Mandatory Access Control

Mandatory Access Control ist ein Konzept für die Steuerung von Zugriffsrechten auf IT-Systemen, bei der die Entscheidung über Zugriffsberchtigungen nicht auf der Basis der Benutzeridentifikation getroffen wird, unter der sich ein Benutzer angemeldet hat.

Vielmehr wird davon ausgegangen, dass der Benutzer nicht direkt, sondern nur unter Anwendung von Programmen auf Resourcen zugreift. Daher werden die Zugriffsrechte nicht anhand der Benutzeridentifikation, sondern anhand der entsprechenden Anwendung vergeben.

Das bedeutet, eine Anwendung, die z. B. kein Berechtigung für Netzwerkzugriffe benötigt, erhält hierfür keine Rechte. Dies hat zur Folge, dass ein Angreifer, der eine Sicherheitslücke mussbrauchen möchte, das Programm nicht dazu missbrauchen kann, um Netzwerkverbindungen herzustellen.

Der Vorteil dieses Sicherheitskonzeptes besteht darin, dass den einzelnen Anwendungen nur die Rechte eingeräumt werden, die sie für ihre Funktion benötigen. Hierdurch wird das Resiko eines Missbrauchs von Anwendungen durch Ausnutzung von Sicherheitslücken minimiert.

Der Nachteil dieses Konzeptes besteht in der Komplexität der Konfiguration, da für jede Anwendung ermittelt werden muss, welche Zugriffsberchtigungen diese benötigt.

Daher wird dieses Konzept in Reinform nur auf Servern eingesetzt, die extrem hohen Sicherheitsanforderungen besitzen. Im Rahmen von Fedora Core Linux, welches eine SELinux-Implementation besitzt, wird ein Mittelweg eingeschlagen, bei dem zwar sicherheitskritische Anwendungen geschützt werden, aber die sonstigen Anwendungen keiner Einschränkugen unterliegen.

In der Regel wird dieses Konzept auch nicht in Reinkultur benutz, sondern mit anderen Sicherheitskonzepten, wie Discretionary Access Control und RBAC, kombiniert.