ABSC_ID | Livello | Descrizione | Modalità di implementazione |
---|
5.1.1 | M | Limitare i privilegi di amministrazione ai soli utenti che abbiano le competenze adeguate e la necessità operativa di modificare la configurazione dei sistemi. | Concedere i privilegi di amministrazione alle utenze solo su richiesta scritta motivata, approvata dall'Amministratore della Risorsa e/o autorizzata dal Responsabile della Struttura. |
5.1.2 | M | Utilizzare le utenze amministrative solo per effettuare operazioni che ne richiedano i privilegi, registrando ogni accesso effettuato. | Sulle postazioni di lavoro in uso a laboratori o centri calcolo vengono usati solo utenti non amministratori, e usati i privilegi amministrativi quando è necessario.
Dove possibile gli accessi effettuati dalle utenze amministrative sono registrati sul registro eventi del s.o./dominio. L’accesso al dispositivo con i privilegi di amministratore deve essere effettuato solo in caso di effettiva necessità e da persona autorizzata Amministratore della Risorsa e/o autorizzata dal Responsabile della Struttura. Sulle console di gestione delle stampanti è consentito l’accesso esclusivamente ad utenti con privilegi di amministratore; per esigenze di carattere gestionale possono essere creati utenti generici senza che questi abbiano privilegi di amministratore. |
5.2.1 | M | Mantenere l'inventario di tutte le utenze amministrative, garantendo che ciascuna di esse sia debitamente e formalmente autorizzata. | L'Inventario delle utenze amministrative deve essere presente su file aggiornato manualmente, a cura dell'Amministratore, e conservato off-line. |
5.3.1 | M | Prima di collegare alla rete un nuovo dispositivo sostituire le credenziali dell'amministratore predefinito con valori coerenti con quelli delle utenze amministrative in uso. | Ad ogni dispositivo collegato alla rete vanno sostituite le credenziali di default, in maniera coerente con la password policy di Sapienza. |
5.7.1 | M | Quando l'autenticazione a più fattori non è supportata, utilizzare per le utenze amministrative credenziali di elevata robustezza (e.g. almeno 14 caratteri). | Rispettare questa misura adottando la password policy di Sapienza. |
5.7.3 | M | Assicurare che le credenziali delle utenze amministrative vengano sostituite con sufficiente frequenza (password aging). | Rispettare questa misura adottando la password policy di Sapienza. |
5.7.4 | M | Impedire che credenziali già utilizzate possano essere riutilizzate a breve distanza di tempo (password history). | Rispettare questa misura adottando la password policy di Sapienza. |
5.10.1 | M | Assicurare la completa distinzione tra utenze privilegiate e non privilegiate degli amministratori, alle quali debbono corrispondere credenziali diverse. | La MS va implementata in base a quanto previsto dai punti 5.1.1 e 5.2.1. |
5.10.2 | M | Tutte le utenze, in particolare quelle amministrative, debbono essere nominative e riconducibili ad una sola persona. | Le utenze amministrative devono essere registrate e riconducibili, in termini di responsabilità, ad una persona fisica. |
5.10.3 | M | Le utenze amministrative anonime, quali "root" di UNIX o "Administrator" di Windows, debbono essere utilizzate solo per le situazioni di emergenza e le relative credenziali debbono essere gestite in modo da assicurare l'imputabilità di chi ne fa uso. | La MS va implementata in base a quanto previsto dai punti 5.1.1 e 5.2.1. |
5.11.1 | M | Conservare le credenziali amministrative in modo da garantirne disponibilità e riservatezza. | Le utenze amministrative vanno predisposte su un documento ad accesso limitato al Responsabile della Risorsa. |
5.11.2 | M | Se per l'autenticazione si utilizzano certificati digitali, garantire che le chiavi private siano adeguatamente protette. | Eventuali certificati digitali vanno conservati in archivi crittografati. |