目录:
定义-访问控制列表(Microsoft)(ACL)是什么意思?
在Microsoft上下文中,访问控制列表(ACL)是系统对象安全信息的列表,该信息定义了对用户,组,进程或设备等资源的访问权限。 系统对象可以是文件,文件夹或其他网络资源。 对象的安全信息称为权限,它控制资源访问以查看或修改系统对象的内容。
Windows操作系统使用文件系统ACL,其中与对象关联的用户/组权限在内部保留在数据结构中。 这种类型的安全模型也用于开放式虚拟内存系统(OpenVMS)和类Unix或Mac OS X操作系统中。
ACL包含一个项目列表,称为访问控制实体(ACE),其中包含每个具有系统访问权限的“受托人”的安全详细信息。 受托人可以是单个用户,一组用户或执行会话的进程。 安全详细信息内部存储在数据结构中,该数据结构是一个32位值,代表用于操作可保护对象的权限集。 对象安全性详细信息包括通用权限(读取,写入和执行),特定于对象的权限(删除和同步等),系统ACL(SACL)访问权限和目录服务访问权限(特定于目录服务对象)。 当进程从ACL请求对象的访问权限时,ACL会以访问掩码的形式从ACE检索此信息,该访问掩码映射到该对象存储的32位值。
Techopedia解释了访问控制列表(Microsoft)(ACL)
ACL是一种基于资源的安全模型,旨在提供安全性,以促进访问单个受保护资源的应用程序的授权。 它在需要数据以通过数据库和/或Web服务等多个来源进行授权的应用程序中不能满足此目的。基于角色的访问控制是另一种机制,用于根据调用者的角色成员身份来授权对操作的访问。在需要可伸缩性的Web应用程序中使用。
Windows使用两种ACL类型:
- 裁量性ACL(DACL):DACL验证尝试访问对象的受托者的身份,并促进对象访问权限的修改。 DACL按照指定的顺序检查所有对象ACE,并在验证授予或拒绝访问后停止。 例如,可以为文件夹分配排他的读取访问限制,但是管理员通常具有覆盖DACL权限的完整权限(读取,写入和执行)。
- 系统ACL(SACL):管理员使用SACL来监视受信对象访问尝试并将访问详细信息记录在安全事件日志中。 此功能有助于调试与访问权限和/或入侵检测有关的应用程序问题。 SACL具有管理特定资源的审核规则集的ACE。 简而言之,两者的区别在于DACL限制访问,而SACL审核访问。
