SACL

Versiunea actuală a paginii nu a fost încă examinată de colaboratori experimentați și poate diferi semnificativ de versiunea revizuită la 15 martie 2013; verificările necesită 6 modificări .

„ SACL ” ( în engleză  System Access Control List ) este o listă de control al accesului la obiectele „ Microsoft Windows ” utilizată pentru a audita accesul la un obiect. [unu]

SACL este un mecanism tradițional de înregistrare a evenimentelor care definește modul în care este verificat accesul la fișiere și foldere. Spre deosebire de „ DACL ”, „SACL” nu poate restricționa accesul la fișiere și foldere. Dar poate urmări un eveniment care va fi scris în jurnalul de evenimente de securitate atunci când utilizatorul accesează fișierul sau folderul. Această urmărire poate fi utilă în rezolvarea problemelor de acces sau în determinarea intruziunilor interzise [2] .

Descriere

Pentru profesioniștii în securitate, „SACL” este cel mai important instrument pentru determinarea intruziunii. Administratorii de sistem folosesc mai mult „SACL” pentru a determina drepturile care trebuie acordate utilizatorului pentru ca aplicația să funcționeze corect. Dezvoltatorii folosesc „SACL” pentru a determina resursele la care aplicației i se interzice accesul, pentru a configura funcționarea corectă a aplicației, cu drepturi de acces limitate.

Lista de control al accesului la sistem (SACL) permite administratorilor să înregistreze încercările de a accesa un obiect protejat. Fiecare ACE definește tipurile de încercări de acces ale administratorului specificat care determină ca sistemul să genereze o intrare în jurnalul de evenimente de securitate. Un ACE dintr-un SACL poate genera intrări de audit atunci când o încercare de acces a eșuat, când a avut succes sau ambele [3] .

Lucrați în sistemul de operare Windows

În mod implicit, „ Windows ” nu urmărește evenimentele de acces. Pentru a activa „SACL” trebuie să:

1) Deschideți „Politica de securitate locală” rulând „secpol.msc”;

2) Extindeți „Politica locală” și selectați „Politica de audit”;

3) În dreapta, faceți dublu clic pe elementul „Audit acces la obiecte”. Selectați „Respingeți”.
Dacă este necesar să înregistrați erorile de acces, selectați „Succes”, dacă este necesar să înregistrați accesările reușite.

În Active Directory Domain Services , un administrator de domeniu poate activa auditarea accesului la obiect pentru toți membrii utilizând Politica de grup.

Comparație cu RBAC

Alternativa principală la modelul ACL este modelul de control al accesului bazat pe rol (RBAC) . „Modelul RBAC minim”, RBACm , poate fi comparat cu mecanismul ACL, ACLg , unde sunt permise doar grupuri ca intrări într-un ACL. Barkley a arătat că RBACm și ACLg sunt echivalente [4] .

În implementările moderne ale SQL, ACL-urile guvernează și grupurile și moștenirea în ierarhia grupului. Astfel, „ACL-urile moderne” pot exprima tot ceea ce exprimă RBAC și sunt deosebit de puternice (comparativ cu „ACL-urile vechi”) în capacitatea lor de a exprima politica de control al accesului în ceea ce privește modul în care administratorii văd organizațiile [5] .

Pentru schimbul de date și pentru „comparații la nivel înalt”, datele ACL pot fi convertite în XACML [6] .

Note

  1. S (Windows) . Consultat la 18 noiembrie 2009. Arhivat din original pe 27 decembrie 2009.
  2. Jaehoon Kim. Detectarea conflictelor de autorizare hibridă în controlul accesului RDF  // Korea Institute of Information Technology Review. — 28-02-2013. - T. 11 , nr. 2 . — ISSN 1598-8619 . - doi : 10.14801/kiitr.2013.11.2.151 .
  3. Alvinashcraft. Liste de control acces -   aplicații Win32 ? . learn.microsoft.com . Preluat: 13 octombrie 2022.
  4. John Barley. Compararea modelelor simple de control al accesului bazat pe rol și a listelor de control al accesului  // Proceedings of the second workshop ACM on Role-based access control - RBAC '97. - New York, New York, SUA: ACM Press, 1997. - doi : 10.1145/266741.266769 .
  5. James Daly, Alex X. Liu, Eric Torng. O abordare de rezoluție diferită pentru comprimarea listelor de control al accesului  // 2013 IEEE INFOCOM Proceedings. — IEEE, 2013-04. - doi : 10.1109/infcom.2013.6567005 .
  6. Günter Karjoth, Andreas Schade. Implementarea politicilor bazate pe ACL în XACML  // 2008 Conferința anuală privind aplicațiile de securitate a computerelor (ACSAC). — IEEE, 2008-12. - doi : 10.1109/acsac.2008.31 .