Setiap kontainer dan obyek mempunyai suatu set informasi access control yang dipasangkan kepadanya. Dan satu set informasi ini sering disebut sebagai security descriptor. Yang pada akhirnya dipakai untuk mengontrol jenis akses yang diijinkan untuk pemakai atau grup. Security descriptor ini secara otomatis akan dibuat bersamaan dengan dibuatnya suatu kontainer atau obyek. Contoh paling mudah dari suatu obyek yang dibekali dengan security descriptor adalah FILE.
Permission didefinisikan dalam suatu security descriptor yang dimiliki oleh obyek. Permission akan dikaitkan atau diberikan ke suatu user atau group tertentu. Sebagai contoh : File X untuk grup administrator diberikan kendali Read, Write, dan Delete permission. Sedangkan pada grup Operator (misalnya) diberikan hanya Read permission saja .
Setiap pemberian permission ke suatu user/group dikenal sebagai permission entry, atau lebih dikenal dengan Access Control Entry (ACE). Seluruh masukan permission pada security descriptor dikenal dengan istilah permission set. Mengacu pada contoh diatas, maka untuk file X, permission set–nya terdiri dari dua masukan permission : satu untuk grup Administrator dan lainnya untuk grup Operator.
Lebih jauh : Security descriptor
Setiap obyek yang dilindungi oleh sistem discretionary access control, dapat dipastikan mempunyai syarat-syarat yang terhubung dengannya untuk track (pelacakan) seting keamanan. Gabungan syarat-syarat ini sering disebut dengan Security Descriptor. Isi dari secuirity descriptor adalah sebagai berikut :
• Owner SID
• Group SID
• DACL: Discretionary Access Control List
• SACL: System Access Control List
• Control flags
Owner SID adalah pemakai yang selalu diijinkan untuk mengendalikan DACL dari suatu obyek. Jadi owner dapat mengendalikan siapa yang diijinkan memakai obyek tersebut dan bagaimana mereka diijinkan untuk memakainya.
Group SID, juga dikenal dengan "primary group", tidak dipakai sama sekali oleh aplikasi Win32. (katanya…? ) Hanya dipakai untuk mensupport aplikasi Unix yang menjalankan subsystem tertentu.
Discretionary access control list (DACL) berisi daftar permission diijinkan atau ditolak dari seluruh user dan group. Alasannya disebut "discretionary" adalah karena owner dari obyek SELALU DIIJINKAN mengendalikan isi dari ACL
Hal ini akan bertolak belakang dengan apa yang dikenal dengan sebutan system access control list (SACL). Dengan SACL owner tidak memiliki kontrol khusus. Bahkan, umumnya owner dari suatu obyek tidak akan diijinkan untuk membaca SACL. Jadi, SACL didesain untuk dipakai oleh pemakai khusus saja (misalnya admin security), dan SACL akan menyebutkan tindakan apa yang akan diaudit oleh system.
Terdapat dua control flags yang ada pada security descriptor, yaitu : SE_DACL_PROTECTED dan SE_SACL_PROTECTED. Flag ini akan mengendalikan alur Inherited Access Control Entries (ACE) pada sistem berbasis hierarki.
Note : [Remake BDRW:MKWXP-17]
Tri Amperiyanto
Tidak ada komentar:
Posting Komentar