Die Festlegung der Zugriffsberechtigungen unterliegt einer zentralen Verwaltung. Meist erfolgt diese durch eine Person in der Organisation, die ausreichend Kenntnis über die Aufgaben von Nutzern hat. Das stellt sicher, dass alle Mitarbeiter ihren Tätigkeiten uneingeschränkt nachgehen können und nicht durch fehlende Berechtigungen eingeschränkt sind. In Unternehmen übernehmen diese Aufgabe meist Systemadministratoren. Durchsetzung und laufende Aktualisierung erfolgen in der Regel automatisiert durch das Betriebssystem oder einen Security-Kernel. Versucht ein Anwender Zugriff auf Daten zu erhalten, gibt das System die Anfrage entweder frei oder verweigert diese. Der Vorteil der automatisierten Umsetzung ist der bestmögliche Ausschluss einer Manipulation.
Die Entscheidungen über Zugriffsberechtigungen werden auf Basis folgender Faktoren festgelegt:
- Benutzer und Prozesse
- Objekte: die Ressource, auf die zugegriffen wird
- Regeln und Eigenschaften: Kategorisierungen, Labels, Code-Wörter
Mandatory Access Control verfolgt einen hierarchischen Ansatz: Jedem Objekt eines Dateisystems wird eine Sicherheitsstufe zugeordnet, je nach Sensibilität der Daten. Typische Sicherheitsstufen sind „vertraulich“ oder „streng geheim“. Dieselbe Einstufung erhalten auch Anwender und Geräte. Versucht ein Anwender auf eine Ressource zuzugreifen, erfolgt eine automatisierte Überprüfung, ob der Zugriff gestattet oder abgelehnt wird. Zusätzlich werden alle Informationen und Nutzer einer Kategorie zugeteilt. Auch diese Übereinstimmung prüft das System automatisch bei einem versuchten Aufruf. Ein Nutzer muss beide Kriterien – Sicherheitsstufe und Kategorie – erfüllen, um Daten aufrufen zu können.