WGU C845 VUN1 Task 1 | Passed on First Attemptm1 m1 m1 m1 m1 m1 m1 m1 m
1m
1
|Latest Update with Complete Solution
m1 m1 m1 m1 m1
VUN1 — VUN1 Task 1: Managing Security Operations and Access Controls
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
Information Systems Security - C845
m1 m1 m1 m1 m1
A. Apply an Access Control Model m1 m1 m1 m1
A.1. Chosen Access Control Model m1 m1 m1
I have chosen the Role-Based Access Control (RBAC) model. The principles of RBAC are:
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
• Role Assignment: A user is assigned to a role based on their job function (e.g., "Finance
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
Analyst").
m1
• Permission Assignment: Permissions to perform operations on systems are assigned to roles,
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
not to individual users.
m1 m1 m1 m1
• Session Management: A user activates a role to gain the associated permissions for a session.
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
• Least Privilege: Users should only have the minimum level of access necessary to perform their
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
job duties.
m1 m1
The organization's access control structure, as seen in the user matrix, is implicitly role-based (e.g.,
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
"Finance manager," "HR coordinator"). Applying a formal RBAC model would streamline this by ensuring
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
permissions are strictly tied to business functions, reducing complexity and the potential for user error
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
when assigning permissions.
m1 m1 m1
A.2. Four Misalignments with RBAC Principles m 1 m 1 m 1 m 1
1. Misalignment 1: Privilege Escalation Beyond Role Scope m1 m1 m1 m1 m1 m1
• Description: The "Junior system admin" (J. Lopez) has "Domain admin" privileges. A m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
junior role should not have the highest level of access in a Windows
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
environment. m1
• Conflict with RBAC: This violates the principle of least privilege. The role "Junior system
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
admin" implies a subset of administrative duties, not unrestricted domain-wide control.
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
2. Misalignment 2: Unnecessary Access Across Departments m1 m1 m1 m1 m1
• Description: The "Finance analyst" (L. Cheng) has "Full access" to the CRM, a system m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
, primarily for Sales and Support. A finance role typically does not require full modification
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
rights in a customer relationship system.
m1 m1 m1 m1 m1 m1
• Conflict with RBAC: This violates least privilege and separation of duties. It allows for
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
potential data manipulation outside the user's core business function.
m1 m1 m1 m1 m1 m1 m1 m1 m1
3. Misalignment 3: Violation of User-Role Assignment Post-Termination
m1 m1 m1 m1 m1 m1
• Description: The "HR assistant" (P. Ellis), who was terminated on 2025-05-20, has an
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
"Active" account status and successfully logged in on 2025-06-29.
m1 m1 m1 m1 m1 m1 m1 m1 m1
• Conflict with RBAC: RBAC requires timely revocation of role assignments upon a change
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
in employment status. An active session for a terminated user completely bypasses
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
the security provided by the role structure.
m1 m1 m1 m1 m1 m1 m1
4. Misalignment 4: Overly Broad Privileged Access
m1 m1 m1 m1 m1
• Description: The "IT administrator" (T. Miller) has "Full admin" access to "All internal
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
systems," and the log shows they made a firewall rule change without a
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
ticket_id.
m1
• Conflict with RBAC: While some access is necessary, blanket "Full admin" access
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
violates least privilege and impedes accountability. It does not segment duties within the
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
IT department itself.
m1 m1 m1
1m
1
|Latest Update with Complete Solution
m1 m1 m1 m1 m1
VUN1 — VUN1 Task 1: Managing Security Operations and Access Controls
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
Information Systems Security - C845
m1 m1 m1 m1 m1
A. Apply an Access Control Model m1 m1 m1 m1
A.1. Chosen Access Control Model m1 m1 m1
I have chosen the Role-Based Access Control (RBAC) model. The principles of RBAC are:
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
• Role Assignment: A user is assigned to a role based on their job function (e.g., "Finance
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
Analyst").
m1
• Permission Assignment: Permissions to perform operations on systems are assigned to roles,
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
not to individual users.
m1 m1 m1 m1
• Session Management: A user activates a role to gain the associated permissions for a session.
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
• Least Privilege: Users should only have the minimum level of access necessary to perform their
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
job duties.
m1 m1
The organization's access control structure, as seen in the user matrix, is implicitly role-based (e.g.,
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
"Finance manager," "HR coordinator"). Applying a formal RBAC model would streamline this by ensuring
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
permissions are strictly tied to business functions, reducing complexity and the potential for user error
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
when assigning permissions.
m1 m1 m1
A.2. Four Misalignments with RBAC Principles m 1 m 1 m 1 m 1
1. Misalignment 1: Privilege Escalation Beyond Role Scope m1 m1 m1 m1 m1 m1
• Description: The "Junior system admin" (J. Lopez) has "Domain admin" privileges. A m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
junior role should not have the highest level of access in a Windows
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
environment. m1
• Conflict with RBAC: This violates the principle of least privilege. The role "Junior system
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
admin" implies a subset of administrative duties, not unrestricted domain-wide control.
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
2. Misalignment 2: Unnecessary Access Across Departments m1 m1 m1 m1 m1
• Description: The "Finance analyst" (L. Cheng) has "Full access" to the CRM, a system m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
, primarily for Sales and Support. A finance role typically does not require full modification
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
rights in a customer relationship system.
m1 m1 m1 m1 m1 m1
• Conflict with RBAC: This violates least privilege and separation of duties. It allows for
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
potential data manipulation outside the user's core business function.
m1 m1 m1 m1 m1 m1 m1 m1 m1
3. Misalignment 3: Violation of User-Role Assignment Post-Termination
m1 m1 m1 m1 m1 m1
• Description: The "HR assistant" (P. Ellis), who was terminated on 2025-05-20, has an
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
"Active" account status and successfully logged in on 2025-06-29.
m1 m1 m1 m1 m1 m1 m1 m1 m1
• Conflict with RBAC: RBAC requires timely revocation of role assignments upon a change
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
in employment status. An active session for a terminated user completely bypasses
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
the security provided by the role structure.
m1 m1 m1 m1 m1 m1 m1
4. Misalignment 4: Overly Broad Privileged Access
m1 m1 m1 m1 m1
• Description: The "IT administrator" (T. Miller) has "Full admin" access to "All internal
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
systems," and the log shows they made a firewall rule change without a
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
ticket_id.
m1
• Conflict with RBAC: While some access is necessary, blanket "Full admin" access
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
violates least privilege and impedes accountability. It does not segment duties within the
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1
IT department itself.
m1 m1 m1
