SACL

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 15 mars 2013; kontroller kräver 6 redigeringar .

" SACL " ( Engelska  System Access Control List ) är en åtkomstkontrolllista till " Microsoft Windows " -objekt som används för att granska åtkomst till ett objekt. [ett]

SACL är en traditionell händelseloggningsmekanism som definierar hur åtkomst till filer och mappar kontrolleras. Till skillnad från " DACL " kan "SACL" inte begränsa åtkomst till filer och mappar. Men den kan spåra en händelse som kommer att skrivas till säkerhetshändelseloggen när användaren kommer åt filen eller mappen. Denna spårning kan vara användbar för att lösa åtkomstproblem eller för att fastställa förbjudna intrång [2] .

Beskrivning

För säkerhetspersonal är "SACL" det viktigaste verktyget för att fastställa intrång. Systemadministratörer använder "SACL" mer för att avgöra vilka rättigheter som måste ges till användaren för att applikationen ska fungera korrekt. Utvecklare använder "SACL" för att avgöra till vilka resurser applikationen nekas åtkomst, för att konfigurera applikationens korrekta funktion, med begränsade åtkomsträttigheter.

System Access Control List (SACL) tillåter administratörer att logga försök att komma åt ett skyddat objekt. Varje ACE definierar de typer av åtkomstförsök av den angivna förvaltaren som gör att systemet genererar en post i säkerhetshändelseloggen. En ACE i en SACL kan generera granskningsposter när ett åtkomstförsök misslyckades, när det lyckades, eller både och [3] .

Arbeta i Windows OS

Som standard spårar inte " Windows " åtkomsthändelser. För att aktivera "SACL" måste du:

1) Öppna "Lokal säkerhetspolicy" genom att köra "secpol.msc";

2) Expandera "Lokal policy" och välj "Revisionspolicy";

3) Till höger, dubbelklicka på objektet "Revisionsåtkomst till objekt". Välj "Avvisa".
Om det är nödvändigt att logga åtkomstfel, välj "Framgång", om det är nödvändigt att logga framgångsrika åtkomster.

I Active Directory Domain Services kan en domänadministratör aktivera granskning av objektåtkomst för alla medlemmar som använder grupprincip.

Jämförelse med RBAC

Det primära alternativet till ACL -modellen är den rollbaserade åtkomstkontrollmodellen (RBAC) . "Minsta RBAC-modellen", RBACm , kan jämföras med ACL-mekanismen, ACLg , där endast grupper är tillåtna som poster i en ACL. Barkley visade att RBACm och ACLg är ekvivalenta [4] .

I moderna implementeringar av SQL styr ACL också grupper och arv i grupphierarkin. Således kan "moderna ACLs" uttrycka allt som RBAC uttrycker, och är särskilt kraftfulla (jämfört med "gamla ACLs") i sin förmåga att uttrycka åtkomstkontrollpolicy i termer av hur administratörer ser på organisationer [5] .

För datautbyte och för "högnivåjämförelser" kan ACL-data konverteras till XACML [6] .

Anteckningar

  1. S (Windows) . Hämtad 18 november 2009. Arkiverad från originalet 27 december 2009.
  2. Jaehoon Kim. Hybrid auktorisering Konfliktdetektering i RDF Access Control  // Korea Institute of Information Technology Review. — 2013-02-28. - T. 11 , nej. 2 . — ISSN 1598-8619 . - doi : 10.14801/kiitr.2013.11.2.151 .
  3. Alvinashcraft. Åtkomstkontrolllistor - Win32-   appar ? . learn.microsoft.com . Hämtad: 13 oktober 2022.
  4. John Barley. Jämföra enkla rollbaserade åtkomstkontrollmodeller och åtkomstkontrollistor  // Proceedings of the second ACM workshop on Roll-based access control - RBAC '97. - New York, New York, USA: ACM Press, 1997. - doi : 10.1145/266741.266769 .
  5. James Daly, Alex X. Liu, Eric Torng. En skillnadsupplösningsmetod för att komprimera åtkomstkontrollistor  // 2013 IEEE INFOCOM Proceedings. — IEEE, 2013-04. - doi : 10.1109/infcom.2013.6567005 .
  6. Günter Karjoth, Andreas Schade. Implementering av ACL-baserade policyer i XACML  // 2008 års konferens om datorsäkerhetsapplikationer (ACSAC). — IEEE, 2008-12. - doi : 10.1109/acsac.2008.31 .