إدارة الحسابات
استخدام العمليات والأدوات لتعيين وإدارة التفويض لبيانات اعتماد حسابات المستخدمين، بما في ذلك حسابات المسؤولين وحسابات الخدمة، على أصول المؤسسة والبرمجيات.
لماذا هذا الضابط مهم؟
من الأسهل على جهة التهديد الخارجية أو الداخلية الحصول على وصول غير مصرح به إلى أصول المؤسسة أو بياناتها من خلال استخدام بيانات اعتماد مستخدم صالحة بدلاً من 'اختراق' البيئة. هناك طرق عديدة للحصول سراً على الوصول إلى حسابات المستخدمين، بما في ذلك: كلمات المرور الضعيفة، والحسابات التي تظل صالحة بعد مغادرة المستخدم للمؤسسة، وحسابات الاختبار الخاملة أو المتبقية، والحسابات المشتركة التي لم يتم تغييرها لأشهر أو سنوات، وحسابات الخدمة المضمنة في التطبيقات للنصوص البرمجية، واستخدام المستخدم لنفس كلمة المرور المستخدمة في حساب عبر الإنترنت تم اختراقه (في خرق عام)، والهندسة الاجتماعية للمستخدم للحصول على كلمة مروره، أو استخدام هجمات القوة الغاشمة لتخمين كلمة المرور. تُعد الحسابات الإدارية أو ذات الامتيازات العالية هدفاً رئيسياً، لأنها تسمح للمهاجمين بإضافة حسابات وتغيير التكوينات وقراءة وتعديل البيانات المخزنة وانتحال هوية المستخدمين العاديين وسرقة البيانات.
قوالب السياسات ذات الصلة
الإجراءات الوقائية (6)
| المعرف | العنوان | نوع الأصل | الوظيفة | مجموعات التطبيق |
|---|---|---|---|---|
| 5.1 | إنشاء وصيانة جرد الحسابات | المستخدمون | تحديد |
IG1
IG2
IG3
|
| 5.2 | استخدام كلمات مرور فريدة | المستخدمون | حماية |
IG1
IG2
IG3
|
| 5.3 | تعطيل الحسابات الخاملة | المستخدمون | استجابة |
IG1
IG2
IG3
|
| 5.4 | تقييد امتيازات المسؤول على حسابات المسؤولين المخصصة | المستخدمون | حماية |
IG1
IG2
IG3
|
| 5.5 | إنشاء وصيانة جرد حسابات الخدمة | المستخدمون | تحديد |
IG2
IG3
|
| 5.6 | مركزة إدارة الحسابات | المستخدمون | حماية |
IG2
IG3
|