Mandatory Access Control (MAC) ist ein Sicherheitsmechanismus, der in Computersystemen und Netzwerken verwendet wird, um strenge und zentral definierte Zugriffsrichtlinien auf Computerressourcen durchzusetzen. Es soll die Aktionen begrenzen und steuern, die Subjekte (Benutzer, Prozesse oder Entitäten) an Objekten ausführen können (Dateien, Verzeichnisse, Geräte usw.) basierend auf vorab festgelegten Regeln, die vom Systemadministrator oder der Sicherheitsrichtlinie festgelegt wurden.
Wenn ein Subjekt versucht, auf ein Objekt zuzugreifen, überprüft das MAC-System die Sicherheitskennzeichnungen sowohl des Subjekts als auch des Objekts und vergleicht sie mit der Zugriffsrichtlinie. Der Zugriff wird nur gewährt, wenn die Sicherheitsstufe des Subjekts die Sicherheitsstufe des Objekts gemäß der Zugriffsrichtlinie erreicht oder überschreitet.
MAC arbeitet nach dem Prinzip „Need-to-know“ und „Least Privilege“, wobei Zugriffsrechte nur bei ausdrücklicher Autorisierung gewährt werden und auf das für die Funktion des Subjekts erforderliche Minimum beschränkt sind.
