SACL: различия между версиями

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску
Интерактивная навигация по истории
(Показать все непатрулированные изменения)
[непроверенная версия][непроверенная версия]
← Предыдущая правкаСледующая правка →
Содержимое удалено Содержимое добавлено
ВизуальныйВики-текст
оформление
обновление, дополнение, внутренние ссылки, источники
Строка 1: Строка 1:
«'''SACL'''» ({{lang-en|System Access Control List}}) — [[Избирательное управление доступом|список управления доступом]] к объектам «[[Microsoft Windows]]», используемый для [[журналирование|аудита]] доступа к объекту.<ref>{{Cite web |url=http://msdn.microsoft.com/en-us/library/ms721625(VS.85).aspx |title=S (Windows)<!-- Заголовок добавлен ботом --> |access-date=2009-11-18 |archive-date=2009-12-27 |archive-url=https://web.archive.org/web/20091227080952/http://msdn.microsoft.com/en-us/library/ms721625(VS.85).aspx |deadlink=no }}</ref>
«'''SACL'''» ({{lang-en|System Access Control List}}) — [[Избирательное управление доступом|список управления доступом]] к объектам «[[Microsoft Windows]]», используемый для [[журналирование|аудита]] доступа к объекту.<ref>{{Cite web |url=http://msdn.microsoft.com/en-us/library/ms721625(VS.85).aspx |title=S (Windows)<!-- Заголовок добавлен ботом --> |access-date=2009-11-18 |archive-date=2009-12-27 |archive-url=https://web.archive.org/web/20091227080952/http://msdn.microsoft.com/en-us/library/ms721625(VS.85).aspx |deadlink=no }}</ref>


«'''SACL'''» - это традиционный механизм логирования событий, который определяет, как проверяется доступ к файлам и папкам. В отличие от «[[DACL]]», «SACL» не может ограничивать доступ к файлам и папкам. Но он может отследить событие, которое будет записано в журнал событий безопасности(security event log), когда пользователь обратится к файлу или папке. Это отслеживание может быть полезно при решении проблем доступа или при определении запрещенного проникновения.
«'''SACL'''» - это традиционный механизм [[Журналирование|логирования событий]], который определяет, как проверяется доступ к файлам и папкам. В отличие от «[[DACL]]», «SACL» не может ограничивать доступ к файлам и папкам. Но он может отследить событие, которое будет записано в журнал событий безопасности(security event log), когда пользователь обратится к файлу или папке. Это отслеживание может быть полезно при решении проблем доступа или при определении запрещенного проникновения<ref>{{Статья|ссылка=http://dx.doi.org/10.14801/kiitr.2013.11.2.151|автор=Jaehoon Kim|заглавие=Hybrid Authorization Conflict Detection in RDF Access Control|год=2013-02-28|издание=Korea Institute of Information Technology Review|том=11|выпуск=2|issn=1598-8619|doi=10.14801/kiitr.2013.11.2.151}}</ref>.


== Описание ==
== Описание ==
Для специалистов в сфере безопасности, «SACL» — важнейший инструмент для определения проникновения. Системные администраторы больше используют «SACL» для определения прав, которые необходимо дать пользователю, для корректной работы приложения. Разработчики используют «SACL» для определения ресурсов, к которым доступ приложения запрещен, для настройки корректности работы приложения, при ограниченных правах доступа.
Для специалистов в сфере безопасности, «SACL» — важнейший инструмент для определения проникновения. Системные администраторы больше используют «SACL» для определения прав, которые необходимо дать пользователю, для корректной работы приложения. Разработчики используют «SACL» для определения ресурсов, к которым доступ приложения запрещен, для настройки корректности работы приложения, при ограниченных правах доступа.

Системный ''список управления доступом'' (SACL) позволяет администраторам регистрировать попытки доступа к защищенному объекту. Каждая запись ACE определяет типы попыток доступа со стороны указанного доверенного лица, которые заставляют систему создавать запись в журнале событий безопасности. ACE в SACL может генерировать записи аудита, когда попытка доступа не удалась, когда она была успешной, или в обоих случаях<ref>{{Cite web|lang=en-us|url=https://learn.microsoft.com/en-us/windows/win32/secauthz/access-control-lists|title=Access Control Lists - Win32 apps|author=alvinashcraft|website=learn.microsoft.com|access-date=2022-10-13}}</ref>.


== Работа в ОС Windows ==
== Работа в ОС Windows ==
Строка 16: Строка 18:


В «[[Active_Directory|Active Directory Domain Services]]» администратор домена может включить аудит доступа к объектам для всех членов используя групповую политику.
В «[[Active_Directory|Active Directory Domain Services]]» администратор домена может включить аудит доступа к объектам для всех членов используя групповую политику.

== Сравнение с RBAC ==
Основной альтернативой модели ACL является [[Управление доступом на основе ролей|модель управления доступом на основе ролей (RBAC)]]. «Минимальную модель RBAC», ''RBACm'' , можно сравнить с механизмом ACL, ''ACLg'' , где в качестве записей в ACL разрешены только группы. Barkley показал, что ''RBACm'' и ''ACLg'' эквивалентны<ref>{{Статья|ссылка=http://dx.doi.org/10.1145/266741.266769|автор=John Barkley|заглавие=Comparing simple role based access control models and access control lists|год=1997|место=New York, New York, USA|издание=Proceedings of the second ACM workshop on Role-based access control - RBAC '97|издательство=ACM Press|doi=10.1145/266741.266769}}</ref>.

В современных реализациях SQL ACL также управляют группами и наследованием в иерархии групп. Таким образом, «современные списки ACL» могут выражать все то, что выражает RBAC, и являются особенно мощными (по сравнению со «старыми ACL») в своей способности выражать политику управления доступом с точки зрения того, как администраторы рассматривают организации<ref>{{Статья|ссылка=http://dx.doi.org/10.1109/infcom.2013.6567005|автор=James Daly, Alex X. Liu, Eric Torng|заглавие=A difference resolution approach to compressing Access Control Lists|год=2013-04|издание=2013 Proceedings IEEE INFOCOM|издательство=IEEE|doi=10.1109/infcom.2013.6567005}}</ref>.

Для обмена данными и для «высокоуровневых сравнений» данные ACL можно преобразовать в XACML<ref>{{Статья|ссылка=http://dx.doi.org/10.1109/acsac.2008.31|автор=Günter Karjoth, Andreas Schade|заглавие=Implementing ACL-Based Policies in XACML|год=2008-12|издание=2008 Annual Computer Security Applications Conference (ACSAC)|издательство=IEEE|doi=10.1109/acsac.2008.31}}</ref> .


== Примечания ==
== Примечания ==
{{примечания}}
{{примечания}}



{{empty}}


[[Категория:Технологии безопасности Microsoft Windows]]
[[Категория:Технологии безопасности Microsoft Windows]]

Версия от 13:54, 13 октября 2022

«SACL» (англ. System Access Control List) — список управления доступом к объектам «Microsoft Windows», используемый для аудита доступа к объекту.[1]

«SACL» - это традиционный механизм логирования событий, который определяет, как проверяется доступ к файлам и папкам. В отличие от «DACL», «SACL» не может ограничивать доступ к файлам и папкам. Но он может отследить событие, которое будет записано в журнал событий безопасности(security event log), когда пользователь обратится к файлу или папке. Это отслеживание может быть полезно при решении проблем доступа или при определении запрещенного проникновения[2].

Описание

Для специалистов в сфере безопасности, «SACL» — важнейший инструмент для определения проникновения. Системные администраторы больше используют «SACL» для определения прав, которые необходимо дать пользователю, для корректной работы приложения. Разработчики используют «SACL» для определения ресурсов, к которым доступ приложения запрещен, для настройки корректности работы приложения, при ограниченных правах доступа.

Системный список управления доступом (SACL) позволяет администраторам регистрировать попытки доступа к защищенному объекту. Каждая запись ACE определяет типы попыток доступа со стороны указанного доверенного лица, которые заставляют систему создавать запись в журнале событий безопасности. ACE в SACL может генерировать записи аудита, когда попытка доступа не удалась, когда она была успешной, или в обоих случаях[3].

Работа в ОС Windows

По умолчанию, «Windows» не отслеживает события доступа. Для включения «SACL» необходимо:

1) Открыть «Локальную политику безопасности», запустив «secpol.msc»;

2) Развернуть «Локальная политика», и выбрать «Политика Аудита»;

3) Справа произвести двойной клик по пункту "Аудит доступа к объектам". Выбрать "Отказ".
В случае необходимости логирования ошибок доступа, выбрать "Успех", в случае необходимости логирования успешных доступов.

В «Active Directory Domain Services» администратор домена может включить аудит доступа к объектам для всех членов используя групповую политику.

Сравнение с RBAC

Основной альтернативой модели ACL является модель управления доступом на основе ролей (RBAC). «Минимальную модель RBAC», RBACm , можно сравнить с механизмом ACL, ACLg , где в качестве записей в ACL разрешены только группы. Barkley показал, что RBACm и ACLg эквивалентны[4].

В современных реализациях SQL ACL также управляют группами и наследованием в иерархии групп. Таким образом, «современные списки ACL» могут выражать все то, что выражает RBAC, и являются особенно мощными (по сравнению со «старыми ACL») в своей способности выражать политику управления доступом с точки зрения того, как администраторы рассматривают организации[5].

Для обмена данными и для «высокоуровневых сравнений» данные ACL можно преобразовать в XACML[6] .

Примечания

  1. S (Windows). Дата обращения: 18 ноября 2009. Архивировано 27 декабря 2009 года.
  2. Jaehoon Kim. Hybrid Authorization Conflict Detection in RDF Access Control // Korea Institute of Information Technology Review. — 2013-02-28. — Т. 11, вып. 2. — ISSN 1598-8619. — doi:10.14801/kiitr.2013.11.2.151.
  3. alvinashcraft. Access Control Lists - Win32 apps (амер. англ.). learn.microsoft.com. Дата обращения: 13 октября 2022.
  4. John Barkley. Comparing simple role based access control models and access control lists // Proceedings of the second ACM workshop on Role-based access control - RBAC '97. — New York, New York, USA: ACM Press, 1997. — doi:10.1145/266741.266769.
  5. James Daly, Alex X. Liu, Eric Torng. A difference resolution approach to compressing Access Control Lists // 2013 Proceedings IEEE INFOCOM. — IEEE, 2013-04. — doi:10.1109/infcom.2013.6567005.
  6. Günter Karjoth, Andreas Schade. Implementing ACL-Based Policies in XACML // 2008 Annual Computer Security Applications Conference (ACSAC). — IEEE, 2008-12. — doi:10.1109/acsac.2008.31.
Источник — https://ru.wikipedia.org/w/index.php?title=SACL&oldid=126037226