SACL

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt hozzászólók, és jelentősen eltérhet a 2013. március 15-én felülvizsgált verziótól ; az ellenőrzések 6 szerkesztést igényelnek .

A „ SACL ” ( angolul  System Access Control List ) a „ Microsoft Windows ” objektumok hozzáférés-vezérlési listája , amely az objektumokhoz való hozzáférés ellenőrzésére szolgál . [egy]

A SACL egy hagyományos eseménynaplózási mechanizmus , amely meghatározza a fájlok és mappák hozzáférésének ellenőrzését. A „ DACL ”-lel ellentétben a „SACL” nem korlátozhatja a fájlok és mappák elérését. De képes nyomon követni egy olyan eseményt, amely a biztonsági eseménynaplóba kerül, amikor a felhasználó hozzáfér a fájlhoz vagy mappához. Ez a követés hasznos lehet a hozzáférési problémák megoldásában vagy a tiltott behatolások meghatározásában [2] .

Leírás

A biztonsági szakemberek számára a "SACL" a legfontosabb eszköz a behatolás meghatározásához. A rendszeradminisztrátorok inkább az „SACL”-t használják annak meghatározására, hogy milyen jogokat kell adni a felhasználónak ahhoz, hogy az alkalmazás megfelelően működjön. A fejlesztők az „SACL”-t használják annak meghatározására, hogy mely erőforrásokhoz az alkalmazás hozzáférését megtagadják, és hogy konfigurálják az alkalmazás megfelelő működését korlátozott hozzáférési jogokkal.

A System Access Control List (SACL) segítségével a rendszergazdák naplózhatják a védett objektumokhoz való hozzáférési kísérleteket. Mindegyik ACE meghatározza a megadott meghatalmazott azon hozzáférési kísérleteinek típusait, amelyek hatására a rendszer bejegyzést generál a biztonsági eseménynaplóban. A SACL-ben lévő ACE naplózási bejegyzéseket generálhat, ha a hozzáférési kísérlet sikertelen volt, ha sikeres volt, vagy mindkettő [3] .

Dolgozzon Windows operációs rendszerben

Alapértelmezés szerint a " Windows " nem követi nyomon a hozzáférési eseményeket. A „SACL” engedélyezéséhez a következőket kell tennie:

1) Nyissa meg a "Helyi biztonsági szabályzatot" a "secpol.msc" futtatásával;

2) Bontsa ki a "Helyi szabályzat" elemet, és válassza az "Ellenőrzési szabályzat" lehetőséget;

3) A jobb oldalon kattintson duplán az "Objektumokhoz való hozzáférés ellenőrzése" elemre. Válassza az "Elutasítás" lehetőséget.
Ha szükséges a hozzáférési hibák naplózása, válassza a "Siker" lehetőséget, ha szükséges a sikeres hozzáférések naplózása.

Az Active Directory tartományi szolgáltatásokban a tartományadminisztrátor csoportházirend használatával engedélyezheti az objektum-hozzáférés naplózását az összes tag számára.

Összehasonlítás az RBAC-val

Az ACL -modell elsődleges alternatívája a szerepalapú hozzáférés-vezérlési (RBAC) modell . A "minimális RBAC-modell", az RBACm , összehasonlítható az ACL-mechanizmussal, az ACLg -vel , ahol csak csoportok engedélyezettek bejegyzésként az ACL-ben. Barkley kimutatta, hogy az RBACm és az ACLg egyenértékűek [4] .

Az SQL modern megvalósításaiban az ACL-ek a csoportokat és az öröklődést is szabályozzák a csoporthierarchiában. Így a "modern ACL-ek" mindent kifejezhetnek, amit az RBAC kifejez, és különösen erősek (a "régi ACL-ekhez" képest) abban a képességükben, hogy a rendszergazdák által a szervezetekre vonatkozó hozzáférés-szabályozási szabályokat kifejezzék [5] .

Adatcseréhez és "magas szintű összehasonlításhoz" az ACL-adatok XACML-be konvertálhatók [6] .

Jegyzetek

  1. S (Windows) . Letöltve: 2009. november 18. Az eredetiből archiválva : 2009. december 27..
  2. Jaehoon Kim. Hibrid engedélyezési ütközés észlelése az RDF hozzáférés-vezérlésben  // Korea Institute of Information Technology Review. — 2013-02-28. - T. 11 , sz. 2 . — ISSN 1598-8619 . - doi : 10.14801/kiitr.2013.11.2.151 .
  3. Alvinashcraft. Hozzáférés-vezérlési listák – Win32   alkalmazások ? . learning.microsoft.com . Letöltve: 2022. október 13.
  4. Árpa János. Egyszerű szerep alapú hozzáférés-vezérlési modellek és hozzáférés-vezérlési listák összehasonlítása  // Proceedings of the second ACM workshop on Role-based access control - RBAC '97. - New York, New York, USA: ACM Press, 1997. - doi : 10.1145/266741.266769 .
  5. James Daly, Alex X. Liu, Eric Torng. Különbségfelbontású megközelítés a hozzáférés-vezérlési listák tömörítéséhez  // 2013 IEEE INFOCOM Proceedings. — IEEE, 2013-04. - doi : 10.1109/infcom.2013.6567005 .
  6. Günter Karjoth, Andreas Schade. ACL-alapú házirendek megvalósítása az XACML-ben  // 2008 Annual Computer Security Applications Conference (ACSAC). — IEEE, 2008-12. - doi : 10.1109/acsac.2008.31 .