Was ist Zugriffssteuerungsliste (Microsoft) (ACL)?
In einem Microsoft-Kontext ist die Zugriffssteuerungsliste (Access Control List, ACL) die Liste der Sicherheitsinformationen eines Systemobjekts, die Zugriffsrechte für Ressourcen wie Benutzer, Gruppen, Prozesse oder Geräte definiert. Das Systemobjekt kann eine Datei, ein Ordner oder eine andere Netzwerkressource sein. Die Sicherheitsinformationen des Objekts werden als Berechtigung bezeichnet, die den Ressourcenzugriff zum Anzeigen oder Ändern von Systemobjekt-Inhalten steuert.
Das Windows-Betriebssystem verwendet die Dateisystem-ACL, in der die einem Objekt zugeordneten Benutzer- / Gruppenberechtigungen intern in einer Datenstruktur verwaltet werden. Diese Art von Sicherheitsmodell wird auch in Open Virtual Memory System- (OpenVMS) und Unix-ähnlichen oder Mac OS X-Betriebssystemen verwendet.
Die ACL enthält eine Liste von Elementen, die als Zugriffssteuerungselemente (Access Control Entities, ACE) bezeichnet werden und die Sicherheitsdetails jedes ‚Treuhänders‘ mit Systemzugriff enthalten. Ein Treuhänder kann ein einzelner Benutzer, eine Gruppe von Benutzern oder ein Prozess sein, der eine Sitzung ausführt. Sicherheitsdetails werden intern in einer Datenstruktur gespeichert, bei der es sich um einen 32-Bit-Wert handelt, der den Berechtigungssatz darstellt, der zum Betreiben eines sicherungsfähigen Objekts verwendet wird.
Zu den Objektsicherheitsdetails gehören generische Rechte (Lesen, Schreiben und Ausführen), objektspezifische Rechte (Löschen und Synchronisieren usw.), Zugriffsrechte für System-ACL (SACL) und Zugriffsrechte für Verzeichnisdienste (spezifisch für Verzeichnisdienstobjekte). Wenn ein Prozess die Zugriffsrechte eines Objekts von ACL anfordert, ruft ACL diese Informationen vom ACE in Form einer Zugriffsmaske ab, die dem gespeicherten 32-Bit-Wert dieses Objekts entspricht.
ACL ist ein ressourcenbasiertes Sicherheitsmodell, das entwickelt wurde, um Sicherheit zu bieten, die die Autorisierung einer Anwendung ermöglicht, die auf eine individuell gesicherte Ressource zugreift. Dies dient nicht diesem Zweck in Anwendungen, die Daten für die Autorisierung von mehreren Quellen mit Datenbanken und / oder Webdiensten usw. benötigen. Die rollenbasierte Zugriffssteuerung ist ein weiterer Mechanismus, der den Zugriff auf Operationen basierend auf der Rollenmitgliedschaft eines Aufrufers erlaubt Wird in Webanwendungen verwendet, die Skalierbarkeit erfordern.
Windows verwendet zwei ACL-Typen:
Discretionary ACL (DACL): Ein DACL überprüft die Identität eines Treuhänders, der den Objektzugriff versucht, und erleichtert die Änderung des Objektzugriffsrechts. Eine DACL überprüft alle Objekt-ACEs in einer angegebenen Reihenfolge und stoppt nach der Überprüfung des gewährten oder verweigerten Zugriffs. Einem Ordner können beispielsweise exklusive Lesezugriffsbeschränkungen zugewiesen werden, aber ein Administrator verfügt normalerweise über vollständige Rechte (Lesen, Schreiben und Ausführen), die DACL-Rechte überschreiben.
System-ACL (SACL): Ein Administrator verwendet eine SACL, um Zugriffe auf Trustee-Objekte zu überwachen und Zugriffsdetails im Sicherheitsereignisprotokoll zu protokollieren. Diese Funktion hilft beim Debuggen von Anwendungsproblemen im Zusammenhang mit Zugriffsrechten und / oder Intrusion Detection. Eine SACL verfügt über ACEs, die die Überwachungsregeln einer bestimmten Ressource verwalten. Kurz gesagt besteht der Unterschied zwischen den beiden darin, dass DACL den Zugriff einschränkt, während SACL den Zugriff prüft.
