Безопасность регистрации
Соглашение о неразглашении в баннерах
Использование баннеров неразглашения не является необходимостью, несмотря на то, что многие организации используют их для информирования потенциальных пользователей о том, что система ограничена для использования, и их действия могут контролироваться и записываться. Однако некоторые суды в Соединенных Штатах выносили решения, в которых говорилось, что, поскольку при регистрации на экране отсутствовало предупреждающее сообщение, нельзя считать, что злоумышленники проникали незаконно в систему, а следует считать, что они были туда приглашены. Эти вердикты выносились на основании законов, применяемых в привычном мире. Несмотря на то, что существуют новые законы, которые обеспечивают использование в подобных случаях более совершенного инструмента для обвинителей, наличие прецедентов, в которых выносились противоположные решения, вынуждает судей, не знакомых с киберпространством, принимать во внимание эти прецеденты. Нужно поинтересоваться у юриста, нужно ли создавать подобные баннеры для вашей правовой защиты в случае возникших проблем.
Средства регистрации
Средства регистрации способствуют процессу аутентификации. Они обеспечивают выполнение инструкций для обеспечения положительного результата аутентификации (биометрия, PKI, Kerberos и т.д.), а также выбор многократных или однократных сеансов. В правилах положительной аутентификации не нужно конкретно определять протокол или тип сервиса, а только требования их наличия. Если не конкретизировать правила, разработчики и администраторы получают возможность использовать наилучший сервис для организации. Простая формулировка правил может выглядеть следующим образом.
Службы регистрации должны обеспечивать положительную аутентификацию. Это даст гарантию того, что законный пользователь получит доступ к системе или сетевому окружению.
Для некоторых организаций выбор однократных или многократных сеансов аутентификации не представляет особых проблем. В операционной среде сервера, обслуживающего типовые рабочие станции, система с сетевой структурой может инициировать многократные сеансы так, как требует операционное программное обеспечение. Однако, при использовании универсальной машины или любого другого сервера с разделением времени/монопольным сервером может возникнуть желание ограничить количество сеансов, которые может инициировать пользователь.
Пользователям с правом доступа к производственной сфере нельзя разрешать инициировать многократные сеансы аутентификации.
Отчетность при регистрации
Существует два типа требований по отчетности, которые рекомендуется добавлять в документы, составляющие политику безопасности. Первый заключается в протоколировании в системном журнале каждой попытки войти в систему. Обычное протоколирование или специальные средства обнаружения вторжений могут использоваться администратором, чтобы следить за выполняемыми операциями. Их также используют для наблюдения за работой системы и для разработки шаблонов применения средств обнаружения. Эти шаблоны могут использоваться более сложными средствами для обнаружения уязвимых мест системы.
Другое требование заключается в том, чтобы пользователь имел возможность определить, когда и откуда была сделана последняя попытка войти в систему. Несмотря на то, что многие пользователи игнорируют эту информацию, есть шанс, что необычные попытки получения доступа будут отмечены. Один из администраторов, с которым пришлось сотрудничать автору, пытался помочь пользователю, у которой были проблемы с рабочей станцией. Когда он стал протоколировать каждую регистрацию пользователя в системе, в сообщении о "последней регистрации" было обнаружено, что пользователь была зарегистрирована в 4 часа утра, в воскресенье. Это выглядело довольно странно, поскольку в это время она отсутствовала в городе, так как выезжала в горы кататься на лыжах. Администратор смог на основе этой информации определить, что кто-то взломал сеть. В документах политики безопасности этот момент не был учтен, поэтому, когда выяснилось, насколько легко пробить защиту, этот момент добавили в соответствующие правила.