CA ControlMinder 保护下列实体:
用户是否有权访问特定文件?
CA ControlMinder 限制用户访问文件的能力。 您可以给予用户一种或多种访问权限,例如读取、写入、执行、删除和重命名。 访问权限的指定可以与单个文件相关,也可以与一组命名相似的文件相关。
用户是否有权使用特定终端?
该检查是在登录过程中完成的。 在 CA ControlMinder 数据库中,可以定义单个终端和终端组及其访问规则(即描述允许哪些用户或用户组使用终端或终端组)。 终端保护确保未经授权的终端或工作站不能用来登录到授予强大权限的用户帐户。
用户是否有权在特定日期的特定时间登录?
大多数用户只在工作日和工作时间使用其工作站;工作日和工作时间登录限制以及节假日限制,是为了防止黑客和其他未经授权的访问者的登录。
另一个工作站是否有权从本地计算机接收 TCP/IP 服务? 另一个工作站是否有权向本地计算机提供 TCP/IP 服务? 是否允许另一个工作站从本地工作站的每个用户接收服务?
开放系统(计算机和网络都开放的系统)的优点也是缺点。 一旦计算机连接到外面的世界,您就无法确保谁进入系统以及外来用户可以进行何种破坏(无论有意还是无意)。 CA ControlMinder 提供“防火墙”,可以防止本地工作站和服务器向未知工作站提供服务。
是否允许用户从第二个终端登录?
术语并发登录指的是用户从多个终端登录到系统的能力。 CA ControlMinder 可以阻止用户多次登录。 这可以防止入侵者登录到已经登录的用户的帐户。
可以定义和保护常规实体(例如 TCP/IP 服务和终端)和功能实体(也称为抽象对象;例如在数据库中执行事务和访问记录)。
CA ControlMinder 提供了向操作员指派超级用户权限而又同时限制超级用户帐户权限的方法。
用户是否有权替换他们的用户 ID?
UNIX setuid 系统调用是操作系统提供的最敏感的服务之一,CA ControlMinder 通过截获该调用来检查用户是否有权执行替换。 替换用户权限检查包括程序通路 ‑ 只允许用户通过特定程序替换他们的用户 ID。 这在控制哪些用户可以替换 root 从而获得 root 访问权限时尤其重要。
用户是否有权发出 newgrp(替换组)命令?
替换组保护类似于替换用户保护。
某个 setuid 或 setgid 程序是否可以受托? 用户是否有权调用它?
安全管理员可以对标记为 setuid 或 setgid 可执行文件的程序进行测试,以确保它们不会包含任何可用来获得非法访问权的安全漏洞。 通过测试并被视为安全的程序定义为受托程序。 CA ControlMinder 自我保护模块(也称为 CA ControlMinder Watchdog)知道哪个程序在特定时间处于控制之下,并检查该程序在被归为受托程序之后是否经过修改或移动。 如果受托程序经过修改或移动,则该程序不再被视为受托程序,CA ControlMinder 将不允许它运行。
另外,CA ControlMinder 可以防止各种故意的和偶然的威胁,包括:
CA ControlMinder 可以用来保护关键服务器和服务或后台程序,防止终止尝试。
CA ControlMinder 防止各种密码攻击、强制您的站点实施密码定义策略并检测入侵尝试。
CA ControlMinder 策略描述了强制用户创建和使用高质量密码的规则。 为了确保用户创建和使用可接受的密码,CA ControlMinder 可以设置密码的最长和最短使用期限、限制某些字词、禁用重复字符并强制遵守其他限制。 密码使用期限不能太长。
CA ControlMinder 策略确保正确处理睡眠帐户。
CA ControlMinder 可以实施密码保护,并跨 NIS 和非 NIS 域强制安全。
|
版权所有 © 2013 CA。
保留所有权利。
|
|