SACL

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 15. marts 2013; checks kræver 6 redigeringer .

" SACL " ( engelsk  System Access Control List ) er en adgangskontrolliste til " Microsoft Windows " -objekter, der bruges til at revidere adgang til et objekt. [en]

SACL er en traditionel hændelseslogningsmekanisme , der definerer, hvordan adgang til filer og mapper kontrolleres. I modsætning til " DACL " kan "SACL" ikke begrænse adgangen til filer og mapper. Men den kan spore en hændelse, der vil blive skrevet til sikkerhedshændelsesloggen, når brugeren får adgang til filen eller mappen. Denne sporing kan være nyttig til at løse adgangsproblemer eller til at bestemme forbudte indtrængen [2] .

Beskrivelse

For sikkerhedsprofessionelle er "SACL" det vigtigste værktøj til at bestemme indtrængen. Systemadministratorer bruger "SACL" mere til at bestemme de rettigheder, der skal gives til brugeren, for at applikationen kan fungere korrekt. Udviklere bruger "SACL" til at bestemme de ressourcer, som applikationen nægtes adgang til, for at konfigurere den korrekte drift af applikationen med begrænsede adgangsrettigheder.

System Access Control List (SACL) giver administratorer mulighed for at logge forsøg på at få adgang til et beskyttet objekt. Hver ACE definerer de typer af adgangsforsøg fra den specificerede trustee, der får systemet til at generere en post i sikkerhedshændelsesloggen. En ACE i en SACL kan generere revisionsposter, når et adgangsforsøg mislykkedes, når det lykkedes, eller begge dele [3] .

Arbejde i Windows OS

Som standard sporer " Windows " ikke adgangsbegivenheder. For at aktivere "SACL" skal du:

1) Åbn "Lokal sikkerhedspolitik" ved at køre "secpol.msc";

2) Udvid "Lokal politik", og vælg "Revisionspolitik";

3) Til højre skal du dobbeltklikke på punktet "Revisionsadgang til objekter". Vælg "Afvis".
Hvis det er nødvendigt at logge adgangsfejl, skal du vælge "Succes", hvis det er nødvendigt at logge succesfulde adgange.

I Active Directory Domain Services kan en domæneadministrator aktivere revision af objektadgang for alle medlemmer ved hjælp af gruppepolitik.

Sammenligning med RBAC

Det primære alternativ til ACL -modellen er den rollebaserede adgangskontrolmodel (RBAC) . "Minimums-RBAC-modellen", RBACm , kan sammenlignes med ACL-mekanismen, ACLg , hvor kun grupper er tilladt som poster i en ACL. Barkley viste, at RBACm og ACLg er ækvivalente [4] .

I moderne implementeringer af SQL styrer ACL'er også grupper og arv i gruppehierarkiet. Således kan "moderne ACL'er" udtrykke alt, hvad RBAC udtrykker, og er særligt kraftfulde (sammenlignet med "gamle ACL'er") i deres evne til at udtrykke adgangskontrolpolitik i forhold til, hvordan administratorer ser på organisationer [5] .

Til dataudveksling og til "high-level comparisons" kan ACL-data konverteres til XACML [6] .

Noter

  1. S (Windows) . Hentet 18. november 2009. Arkiveret fra originalen 27. december 2009.
  2. Jaehoon Kim. Hybrid Authorization Conflict Detection i RDF Adgangskontrol  // Korea Institute of Information Technology Review. — 2013-02-28. - T. 11 , nej. 2 . — ISSN 1598-8619 . - doi : 10.14801/kiitr.2013.11.2.151 .
  3. Alvinashcraft. Adgangskontrollister - Win32   apps ? . learn.microsoft.com . Hentet: 13. oktober 2022.
  4. John Barley. Sammenligning af simple rollebaserede adgangskontrolmodeller og adgangskontrollister  // Proceedings of the second ACM workshop on Rolle-based access control - RBAC '97. - New York, New York, USA: ACM Press, 1997. - doi : 10.1145/266741.266769 .
  5. James Daly, Alex X. Liu, Eric Torng. En forskelsopløsningstilgang til komprimering af adgangskontrollister  // 2013 IEEE INFOCOM Proceedings. — IEEE, 2013-04. - doi : 10.1109/infcom.2013.6567005 .
  6. Günter Karjoth, Andreas Schade. Implementering af ACL-baserede politikker i XACML  // 2008 Annual Computer Security Applications Conference (ACSAC). — IEEE, 2008-12. - doi : 10.1109/acsac.2008.31 .