto zuweist, erhält der Benutzer Berechtigungen. Durch das Entfernen eines Benutzers aus einer Rolle werden die Berechtigungen widerrufen, die der Benutzer durch die Rollenmitgliedschaft erhalten hat

Verstehen Sie die Kernkonzepte des regelbasierten Zugriffskontrollmodells. Das regelbasierte Zugriffskontrollmodell verwendet eine Reihe von Regeln, Einschränkungen oder Filtern, um den Zugriff zu bestimmen. Die Zugriffskontrollliste einer Firewall definiert die Liste der Regeln, die den Zugriff ermöglichen und den Zugriff organisieren

Erfahren Sie mehr über Single-Sign-On-Methoden, die im Internet verwendet werden. Single Sign-On (SSO) ist ein Mechanismus, der es einem Subjekt ermöglicht, sich einmal zu authentifizieren, um auf mehrere Objekte zuzugreifen, ohne sich erneut authentifizieren zu müssen. Security Assertion Markup Language (SAML) ist ein offener XML-basierter Standard für den Austausch von Authentifizierungs- und Autorisierungsinformationen. OAuth 2.0 ist ein in RFC 6749 beschriebenes Autorisierungsframework, das von vielen Online-Websites unterstützt wird. OASIS verwaltet OpeniD und OpenID (ComecOIDC bietet Identitätsauthentifizierung). OIDC verwendet das OAuthb-Framework und basiert auf dem OpenID-Standard, um Authentifizierung und Autorisierung bereitzustellen.

Ding erklärt die Kernkonzepte des attributbasierten Zugriffskontrollmodells (ABAC). Das ABAC-Modell ist eine erweiterte Implementierung des regelbasierten Zugriffskontrollmodells unter Verwendung attributbasierter Regeln. Softwaredefinierte Netzwerke (SDN) verwenden häufig das ABAC-Modell.

Verstehen Sie die Kernkonzepte des Mandatory Access Control (MAC)-Modells. Das MAC-Modell verwendet Labels zur Identifizierung von Sicherheitsdomänen. Das Subjekt muss über passende Tags verfügen, um auf das Objekt zugreifen zu können. Das MAC-Modell erzwingt das Need-to-know-Prinzip und unterstützt mehrschichtige Umgebungen, partitionierte Umgebungen oder eine Hybridumgebung, die eine Kombination aus beiden darstellt. MAC-Modelle werden oft als gitterbasierte Modelle bezeichnet.

Verstehen Sie die Kernkonzepte des risikobasierten Zugangskontrollmodells. Das risikobasierte Zugangskontrollmodell bewertet die Umgebung und Szenarien und trifft Entscheidungen auf der Grundlage softwarebasierter Sicherheitsrichtlinien. Dieses Modell kann den Zugriff auf der Grundlage verschiedener Faktoren steuern, z. B. des Standorts des Benutzers anhand der IP-Adresse, ob sich der Benutzer mithilfe der Multi-Faktor-Authentifizierung angemeldet hat und welches Gerät der Benutzer verwendet. Seine fortgeschrittene Implementierung kann maschinelles Lernen zur Risikobewertung nutzen.

Erfahren Sie mehr über Kerberos. Kerberos ist die von Organisationen am häufigsten verwendete Single-Sign-On-Methode. Der Hauptzweck von Kerberos ist die Identitätsauthentifizierung. Kerberos verwendet symmetrische Kryptografie und Ticketwater, um die Identität nachzuweisen und eine Identitätsauthentifizierung bereitzustellen. Der Server und der Network Time Protocol (ANTP)-Dienst werden zeitlich synchronisiert, und alle Clients im Netzwerk werden zeitlich synchronisiert.

Verstehen Sie den Zweck der AAa-Vereinbarung. Einige AAA-Protokolle bieten zentralisierte Authentifizierungs-, Autorisierungs- und Abrechnungsdienste. Netzwerkzugriffssysteme (oder Fernzugriffssysteme) verwenden das AAA-Protokoll. Beispielsweise ist ein Netzwerkzugriffsserver ein Client eines RADIUS-Servers, und ein RADIUS-Server stellt AAA-Dienste bereit. RADIUS verwendet das UDP-Protokoll und verschlüsselt nur Passwörter. TACACS verwendet das TCP-Protokoll und verschlüsselt die gesamte Sitzung. Diameter basiert auf RADIUS und verbessert viele der Mängel von RADIUS, Diameter ist jedoch nicht mit RADIUS kompatibel.

Erfahren Sie mehr über die Eskalation von Berechtigungen. Nachdem ein Angreifer ein einzelnes System kompromittiert hat, nutzt er Techniken zur Privilegienausweitung, um zusätzliche Privilegien zu erlangen. Angreifer versuchen oft zunächst, sich zusätzliche Privilegien auf einem kompromittierten System zu verschaffen. Der Angreifer könnte sich dann auch Zugang zu anderen Systemen im Netzwerk verschaffen und versuchen, sich höhere Privilegien zu verschaffen. Durch die Einschränkung der Berechtigungen von Unterdienstkonten, einschließlich der Minimierung der Verwendung von Sudo-Konten, kann die Erfolgsquote einiger Angriffe zur Rechteausweitung verringert werden.

Erfahren Sie mehr über Pass-the-Hash-Angriffe. Ein Pass-the-Hash-Angriff ermöglicht es einem Angreifer, sich als Benutzer auszugeben, indem er einen erfassten Hash des Passworts eines Benutzers (anstelle des Passworts des Benutzers) ausnutzt. Pass-the-Hash-Angriffe nutzen typischerweise NTLM-Schwachstellen aus, Angreifer können jedoch auch ähnliche Angriffe gegen andere Protokolle, einschließlich Kerberos, starten.

Erfahren Sie mehr über Kerberos-Exploit-Angriffe. Kerberos-Angriffe versuchen, Schwachstellen in Kerberos-Tickets auszunutzen. Bei einigen Angriffen erbeuten Angreifer im Prozess lsas.exe gespeicherte Tickets und starten einen Pass-the-Ticket-Angriff. Das Silberticket gewährt alle Berechtigungen für das Dienstkonto des Angreifers. Durch den Zugriff auf den Passwort-Hash des Kerberos-Dienstkontos (KRBTGT) kann ein Angreifer ein Golden Ticket erstellen und so beliebige Tickets innerhalb von Active Directory erstellen.

Erfahren Sie, wie Brute-Force- und Wörterbuchangriffe funktionieren. Brute-Force-Angriffe und Code-Angriffe, die auf gestohlene Passwort-Datenbankdateien oder System-Anmeldeaufforderungen abzielen, um Passwörter zu erhalten. Bei einem Brute-Force-Angriff geht es dem Angreifer um alle möglichen Kombinationen von Tastaturzeichen, während bei einem Wörterbuchangriff eine vordefinierte Liste möglicher Passwörter verwendet wird. Kontosperrungskontrollen schützen effektiv vor Online-Angriffen.

Erfahren Sie, wie Salt and Pepper Passwortangriffe verhindert. Salting trägt zum Schutz vor Rainbow-Table-Angriffen bei, indem dem Passwort vor dem Hashen zusätzliche Bits hinzugefügt werden. Einige Algorithmen wie Argon2, Borypt und die passwortbasierte Schlüsselableitungsfunktion 2PBKDF2 fügen Salz hinzu und führen den Hash-Algorithmus mehrmals wiederholt aus. Der Salt wird in derselben Datenbank gespeichert wie der Passwort-Hash. Der Pfeffer ist eine sehr große Konstante, die die Sicherheit des gehashten Passworts weiter erhöht und irgendwo außerhalb der Datenbank der gehashten Passwörter gespeichert wird.

Erfahren Sie mehr über Sniffing-Angriffe. Bei einem Sniffing-Angriff (oder Snooping-Angriff) verwendet ein Angreifer ein Paketerfassungstool (z. B. einen Sniffer oder Protokollanalysator), um die über das Netzwerk gesendeten Daten zu erfassen, zu analysieren und zu lesen. Angreifer können Daten, die im Klartext über das Netzwerk gesendet werden, leicht mitlesen, eine Verschlüsselung der übertragenen Daten kann jedoch vor solchen Angriffen schützen.

Erfahren Sie mehr über Spoofing-Angriffe. Beim Spoofing wird vorgetäuscht, etwas oder jemand anderes zu sein, und es kann auf verschiedene Arten von Angriffen angewendet werden, einschließlich Zugriffskontrollangriffen. Angreifer versuchen oft, an die Anmeldedaten eines Benutzers zu gelangen und so dessen Identität zu übernehmen. Zu den Spoofing-Angriffen zählen E-Mail-Spoofing, Telefonnummern-Spoofing und IP-Spoofing. Bei vielen Phishing-Angriffen kommen Täuschungsmethoden zum Einsatz.

1 Welche der folgenden Aussagen beschreibt das implizite Ablehnungsprinzip am besten? A. Erlauben Sie alle Vorgänge, die nicht ausdrücklich verweigert werden. B. Jedes Verhalten, das nicht ausdrücklich erlaubt ist, ist verboten. C. Alle Aktionen müssen ausdrücklich abgelehnt werden. D. Keins der oben genannten.

2. Eine Tabelle enthält mehrere Objekte und Subjekte und identifiziert die spezifischen Zugriffsrechte jedes Subjekts auf verschiedene Objekte. diese Form Wie heißt es? A. Zugriffskontrollliste B. Zugangskontrollmatrix C. Allianz D. Privilegienschleicher

3 Sie beschäftigen sich mit Zugriffskontrollmodellen genauer und möchten ein Modell implementieren, das es Objektbesitzern ermöglicht, anderen Benutzern Berechtigungen zu erteilen. Welches der folgenden Zutrittskontrollmodelle erfüllt diese Anforderung? A. Mandatory Access Control (MAC)-Modell B. Discretionary Access Control (DAC)-Modell C. Rollenbasiertes Zugriffskontrollmodell (RBAC). D. Regelbasiertes Zugriffskontrollmodell

4. Welches der folgenden Zugriffskontrollmodelle ermöglicht es Dateneigentümern, Berechtigungen zu ändern? A. Diskretionäre Zugangskontrolle (DAC) B. Obligatorische Zugangskontrolle (MAC) C. Regelbasierte Zugriffskontrolle D. Risikobasierte Zugangskontrolle

5. Die zentralisierte Autorisierungsbehörde bestimmt basierend auf der Hierarchie der Organisation, auf welche Dateien Benutzer zugreifen können. Welche der folgenden Aussagen stimmt am besten überein? an dieser Stelle? A. DAC-Modell B. Zugriffskontrollliste (ACL) C. Regelbasiertes Zugriffskontrollmodell D. RBAC-Modell

6. Welche der folgenden Aussagen zum RBAC-Modell ist richtig? A. Das RBAC-Modell ermöglicht es Benutzern, Mitglieder mehrerer Gruppen zu sein. B. Das RBAC-Modell ermöglicht es Benutzern, Mitglieder einer einzigen Gruppe zu sein. C. Das RBAC-Modell ist nicht hierarchisch. Das D.RBAC-Modell verwendet Labels.

7. Sie schauen sich verschiedene Zutrittskontrollmodelle genauer an. Welche der folgenden Aussagen beschreibt das regelbasierte Zugriffskontrollmodell am besten? A. Verwenden Sie lokale Regeln, die individuell für Benutzer gelten. B. Verwenden Sie globale Regeln, die individuell für Benutzer gelten. C. Verwenden Sie lokale Regeln, die für alle Benutzer gleichermaßen gelten. D. Verwenden Sie globale Regeln, die für alle Benutzer gleichermaßen gelten.

8. Ihr Unternehmen erwägt die Bereitstellung von Software Defined Networking (SDN) im Rechenzentrum. Welche sind die am häufigsten verwendeten Zugriffskontrollmodelle in SDN? A. Mandatory Access Control (MAC)-Modell B. Attributbasiertes Zugriffskontrollmodell (ABAC). C. Rollenbasiertes Zugriffskontrollmodell (RBAC). D. Discretionary Access Control (DAC)-Modell

9 MAC-Modelle unterstützen verschiedene Arten von Umgebungen. Welche der folgenden Optionen unterstützt den Benutzerzugriff für bestimmte Tags durch die Zuweisung vordefinierter Tags? A. Partitionsumgebung B. Schichtumgebung C. Zentralisierte Umgebung D.Gemischte Umgebung

10. Welches der folgenden Zugangskontrollmodelle legt obere und untere Zugangsgrenzen für Personen fest, die Tags tragen? A. Nicht diskretionäre Zugangskontrolle B. Obligatorische Zugangskontrolle (MAC) C. Diskretionäre Zugangskontrolle (DAC) D. Attributbasierte Zugriffskontrolle (ABAC)

11.Welches der folgenden Zugangskontrollmodelle verwendet Tags und wird oft als gitterbasiertes Modell bezeichnet? A.DAC B. Nicht autonom C.MAC D.RBAC

12. Das Management erwartet von Benutzern, dass sie beim Zugriff auf Cloud-Ressourcen eine Multi-Faktor-Authentifizierung verwenden. Welches der folgenden Zutrittskontrollmodelle erfüllt diese Anforderung? A. Risikobasierte Zugangskontrolle B. Obligatorische Zugangskontrolle (MAC) C. Rollenbasierte Zugriffskontrolle (RBAC) D. Diskretionäre Zugangskontrolle (DAC)

13.Welches der folgenden Zugriffskontrollmodelle bestimmt Zugriffsrechte basierend auf Umgebung und Kontext? A. Risikobasierte Zugangskontrolle B. Obligatorische Zugangskontrolle (MAC) C. Rollenbasierte Zugriffskontrolle (RBAC) D. Attributbasierte Zugriffskontrolle (ABAC)

14. Ein Cloud-Dienstanbieter hat die SSO-Technologie mithilfe von JSON-Web-Tokens implementiert. Der Token stellt Authentifizierungsinformationen bereit und enthält das Benutzerprofil. Welche der folgenden Aussagen identifiziert diese Technologie am besten? A. OIDC B.OAuth C. SAML D.OpenID

15. Einige Benutzer in Ihrem Netzwerk haben Probleme bei der Authentifizierung beim Kerberos-Server. Während der Fehlerbehebung stellen Sie sicher, dass Sie sich an Ihrem üblichen Arbeitscomputer anmelden können. Sie können sich jedoch nicht mit Ihren eigenen Anmeldeinformationen am Computer eines Benutzers anmelden. Welche der folgenden Lösungen löst dieses Problem am ehesten? A. Advanced Encryption Standard (AES) B. Netzwerkzugriffskontrolle (VAC) C. Security Assertion Markup Language (SAML) D. Network Time Protocol (NTP)

16 Ihre Organisation verfügt über ein großes Netzwerk, das Tausende von Mitarbeitern unterstützt und Kerberos verwendet. Welche der folgenden ist eine primäre Verwendung? A. Vertraulichkeit B. Vollständigkeit C. Identitätsauthentifizierung D. Rechenschaftspflicht

17. Welche Rolle spielt der Netzwerkzugriffsserver in der RADIUS-Architektur? A. Authentifizierungsserver B. Kunde C.AAA-Server D. Firewall

18. Larry verwaltet einen Linux-Server. Lary muss manchmal Befehle mit Root-Rechten ausführen. Wenn ein Angreifer Larrys Konto kompromittiert, möchte das Management sicherstellen, dass der Angreifer keine Befehle mit Root-Rechten ausführen kann. Welche der folgenden Optionen ist die beste? A. Gewähren Sie Larry Sudo-Zugriff. B. Geben Sie Larry das Root-Passwort. C. Fügen Sie Larrys Konto zur Gruppe „Administratoren“ hinzu. D. Larrys Konto zum LocalSystem-Konto hinzufügen.

19. Angreifer nutzen Tools, um Schwachstellen in NTLM auszunutzen. Sie identifizieren das Konto des Administrators. Obwohl das Passwort des Administrators nicht erlangt werden konnte, verschaffte sich der Angreifer Zugriff auf das Remote-System, indem er sich als Administrator ausgab. Welche der folgenden Aussagen beschreibt diesen Angriff am besten? A. Ticketzustellung B. Goldenes Ticket C. Regenbogentisch D. Hash-Pass

20. In den Diensten Ihrer Organisation kam es kürzlich zu einem schwerwiegenden Datenverstoß. Nach einer Untersuchung stellten Sicherheitsanalysten fest, dass Angreifer Golden Tickets nutzten, um auf Netzwerkressourcen zuzugreifen. Der Angreifer hat die Sicherheitslücke in welchem ​​Element ausgenutzt? A. RADIUS B. SAML C. Kerberos D. OIDC