Was bedeutet Discretionary Access Control?
Discretionary Access Control (DAC) ist eine Art der Sicherheitszugriffskontrolle, die den Objektzugriff über eine Zugriffsrichtlinie gewährt oder einschränkt, die von der Eigentümergruppe und/oder den Subjekten eines Objekts bestimmt wird. DAC-Mechanismen werden durch die Identifizierung des Benutzers mit den bei der Authentifizierung bereitgestellten Anmeldeinformationen, wie Benutzername und Kennwort, definiert.
DACs sind diskretionär, da das Subjekt (der Eigentümer) authentifizierte Objekte oder den Informationszugang an andere Benutzer übertragen kann. Mit anderen Worten: Der Eigentümer bestimmt die Zugriffsrechte auf das Objekt. Lesen Sie dazu auch: “Die 7 Grundprinzipien der IT-Sicherheit“.
Techopedia erklärt Discretionary Access Control
Bei DAC hat jedes Systemobjekt (Datei oder Datenobjekt) einen Eigentümer, und jeder anfängliche Objekteigentümer ist das Subjekt, das seine Erstellung verursacht. Somit wird die Zugriffspolitik eines Objekts durch seinen Eigentümer bestimmt.
Ein typisches Beispiel für DAC ist der Unix-Dateimodus, der die Lese-, Schreib- und Ausführungsberechtigungen in jedem der drei Bits für jeden Benutzer, jede Gruppe und andere definiert.
DAC-Attribute umfassen:
- Der Benutzer kann das Eigentum an einem Objekt auf einen anderen Benutzer übertragen.
- Der Benutzer kann die Zugriffsart anderer Benutzer bestimmen.
- Nach mehreren Versuchen schränken fehlgeschlagene Autorisierungen den Benutzerzugriff ein.
- Unbefugte Benutzer sind blind für Objekteigenschaften wie Dateigröße, Dateiname und Verzeichnispfad.
Der Objektzugriff wird während der Zugriffskontrolllisten-Autorisierung (ACL) und auf der Grundlage der Benutzeridentifikation und/oder der Gruppenzugehörigkeit bestimmt.
DAC ist einfach zu implementieren und intuitiv, hat aber einige Nachteile, darunter:
- Inhärente Schwachstellen (Trojanisches Pferd)
- ACL-Wartung oder -Fähigkeit
- Pflege von erteilten und entzogenen Berechtigungen
- Begrenzte Macht der negativen Autorisierung