Sep 30, 2020   5:26 p.m.      Jarolím        
University information system

Definice bezpečnostních politik


Bezpečnostní politiky hesel představují skupinu pravidel popisující parametry uživatelských hesel a způsobů přihlašování. Těmito pravidly lze stanovit např. minimální počet znaků, zda musí být heslo komplexní, zda se musí hesla v pravidelném intervalu měnit, jestli a kolik starších hesel se pamatuje (ty se pak nedají nastavit znovu) apod. Tyto soubory pravidel jsou aplikovány na jednotlivé skupiny uživatelů UIS, přičemž uživatel může být součástí i několika skupin s více nebo méně podobnými pravidly bezpečnostní politiky. Výsledná bezpečnostní politika pro daného uživatele pak představuje souhrn pravidel ze všech na něj aplikovaných bezpečnostních politik.

Aplikace Definice bezpečnostních politik umožňuje definici bezpečnostních politik hesel a jejich aplikování na skupiny uživatelů, zobrazovat efektivní požadavky na heslo pro jednotlivé skupiny uživatelů, případně pro konkrétního uživatele a také rozšiřovat základní slovník algoritmu zxcvbn o vlastní hesla. Aplikace je přístupná uživatelům s oprávněním security-a.

Politiky hesel

Záložka Politiky hesel umožňuje správci systému definovat a spravovat politiky pro hesla a aplikovat je na jednotlivé skupiny uživatelů.

Politiky pro hesla

Novou politiku je možné přidat pomocí formuláře v úvodu aplikace. Položka Název je povinná, další položky jsou volitelné.

Seznam definovaných politik je zobrazen v přehledové tabulce. Zobrazen je název politiky, počet pravidel, které jsou v politice nastaveny, případně počet uživatelů, na které je politika aplikována. Započítávají se pouze uživatelské účty UIS, nikoliv účty z e-přihlášek a e-návratek. Prostřednictvím ikony ve sloupci ve sloupci Upravit lze vybraný záznam editovat. Politiky, které nejsou přiřazeny žádné skupině uživatelů lze odebrat jejich označením a stisknutím tlačítka .

Ikona ve sloupci Pravidla politiky umožňuje správu pravidel zvolené politiky. V seznamu v dolní části aplikace jsou zobrazena všechna dostupná pravidla, která lze do politiky přiřadit. Příslušné pravidlo se přiřadí kliknutím na ikonu ve sloupci Přidat. V následně zobrazeném formuláři se zadá hodnota argumentu pravidla a potvrdí se tlačítkem . Pravidla zařazená v politice jsou zobrazena v přehledové tabulce v úvodu aplikace. Zobrazen je název pravidla, hodnota argumentu, případně popis a poznámka. Hodnotu argumentu lze změnit po kliknutí na ikonu ve sloupci Upravit. Pravidlo lze z politiky vyřadit jeho označením a stisknutím tlačítka .

Přehled pravidel bezpečnostních politik zobrazuje aplikace Definice pravidel politik.

Přidělení politik skupinám

V této části aplikace se bezpečností politiky přiřazují jednotlivým skupinám uživatelů. Přiřazení se provádí formulářem v úvodu aplikace, kde se nabídky zvolí požadovaná politika. Položky OdkdyDokdy určují, v jakém období má být politika uplatňována. Při nevyplnění je uplatnění časově neomezené. Skupina uživatelů, na které má být politika aplikována se definuje pomocí kvalifikátoru, resp. parametrického kvalifikátoru. Parametrický kvalifikátor vyžaduje zadání parametru. Přiřazení se potvrdí stisknutím tlačítka .

Skupina uživatelů může mít v určitém období přiřazenu pouze jednu politiku.

Přiřazení politik skupinám uživatelů je zobrazováno v přehledové tabulce. Ikona ve sloupci Upravit umožňuje upravit období, ve kterém má být politika na skupinu uživatelů uplatňována, nebo upravit poznámku. Přehled lze omezit pomocí filtru nad seznamem. Tlačítko umožňuje označené záznamy odebrat.

Minimální politiky hesel

Záložka Minimální politiky hesel umožňuje správci systému prohlížet nastavení minimálních politik pro hesla a jejich přiřazení ke skupinám uživatelů. Minimální politiky definuje vývojový tým UIS a představují základní sadu bezpečnostních pravidel. Správce systému tyto politiky nemůže změnit ani zrušit, může je pouze zpřísnit definicí vlastních politik v aplikaci Politiky hesel.

Politiky pro hesla

Seznam definovaných minimálních politik je zobrazen v přehledové tabulce. Zobrazen je název politiky a počet pravidel, které jsou v politice nastaveny. Ikona ve sloupci Pravidla politiky umožňuje zobrazit definici pravidel zvolené politiky. Zobrazuje se název pravidla, hodnota argumentu, případně popis a poznámka.

Přidělení politik skupinám

V této části aplikace je zobrazeno přiřazení minimálních politik jednotlivým skupinám uživatelů. Přiřazení definuje vývojový tým a nelze jej změnit.

Přiřazení politik skupinám uživatelů je zobrazováno v přehledové tabulce. Zobrazen je název minimální politiky a označení skupiny uživatelů, na které je politika aplikována. Ve sloupcích OdkdyDokdy může být uvedeno datum začátku/konce období uplatnění politiky. Není-li datum uvedeno, je uplatnění v příslušném směru časově neomezené.

Efektivní požadavky na heslo

Záložka Efektivní požadavky na heslo zobrazuje přehled pravidel bezpečnostních politik uplatňovaných na jednotlivé skupiny uživatelů UIS.

Po vstupu do aplikace je zobrazen přehled všech skupin uživatelů s přiřazenou bezpečnostní politikou (uživatelskou nebo minimální). Zobrazen je název skupiny, počet uživatelů, na které je politika aplikována (pouze u skupin aplikovaných na uživatelské účty UIS, nikoliv účty z e-přihlášek a e-návratek, apod.), popřípadě i časový interval, ve kterém uvedená pravidla pro skupinu platí (pokud jsou časově omezená). Následně je vypsán seznam všech efektivních (silnějších) pravidel a jejich nastavení (hodnotami argumentu). Zobrazena jsou jak pravidla z lokálně definovaných politik, tak i pravidla politik minimálních. V případě zařazení pravidla do obou politik, rozhoduje o výsledné hodnotě argumentu síla pravidla (viz posouzení síly v přehledu pravidel).

Prostřednictvím formuláře v úvodu aplikace lze podobu pravidel zobrazit k určitému datu/období platnosti, nebo zobrazit nastavení pouze pro určitou skupinu uživatelů.

Ověření požadavků pro uživatele

Záložka Ověření požadavků pro uživatele umožňuje zobrazit seznam bezpečnostních pravidel aplikovaných na konkrétního uživatele UIS.

Po vstupu do aplikace se do pole Uživatel zadá jméno uživatele nebo jeho část, případně ID. V poli Datum lze zvolit, ke kterému dni se má výpis bezpečnostních pravidel pro uživatele zobrazit. Při nezadání je výpis zobrazen k dnešnímu dni. Zadané údaje se potvrdí stisknutím tlačítka Zobrazit. Vyhoví-li hledanému vzorku více uživatelů, zvolí se požadovaný ze zobrazeného seznamu.

Jakmile je uživatel zvolen, zobrazí se v aplikaci seznam aplikovaných bezpečnostních pravidel k danému dni. V seznamu jsou zobrazena pravidla ze všech bezpečnostních politik (lokálních i minimálních) aplikovaných na skupiny uživatelů, v nichž je uživatel členem (uživatel může být členem více skupin). V jednotlivých aplikovaných politikách mohou být zařazena stejná pravidla, v takovém případě rozhoduje o výsledné hodnotě argumentu síla pravidla (viz posouzení síly v přehledu pravidel).

Lokální slovník pro zxcvbn

Při definici pravidel bezpečnostních politik hesel lze využít pravidlo pro stanovení síly hesla podle algoritmu zxcvbn. Tento algoritmus posuzuje sílu hesla na základě výskytu vzorků definovaných v jeho interním slovníku, současně však umožňuje využít i lokální slovník (definovaný správcem systému). Hesla obsahující slova definovaná ve slovníku jsou pak algoritmem označována jako slabá.

Záložka Lokální slovník pro zxcvbn umožňuje správu lokálního slovníku algoritmu zxcvbn.

Nové slovo se do slovníku přidá jeho zadáním do pole Slovo a stisknutím tlačítka . Obsah lokálního slovníku je zobrazen v přehledové tabulce, kde lze po kliknutí na ikonu upravit, případně nežádoucí záznamy ze slovníku odebrat jejich označením a stisknutím tlačítka .

Sílu hesla lze ověřit například v aplikaci Změna hesla.