SACL

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 15. března 2013; kontroly vyžadují 6 úprav .

" SACL " ( anglicky  System Access Control List ) je seznam řízení přístupu k objektům " Microsoft Windows " používaný k auditu přístupu k objektu. [jeden]

SACL je tradiční mechanismus protokolování událostí , který definuje způsob kontroly přístupu k souborům a složkám. Na rozdíl od " DACL " nemůže "SACL" omezit přístup k souborům a složkám. Může však sledovat událost, která bude zapsána do protokolu událostí zabezpečení, když uživatel přistoupí k souboru nebo složce. Toto sledování může být užitečné při řešení problémů s přístupem nebo při určování zakázaných průniků [2] .

Popis

Pro bezpečnostní profesionály je "SACL" nejdůležitějším nástrojem pro určení narušení. Správci systému používají „SACL“ spíše k určení práv, která musí být uživateli udělena, aby aplikace správně fungovala. Vývojáři používají „SACL“ k určení zdrojů, ke kterým má aplikace odepřen přístup, ke konfiguraci správného fungování aplikace s omezenými přístupovými právy.

Seznam SACL ( System Access Control List ) umožňuje správcům protokolovat pokusy o přístup k chráněnému objektu. Každý ACE definuje typy pokusů o přístup zadaným důvěryhodným uživatelem, které způsobí, že systém vygeneruje záznam v protokolu událostí zabezpečení. ACE v SACL může generovat záznamy auditu, když selhal pokus o přístup, když byl úspěšný, nebo obojí [3] .

Práce v OS Windows

Ve výchozím nastavení " Windows " nesleduje události přístupu. Chcete-li povolit "SACL", musíte:

1) Otevřete "Místní bezpečnostní politiku" spuštěním "secpol.msc";

2) Rozbalte "Místní zásady" a vyberte "Zásady auditu";

3) Vpravo dvakrát klikněte na položku „Audit přístup k objektům“. Vyberte "Odmítnout".
Pokud je nutné protokolovat chyby přístupu, zvolte "Úspěch", pokud je nutné protokolovat úspěšné přístupy.

Ve službě Active Directory Domain Services může správce domény povolit auditování přístupu k objektům pro všechny členy pomocí zásad skupiny.

Srovnání s RBAC

Primární alternativou k modelu ACL je model řízení přístupu na základě rolí (RBAC) . "Minimální model RBAC", RBACm , lze přirovnat k mechanismu ACL, ACLg , kde jsou povoleny pouze skupiny jako položky v ACL. Barkley ukázal, že RBACm a ACLg jsou ekvivalentní [4] .

V moderních implementacích SQL, ACL také řídí skupiny a dědičnost v hierarchii skupin. „Moderní seznamy ACL“ tedy mohou vyjadřovat vše, co vyjadřuje RBAC, a jsou obzvláště silné (ve srovnání se „starými seznamy ACL“) ve své schopnosti vyjadřovat politiku řízení přístupu z hlediska toho, jak správci nahlížejí na organizace [5] .

Pro výměnu dat a pro „porovnávání na vysoké úrovni“ lze data ACL převést do XACML [6] .

Poznámky

  1. S (Windows) . Získáno 18. listopadu 2009. Archivováno z originálu 27. prosince 2009.
  2. Jaehoon Kim. Detekce hybridních autorizačních konfliktů v RDF Access Control  // Recenze Korejského institutu informačních technologií. — 28. 2. 2013. - T. 11 , č.p. 2 . — ISSN 1598-8619 . - doi : 10.14801/kiitr.2013.11.2.151 .
  3. Alvinashcraft. Seznamy řízení přístupu –   aplikace pro Win32 ? . learn.microsoft.com . Staženo: 13. října 2022.
  4. John Barley. Porovnání jednoduchých modelů řízení přístupu na základě rolí a seznamů řízení přístupu  // Sborník z druhého workshopu ACM o řízení přístupu na základě rolí - RBAC '97. - New York, New York, USA: ACM Press, 1997. - doi : 10.1145/266741.266769 .
  5. James Daly, Alex X. Liu, Eric Torng. Přístup s rozdílným rozlišením ke kompresi seznamů řízení přístupu  // 2013 IEEE INFOCOM Proceedings. — IEEE, 2013-04. - doi : 10.1109/infcom.2013.6567005 .
  6. Günter Karjoth, Andreas Schade. Implementace zásad založených na ACL v XACML  // 2008 Annual Computer Security Applications Conference (ACSAC). — IEEE, 2008-12. - doi : 10.1109/acsac.2008.31 .