Компьютеры и Интернет
Список управления доступом (ACL) – это любой механизм для реализации управления доступом в ОС, файловой системе, службе каталогов или другом программном обеспечении. Списки управления доступом (ACL) внедрены в базовую архитектуру операционных систем платформ Microsoft Windows и используются для управления доступом к объектам в Active Directory и файлам на томах NTFS.
Список управления доступом – это в основном список, прикрепленный к объекту, определяющий, какие субъекты безопасности (пользователи, группы, компьютеры и т. д.) имеют доступ к объекту и какой уровень доступа им разрешен. В Windows 7 списки управления доступом правильнее называть дискреционными списками управления доступом (DACL), поскольку они могут настраиваться и управляться администраторами по своему усмотрению.
Существует также другой тип ACL в Windows, называемый System access control list (SACL), который используется для управления генерацией сообщений аудита, когда аудит объектов был настроен в файловой системе.
Список контроля доступа к системе (SACL)
Системный список управления доступом (SACL) позволяет администраторам регистрировать попытки доступа к защищенному объекту. Каждый ACE определяет типы попыток доступа указанного доверенного лица, которые заставляют систему генерировать запись в журнале событий безопасности. ACE в SACL может генерировать записи аудита, когда попытка доступа терпит неудачу, когда она успешна, или и то, и другое. Дополнительные сведения о SACLs см. В разделе генерация аудита и право доступа к SACL.
Списки управления доступом изначально реализованы на некоторых платформах операционных систем UNIX, таких как Solaris (который впервые реализовал ACL в версии 2.5.1), а также доступны в качестве стороннего программного обеспечения для других платформ UNIX.
Традиционно управление доступом в файловых системах UNIX осуществлялось с помощью команды chmod (change mode), но это обеспечивало лишь ограниченный или грубый контроль разрешений на доступ к файлам и не обеспечивало гибкости для настройки уникальных наборов разрешений на доступ для конкретных пользователей или групп.
Для установки и отображения списков управления доступом в Solaris используйте команды setfacl и getfacl. Другие пакеты UNIX и надстройки могут использовать различные команды, такие как setacl и getacl .
Зачем использовать ACL?
Основная идея использования ACL заключается в обеспечении безопасности вашей сети. Без него любой трафик может либо входить, либо выходить, что делает его более уязвимым для нежелательного и опасного трафика.
Для повышения безопасности с помощью ACL можно, например, запретить определенные обновления маршрутизации или обеспечить управление потоком трафика.
Как показано на рисунке ниже, устройство маршрутизации имеет ACL, который запрещает доступ хосту C в финансовую сеть, и в то же время он разрешает доступ к хосту D.
С помощью ACL вы можете фильтровать пакеты для одного или группы IP-адресов или различных протоколов, таких как TCP или UDP.
Так, например, вместо блокировки только одного хоста в команде разработчиков, вы можете запретить доступ ко всей сети и разрешить только один. Или вы также можете ограничить доступ к хосту C.
Если инженеру с хоста С необходимо получить доступ к веб-серверу, расположенному в финансовой сети, можно разрешить только порт 80, а все остальное заблокировать.
