Access Control List (ACL) Abuse Primer
Overview
Access Control List được định nghĩa là một danh sách xác định các tập A người dùng được quyền truy cập vào một danh sách xác định các tập B tài nguyên. Bản thân trong setting của một ACL được gọi là Access Control Entries (ACEs).
Mỗi ACE được map với một user, group, process (được gọi là security principals) và xác định các nguyền trong pricipal đó. Với mỗi object đều có một ACL, nhưng có thể có nhiều ACEs vì nhiều security principals có thể truy cập được vào object trong AD, sử dụng để kiểm tra quyền trong AD.
Types of ACLs:
Discretionary Access Control List(DACL) - định nghĩa security principal được granted hoặc deny tới một object. DACLs được tạo thành từ ACEs cho phép hoặc từ chối truy cập. Khi ai đó cố gắng một object, system sẽ check DACL cho phép biết mức độ truy cập. Nếu một DACL không tồn tại cho object đó thì tất cả những ai xin quyền tới object này đề có full quyền. Nếu DACL tồn tại nhưng không có bất kì ACL entries nào chỉ định security settings, system sẽ deny quyền của tất cả user, group hoặc process đang cố gắng access nó.System Access Control Lists(SACL) - cho phép administrators log lại các access attempt đối với các object được bảo mật.
Last updated