Оглавление:
- Определение. Что означает список контроля доступа (Microsoft) (ACL)?
- Techopedia объясняет список контроля доступа (Microsoft) (ACL)
Определение. Что означает список контроля доступа (Microsoft) (ACL)?
В контексте Microsoft, Access Control List (ACL) - это список информации о безопасности системного объекта, который определяет права доступа к таким ресурсам, как пользователи, группы, процессы или устройства. Системный объект может быть файлом, папкой или другим сетевым ресурсом. Информация о безопасности объекта называется разрешением, которое контролирует доступ к ресурсам для просмотра или изменения содержимого системного объекта.
ОС Windows использует ACL файловой системы, в которой разрешения пользователя / группы, связанные с объектом, внутренне поддерживаются в структуре данных. Этот тип модели безопасности также используется в Open Virtual System System (OpenVMS) и Unix-подобных или Mac OS X операционных системах.
ACL содержит список элементов, известных как объекты контроля доступа (ACE), в которых содержатся сведения о безопасности каждого «доверенного лица», имеющего доступ к системе. Доверенное лицо может быть отдельным пользователем, группой пользователей или процессом, который выполняет сеанс. Сведения о безопасности хранятся внутри структуры данных, которая представляет собой 32-разрядное значение, представляющее набор разрешений, используемый для работы защищаемого объекта. Сведения о безопасности объекта включают в себя общие права (чтение, запись и выполнение), права, специфичные для объекта (удаление и синхронизация и т. Д.), Права доступа к ACL системы (SACL) и права доступа к службам каталогов (специфичные для объектов службы каталогов). Когда процесс запрашивает права доступа к объекту из ACL, ACL получает эту информацию из ACE в форме маски доступа, которая сопоставляется с сохраненным 32-разрядным значением этого объекта.
Techopedia объясняет список контроля доступа (Microsoft) (ACL)
ACL - это модель безопасности на основе ресурсов, разработанная для обеспечения безопасности, которая облегчает авторизацию приложения, которое обращается к индивидуально защищенному ресурсу. Он не предназначен для этой цели в приложениях, которым требуются данные для авторизации из нескольких источников с базами данных и / или веб-службами и т. Д. Управление доступом на основе ролей - это еще один механизм, который используется для авторизации доступа к операциям на основе членства в роли вызывающего абонента и в большинстве случаев используется в веб-приложениях, требующих масштабируемости.
Windows использует два типа ACL:
- Дискреционный ACL (DACL): DACL проверяет личность опекуна, пытающегося получить доступ к объекту, и облегчает изменение прав доступа к объекту. DACL проверяет все ACE объекта в указанной последовательности и останавливается после проверки предоставленного или запрещенного доступа. Например, папке могут быть назначены эксклюзивные ограничения на чтение, но администратор обычно имеет полные права (чтение, запись и выполнение), которые переопределяют права DACL.
- Системный ACL (SACL). Администратор использует SACL для отслеживания попыток доступа к объекту доверенного лица и регистрирует сведения о доступе в журнале событий безопасности. Эта функция помогает отлаживать проблемы приложений, связанные с правами доступа и / или обнаружением вторжения. SACL имеет ACE, которые управляют набором правил аудита конкретного ресурса. Короче говоря, разница между ними заключается в том, что DACL ограничивает доступ, а SACL проверяет доступ.
