Die diskretionäre Zugriffskontrolle wird unter Verwendung von Zugriffskontrolllisten implementiert. Der Sicherheitsadministrator erstellt ein Profil und ändert die Zugriffssteuerungsliste für das Profil für jedes Objekt (Ressource oder Ressourcengruppe). Diese Art der Kontrolle ist willkürlich in dem Sinne, dass Subjekte sie manipulieren können. Denn der Eigentümer einer Ressource kann entscheiden, wer mit welcher Berechtigung auf die Ressource zugreifen darf. In diesem Beitrag erfahren wir genau, was Discretionary Access Control (DAC) ist, sein Beispiel und wie es sich von Non-Discretionary Access Control unterscheidet.
Was ist Discretionary Access Control (DAC)
Eine Art Sicherheitszugriffskontrolle, die als Discretionary Access Control (DAC) bezeichnet wird, erlaubt oder verbietet den Zugriff auf ein Element basierend auf einer Richtlinie, die von der Eigentümergruppe und/oder den Subjekten des Objekts festgelegt wurde. Kontrollen für den DAC-Ansatz werden durch Benutzeridentifikation definiert. Durch die Verwendung von Anmeldeinformationen, die bei der Anmeldung bereitgestellt werden, z. B. Benutzername und Passwort. DACs sind optional, da das Subjekt (Eigentümer) berechtigt ist, anderen Benutzern Zugriff auf authentifizierte Objekte oder Informationen zu gewähren. Mit anderen Worten, der Eigentümer steuert die Berechtigungen für den Objektzugriff.
Diese Systeme bieten die meisten Berechtigungen und sind im Vergleich zu anderen Arten der Zugriffskontrolle am anpassungsfähigsten. Aufgrund ihrer enormen Flexibilität sind sie jedoch nicht die sichersten. Der Grund dafür ist, dass eine Person die vollständige Kontrolle über das System hat. Und sie sind in der Lage, Personen Zugang zu bieten, die sie nicht sollten. Darüber hinaus bieten DAC-Systeme Geschäftsinhabern und nicht Sicherheitsexperten die Kontrolle. Welches ist über die Zugriffsrechte und Berechtigungen für Benutzer. Sie müssen auch in Bezug auf Best Practices und Empfehlungen für die Sicherheit auf dem Laufenden sein.
Die besten Anwendungen für dieses Tool sind daher Unternehmen, in denen kein hohes Maß an Sicherheit erforderlich ist. Sowie Standorte, die die größte Flexibilität und Nützlichkeit erfordern. Typische Anwendungsfälle sind Schulen, Coaching-Einrichtungen, kleine Unternehmen, Startups und kleine Unternehmen.
Vor- und Nachteile von Dispositional Access Control (DAC)
Im Folgenden sind einige Vorteile der Verwendung von DAC aufgeführt:
- Benutzerfreundlichkeit: Die Benutzeroberfläche ist einfach zu verwenden und zu bedienen, und diese Methode macht den Umgang mit Daten und Berechtigungen relativ einfach.
- Flexibilität: Dieses Steuerelement bietet die meisten Genehmigungen und die einfachste Methode, anderen Zugriff zu gewähren, wie bereits erwähnt wurde.
- Kaum Wartung: Da diese Systeme keine fortlaufende Reparatur und Wartung erfordern, ist die Administration weniger für deren Verwaltung erforderlich.
Im Folgenden sind einige Nachteile der Verwendung von diskretionärer Zugriffskontrolle aufgeführt:
- Weniger vertrauenswürdig: Da der Zugriff leicht von einer Person auf eine andere übertragen werden kann und Informationen außerhalb des Unternehmens durchsickern können, ist DAC nicht die sicherste Lösung.
- Schwierig, den Datenfluss zu überwachen: Da DAC dezentralisiert ist, ist es schwierig, den Datenfluss und die Zugriffsberechtigungen zu überwachen. Die einzige Methode, dies zu erreichen, ist die Verwendung der ACL (Access Control List). Dies ist jedoch nur bei einem kleinen Unternehmen mit wenigen Mitarbeitern machbar.
Welche Arten der Zugangskontrolle gibt es?
Die drei Haupttypen von Zugriffskontrollsystemen sind Discretionary Access Control (DAC), Role-Based Access Control (RBAC) und Mandatory Access Control (MAC).
Warum ist eine diskretionäre Zugriffskontrolle wichtig?
Sicherheitsrisiken werden durch frei wählbare Zugriffsbeschränkungen verringert. Es erstellt eine Firewall gegen Malware-Angriffe und unbefugten Zugriff. Durch die Bereitstellung eines hochgradig verschlüsselten Sicherheitsprotokolls, das umgangen werden muss, bevor der Zugriff erlaubt wird.
Wie können wir die diskretionäre Zugriffskontrollmethode implementieren?
- Zugriff bestimmen: Die Fähigkeit eines Subjekts, ein Objekt zu verwenden, um eine Aktion in Übereinstimmung mit einer bestimmten Richtlinie auszuführen, hängt davon ab, ob es Zugriff darauf hat.
- Zugriff gewähren: Indem Sie Zugriff gewähren, können Sie jemandem erlauben, ein bestimmtes Objekt zu verwenden.
Was sind Schwachstellen bei der diskretionären Zugriffskontrolle?
- Benutzer mit übermäßig vielen oder unzureichenden Berechtigungen: Benutzer können Teil mehrerer verschachtelter Arbeitsgruppen sein. Inkonsistente Berechtigungen könnten dem Benutzer übermäßige oder unzureichende Berechtigungen gewähren.
- Eingeschränkte Kontrolle: Für Sicherheitsadministratoren ist es eine Herausforderung, die Ressourcenzuweisung innerhalb des Unternehmens zu überwachen.
Beispiel für diskretionäre Zugriffskontrolle
Bei der diskretionären Zugriffskontrolle hat beispielsweise jedes Systemobjekt (Datei oder Datenobjekt) einen Eigentümer oder die Person, die das Objekt erstellt hat. Folglich bestimmt der Eigentümer eines Elements die Zugriffsrichtlinie. Ein gängiges Beispiel für DAC ist der Unix-Dateimodus, der die Lese-, Schreib- und Ausführungsrechte für jeden Benutzer, jede Gruppe und andere Parteien in jedem der drei Bits festlegt.
Zu den Merkmalen von DACs gehören:
- Der Benutzer hat die Möglichkeit, den/die Eigentümer eines Objekts zu ändern.
- Benutzer sind dafür verantwortlich, zu bestimmen, welche Zugriffsebene andere Benutzer haben.
- Nach vielen Versuchen schränken Berechtigungsfehler den Benutzerzugriff ein.
- Die Dateigröße, der Dateiname und der Verzeichnispfad sind alles Objektattribute, die für Benutzer ohne Autorisierung unsichtbar sind.
- Basierend auf der Benutzeridentifikation und/oder der Gruppenmitgliedschaft wird der Objektzugriff während der Genehmigung der Zugriffssteuerungsliste (ACL) bestimmt.
Einem Verkäufer könnte beispielsweise Zugriff auf das Abrechnungssystem gewährt werden. Damit sie Abrechnungsaktivitäten anzeigen können, die für die Kundenprofile relevant sind, die ihre jeweilige Verkaufs-ID-Nummer enthalten. Aber nicht die Abrechnungsaktivität anderer Kunden. Denn Zugriffsrechte können auf bestimmte Benutzer zugeschnitten werden. Nur diejenigen, die für die Überwachung des gesamten Netzwerks verantwortlich sind, haben Zugriff auf alle Daten. Infolgedessen ist es weniger wahrscheinlich, dass Hacker, Unternehmensspione oder sogar verärgerte Ex-Mitarbeiter, die nach einer Möglichkeit suchen, sich an dem Unternehmen zu rächen, es zur Ausführung von Verbrechen verwenden.
Die genaue Organisation von DAC hängt von der Art der nützlichen Programme und der Verteilung der Zugriffsrechte ab. Einige Optionen ermöglichen die Zuweisung bestimmter Anmeldeinformationen, die anschließend nützlich sind, um die Berechtigungen für jedes dieser Programme zu ändern.
Nicht diskretionäre Zugriffskontrolle
Non-Discretionary Access Control (NDAC) bezieht sich auf jede Genehmigungskontrollstrategie außer Discretionary Access Control (DAC). Mandatory Access Control (MAC), bei der die Autorisierung nur erteilt wird, wenn die Freigabe des Subjekts mit der Sensibilitätsstufe des Objekts übereinstimmt, wird häufig als NDAC bezeichnet.
Beispiele für nicht diskretionäre Zugangskontrollmodelle
Benutzer können den Zugriff nicht nach eigenem Ermessen unter nicht diskretionären Zugriffskontrollschemata übertragen. Beispiele für die nicht diskretionäre Zugriffskontrolle sind:
- Bei der rollenbasierten Zugriffssteuerung wird der Zugriff gemäß den Verantwortlichkeiten gewährt, die ein Administrator zuweist.
- Beim regelbasierten Zugriffsmanagement wird der Zugriff anhand festgelegter Regeln bestimmt. Diese Art der Zugriffsbeschränkung wird häufig von Routern und Firewalls verwendet, um die Netzwerksicherheit zu gewährleisten.
- Bei der attributbasierten Zugriffsverwaltung wird der Zugriff anhand von Benutzerattributen wie Berufsbezeichnung, Team, Standort und Gerät entschieden.
Was ist der Unterschied zwischen diskretionärer und nicht diskretionärer Zugriffskontrolle?
Zu den nicht ermessensabhängigen Kosten gehören Dinge wie Miete, Steuern, Schuldenzahlungen und Lebensmittel. Ermessenskosten sind alle Ausgaben, die über das als notwendig erachtete Maß hinausgehen.
Was ist der Unterschied zwischen MAC und DAC?
Der Hauptunterschied zwischen DAC und MAC besteht darin, dass ersteres ein Zugriffskontrollverfahren verwendet. Wo der Ressourceneigentümer den Zugriff kontrolliert und letzterer den Zugriff basierend auf der Freigabestufe des Benutzers gewährt.
Was ist das DAC-Modell?
Das DAC-Modell, ein identitätsbasiertes Zugriffskontrollparadigma, gibt Benutzern ein gewisses Maß an Kontrolle über ihre Daten.
FAQ
Was ist diskretionäre Zugangskontrolle?
Eine Art Sicherheitszugriffskontrolle, die als Discretionary Access Control (DAC) bezeichnet wird, erlaubt oder verbietet den Zugriff auf ein Element basierend auf einer Richtlinie, die von der Eigentümergruppe und/oder den Subjekten des Objekts festgelegt wurde.
Welche 3 Arten der Zugangskontrolle gibt es?
Die drei Haupttypen von Zugriffskontrollsystemen sind Discretionary Access Control (DAC), Role Based Access Control (RBAC) und Mandatory Access Control (MAC).
Was ist der Unterschied zwischen MAC und DAC?
Der Hauptunterschied zwischen DAC und MAC besteht darin, dass ersteres ein Zugriffskontrollverfahren verwendet, bei dem der Ressourceneigentümer den Zugriff kontrolliert, während letzteres Zugriff basierend auf der Freigabestufe des Benutzers gewährt.
Verwandter Artikel
- Diskretionäre Anlageverwaltung: Überblick, Vorteile und Risiken
- DEFINITION VON ERMÄSSIGUNGSMÖGLICHEM EINKOMMEN: Was es ist, Unterschiede und Beispiele
- Diskretionäre Steuerpolitik: Definitiver Leitfaden 2023 (+detaillierte Beispiele)
- Active Directory-Verwaltungstools: Was es ist und was Sie darüber wissen müssen
Bibliographie
