Trickest का उपयोग करें और दुनिया के सबसे उन्नत समुदाय उपकरणों द्वारा संचालित कार्यप्रवाह को आसानी से निर्मित करें और स्वचालित करें। आज ही पहुंचें:

Automate OffSec, EASM, and Custom Security Processes | Trickest

पहुंच नियंत्रण सूची (ACL)

एक पहुंच नियंत्रण सूची (ACL) एक क्रमबद्ध सेट के पहुंच नियंत्रण प्रविष्टियों (ACEs) से मिलकर बनी होती है जो एक वस्तु और उसकी गुणवत्ताओं के लिए संरक्षण निर्धारित करती है। सारांश में, ACL यह निर्धारित करती है कि एक दिए गए वस्तु पर किस सुरक्षा सिद्धांत (उपयोगकर्ता या समूह) द्वारा कौन से कार्रवाई स्वीकृत या निषेधित हैं।

दो प्रकार की ACL होती हैं:

• विवेकाधीन पहुंच नियंत्रण सूची (DACL): निर्धारित करती है कि किस उपयोगकर्ता और समूह को एक वस्तु तक पहुंच है या नहीं।

• सिस्टम पहुंच नियंत्रण सूची (SACL): एक वस्तु के परामर्श प्रयासों की लेखनी का नियंत्रण करती है।

एक फ़ाइल तक पहुंच करने की प्रक्रिया में, सिस्टम उपयोगकर्ता के पहुंच टोकन के खिलाफ वस्तु की सुरक्षा विवरणकर्ता की जांच करता है ताकि पहुंच प्रदान की जाए और उस पहुंच की व्यापकता, ACEs के आधार पर, निर्धारित की जा सके।

मुख्य घटक

• DACL: एक वस्तु के लिए उपयोगकर्ताओं और समूहों को पहुंच अनुमतियों को देने या नकारने वाली ACEs शामिल करती है। यह मुख्य रूप से पहुंच अधिकारों को निर्धारित करने वाली मुख्य ACL है।

• SACL: वस्तुओं तक पहुंच की लेखनी के लिए उपयोग की जाती है, जहां ACEs सुरक्षा घटना लॉग में लॉग करने के प्रकार को परिभाषित करती हैं। यह अनधिकृत पहुंच प्रयासों का पता लगाने या पहुंच समस्याओं का समाधान करने के लिए अमूल्य हो सकता है।

ACLs के साथ सिस्टम इंटरेक्शन

प्रत्येक उपयोगकर्ता सत्र से एक पहुंच टोकन जुड़ा होता है जिसमें उस सत्र से संबंधित सुरक्षा सूचना, उपयोगकर्ता, समूह पहचान और विशेषाधिकार शामिल होते हैं। यह टोकन एक लॉगऑन SID भी शामिल करता है जो सत्र को अद्वितीयता से पहचानता है।

स्थानीय सुरक्षा प्राधिकरण (LSASS) ACEs की जांच करके वस्तुओं के प्रति पहुंच प्रारंभ करता है जो सुरक्षा सिद्धांत की कोशिश कर रहे सुरक्षा सिद्धांत के साथ मेल खाते हैं। कोई संबंधित ACEs नहीं मिलते हैं तो पहुंच तुरंत प्रदान की जाती है। अन्यथा, LSASS उपयोगकर्ता के SID के साथ ACEs की तुलना करता है तक पहुंच पात्रता निर्धारित करने के लिए।

संक्षेपित प्रक्रिया

• ACLs: DACLs के माध्यम से पहुंच अनुमतियाँ परिभाषित करती हैं और SACLs के माध्यम से लेखनी नियम परिभाषित करती हैं।

• पहुंच टोकन: एक सत्र के लिए उपयोगकर्ता, समूह और विशेषाधिकार सूचना शामिल करता है।

• पहुंच निर्णय: DACL ACEs को पहुंच टोकन के साथ तुलना करके निर्णय लिया जाता है; लेखनी नियमों का लेखन के लिए उपयोग किया जाता है।

ACEs

तीन मुख्य प्रकार की पहुंच नियंत्रण प्रविष्टियाँ (ACEs) होती हैं:

• पहुंच निषेधित ACE: इस ACE निर्दिष्ट उपयोगकर्ताओं या समूहों के लिए एक वस्तु तक पहुंच को स्पष्ट रूप से निषेधित करता है (DACL में)।

• पहुंच अनुमत ACE: यह ACE निर्दिष्ट उपयोगकर्ताओं या समूहों के लिए एक वस्तु तक पहुंच को स्पष्ट रूप से प्रदान करता है (DACL में)।

• सिस्टम ऑडिट ACE: एक सिस्टम पहुंच नियंत्रण सूची (SACL) में स्थित, यह ACE उपयोगकर्ताओं या समूहों द्वारा एक वस्तु तक पहुंच प्रयासों पर ऑडिट लॉग उत्पन्न करने के लिए जिम्मेदार है। यह दस्तावेज़ करता है कि पहुंच की गई थी या नहीं और पहुंच का प्रकार।

प्रत्येक ACE में चार महत्वपूर्ण घटक होते हैं:

1. उपयोगकर्ता या समूह का सुरक्षा पहचानकर्ता (SID) (या उनका प्रमुख नाम एक ग्राफिकल प्रतिनिधित्व में)।

2. ACE प्रकार (पहुंच निषेधित, अनुमत या सिस्टम ऑडिट) को पहचानने वाला ध्वज।

3. विरासत ध्वज जो निर्धारित करते हैं कि बालक वस्तु अपने मूल से ACE को विरासत में ले सकती हैं।

4. एक पहुंच मास्क, एक 32-बिट मान जो वस्तु के प्रदत्त अधिकारों को निर्धारित करता है।

पहुंच निर्धारण को क्रमबद्ध रूप से प्रत्येक ACE की जांच करके किया जाता है जब तक:

• एक पहुंच निषेधित ACE उपयोगकर्ता टोकन में पहुंच करने वाले विश्वासी को अनुरोधित अधिकारों को स्पष्ट रूप से निषेधित करता है।

• पहुंच अनुमत ACE(s) उपयोगकर्ता टोकन में विश्वासी को सभी अनुरोधित अधिकारों को स्पष्ट रूप स

GUI उदाहरण

यहाँ से उदाहरण

यह एक फ़ोल्डर के क्लासिक सुरक्षा टैब है जो ACL, DACL और ACEs दिखाता है:

अगर हम एडवांस्ड बटन पर क्लिक करेंगे तो हमें इनहेरिटेंस जैसे अधिक विकल्प मिलेंगे:

और अगर आप एक सुरक्षा प्रिंसिपल जोड़ते या संपादित करते हैं:

और अंत में हमारे पास Auditing टैब में SACL है:

सरलिता से पहुंच नियंत्रण का स्पष्टीकरण

संसाधनों तक पहुंच को प्रबंधित करते समय, जैसे कि एक फ़ोल्डर, हम सूची और नियम का उपयोग करते हैं जिसे पहुंच नियंत्रण सूची (ACLs) और पहुंच नियंत्रण प्रविष्टियाँ (ACEs) कहा जाता है। ये निर्धारित करते हैं कि कौन किस डेटा तक पहुंच सकता है या नहीं।

Denying Access to a Specific Group

Imagine you have a folder named Cost, and you want everyone to access it except for a marketing team. By setting up the rules correctly, we can ensure that the marketing team is explicitly denied access before allowing everyone else. This is done by placing the rule to deny access to the marketing team before the rule that allows access to everyone.

Allowing Access to a Specific Member of a Denied Group

Let's say Bob, the marketing director, needs access to the Cost folder, even though the marketing team generally shouldn't have access. We can add a specific rule (ACE) for Bob that grants him access, and place it before the rule that denies access to the marketing team. This way, Bob gets access despite the general restriction on his team.

Understanding Access Control Entries

ACEs are the individual rules in an ACL. They identify users or groups, specify what access is allowed or denied, and determine how these rules apply to sub-items (inheritance). There are two main types of ACEs:

• Generic ACEs: These apply broadly, affecting either all types of objects or distinguishing only between containers (like folders) and non-containers (like files). For example, a rule that allows users to see the contents of a folder but not to access the files within it.

• Object-Specific ACEs: These provide more precise control, allowing rules to be set for specific types of objects or even individual properties within an object. For instance, in a directory of users, a rule might allow a user to update their phone number but not their login hours.

Each ACE contains important information like who the rule applies to (using a Security Identifier or SID), what the rule allows or denies (using an access mask), and how it's inherited by other objects.

Key Differences Between ACE Types

• Generic ACEs are suitable for simple access control scenarios, where the same rule applies to all aspects of an object or to all objects within a container.

• Object-Specific ACEs are used for more complex scenarios, especially in environments like Active Directory, where you might need to control access to specific properties of an object differently.

In summary, ACLs and ACEs help define precise access controls, ensuring that only the right individuals or groups have access to sensitive information or resources, with the ability to tailor access rights down to the level of individual properties or object types.

Access Control Entry Layout

पहुंच चिह्न लेआउट

संदर्भ

• https://www.ntfs.com/ntfs-permissions-acl-use.htm

• https://secureidentity.se/acl-dacl-sacl-and-the-ace/

• https://www.coopware.in2.info/_ntfsacl_ht.htm

Trickest का उपयोग करें और दुनिया के सबसे उन्नत समुदाय उपकरणों द्वारा संचालित कार्यप्रणालियों को आसानी से बनाएं और स्वचालित करें। आज ही पहुंच प्राप्त करें:

Automate OffSec, EASM, and Custom Security Processes | Trickest