Diskretionäre Zugangskontrolle (dac)

Definition - Was bedeutet diskretionäre Zugangskontrolle (DAC)?

Discretionary Access Control (DAC) ist eine Art von Sicherheitszugriffskontrolle, die den Objektzugriff über eine Zugriffsrichtlinie gewährt oder einschränkt, die von der Eigentümergruppe und / oder den Subjekten eines Objekts festgelegt wird. Steuerelemente für den DAC-Mechanismus werden durch Benutzeridentifikation mit den während der Authentifizierung angegebenen Anmeldeinformationen wie Benutzername und Kennwort definiert. DACs sind frei wählbar, da der Betreff (Eigentümer) authentifizierte Objekte oder den Zugriff auf Informationen an andere Benutzer übertragen kann. Mit anderen Worten, der Eigentümer bestimmt die Objektzugriffsrechte.

Technische.me erklärt Discretionary Access Control (DAC)

In DAC hat jedes Systemobjekt (Datei- oder Datenobjekt) einen Eigentümer, und jeder ursprüngliche Objektbesitzer ist das Subjekt, das seine Erstellung verursacht. Somit wird die Zugriffsrichtlinie eines Objekts von seinem Eigentümer festgelegt.

Ein typisches Beispiel für DAC ist der Unix-Dateimodus, der die Lese-, Schreib- und Ausführungsberechtigungen in jedem der drei Bits für jeden Benutzer, jede Gruppe und andere definiert.

Zu den DAC-Attributen gehören:

  • Der Benutzer kann das Eigentum an einem anderen Benutzer übertragen.
  • Der Benutzer kann den Zugriffstyp anderer Benutzer bestimmen.
  • Nach mehreren Versuchen beschränken Autorisierungsfehler den Benutzerzugriff.
  • Nicht autorisierte Benutzer sind blind für Objektmerkmale wie Dateigröße, Dateiname und Verzeichnispfad.
  • Der Objektzugriff wird während der Autorisierung der Zugriffssteuerungsliste (ACL) festgelegt und basiert auf der Benutzeridentifikation und / oder der Gruppenmitgliedschaft.

DAC ist einfach zu implementieren und intuitiv, weist jedoch bestimmte Nachteile auf, darunter:

  • Inhärente Schwachstellen (Trojanisches Pferd)
  • ACL-Wartung oder -Fähigkeit
  • Gewähren und widerrufen Sie die Wartung von Berechtigungen
  • Begrenzte negative Berechtigungsbefugnis