Verbindliche Zugriffskontrolle (MAC)
Was ist Verbindliche Zugriffskontrolle (MAC)?
Verbindliche Zugriffskontrolle (MAC)Zugriffsmodell, in dem eine zentrale Richtlinie – nicht der Ressourceneigentümer – Entscheidungen anhand von Klassifizierungen und Freigaben für Subjekte und Objekte durchsetzt.
Mandatory Access Control ist ein nicht-diskretionäres Modell, in dem Betriebssystem oder Kernel eine systemweite Richtlinie erzwingen, die Nutzer nicht aufheben können. Jedes Subjekt (Prozess) und Objekt (Datei, Netzport) trägt ein Sicherheitslabel mit Klassifizierungsstufe (Top Secret, Secret, Vertraulich) oder Kategorie, und Zugriff wird nur gewährt, wenn die Labels die Richtlinie erfüllen (z. B. Bell-LaPadulas "no read up, no write down"). MAC ist verbindlich, weil selbst der Eigentümer einer Datei deren Rechte nicht lockern darf. Umgesetzt wird es in SELinux, AppArmor, Smack und FreeBSD MAC; Ursprung sind militärische und hochsichere Umgebungen. Nachteile sind Starrheit, komplexes Labelling und steile Betriebs-Lernkurve.
● Beispiele
- 01
SELinux verhindert, dass ein als root laufender Webserver-Prozess /etc/shadow liest.
- 02
Ein klassifiziertes System erlaubt einem Secret-Nutzer kein Schreiben in ein Unclassified-Verzeichnis.
● Häufige Fragen
Was ist Verbindliche Zugriffskontrolle (MAC)?
Zugriffsmodell, in dem eine zentrale Richtlinie – nicht der Ressourceneigentümer – Entscheidungen anhand von Klassifizierungen und Freigaben für Subjekte und Objekte durchsetzt. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet Verbindliche Zugriffskontrolle (MAC)?
Zugriffsmodell, in dem eine zentrale Richtlinie – nicht der Ressourceneigentümer – Entscheidungen anhand von Klassifizierungen und Freigaben für Subjekte und Objekte durchsetzt.
Wie schützt man sich gegen Verbindliche Zugriffskontrolle (MAC)?
Schutzmaßnahmen gegen Verbindliche Zugriffskontrolle (MAC) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Verbindliche Zugriffskontrolle (MAC)?
Übliche alternative Bezeichnungen: MAC, Nicht-diskretionäre Zugriffskontrolle.