エンドポイントでのポリシーのデプロイ
目次
cminder140jp
目次
Privileged Access Manager Server Control
ポリシーをデプロイする場合、エラーを発生させずに正常にポリシーのデプロイおよび実行を行うために、いくつかの共通手順に従ってください。以下のセクションでは、サンプル ポリシーのデプロイ前またはデプロイ後に実行する必要があるアクションについて説明します。ポリシー デプロイメントのためにエンドポイントを準備する方法
ポリシーを実装する前に、ポリシーのエンドポイントを準備します。適切な準備を行うことで、このポリシーに関連する問題を後で分離することができます。
ポリシー デプロイメントのためにエンドポイントを準備する方法
- オペレーティング システムまたはアプリケーションの新規インストールを使用するOS ポリシー用に、製造者から提供された OS の最新バージョンおよびパッチを使用します。これにより、変更によってシステムの安全性が潜在的に損なわれる前に、システムを保護することができます。ポリシーを適用した後に、パッチを適用し、必要に応じてシステムを設定し、悪意のある変更や偶発的な変更からシステムを保護します。アプリケーションにも同じことがあてはまります。
- 職務分掌を実装するポリシー ルールを確認し、必要に応じてロールをさらに追加します。ロール、ユーザおよびそれらの関係(ロール メンバシップ)を定義する独自のポリシーを作成します。サンプル ポリシーのデプロイ前または後にこのポリシーをデプロイできます。単一ユーザに必要以上の権限を割り当てていないことを確認してください。たとえば、デフォルトではスーパーユーザがPrivileged Access Manager Server Control管理者権限を提供する ROL_AC_ADMIN に追加されています。最良の方法として、このユーザを削除し、代わりにセキュリティ管理者をこのグループに追加することをお勧めします。
- 新しいPrivileged Access Manager Server Controlデータベースを作成する、または既存のデータベースをバックアップするポリシーを実装する前に、新しいデータベースを作成します。これにより、ポリシー ルールの競合またはデータベースの既存ルールへの変更が発生しないようになります。新しいデータベースを作成することができない場合、データベースをバックアップし、そのバックアップを使用してポリシー適用前の状態にリストアできるようにします。
- ユーザに適切な管理ロール(システム管理者、セキュリティ管理者、アプリケーション管理者)を割り当てる。
- 新しい監査ログ ファイルを使用する既存の監査ログ ファイルをバックアップし、それを消去します。このバックアップによって、Privileged Access Manager Server Controlは新しいイベントをログに記録するときに監査ログ ファイルを作成します。監査ログ ファイルにはデプロイするポリシーに関連したイベントのみが記録されているため、このポリシーに関連する問題の確認および分離を迅速に行うことができます。
- Privileged Access Manager Server Controlユーザ定義変数を設定する設定済みのPrivileged Access Manager Server Control変数の値(「AC Variables Definitions」セクション)を検証し、使用中の環境に一致させるか、または必要に応じて値の追加、変更を行います。
段階的なポリシーのデプロイ方法
ポリシーをデプロイする際、いくつかのアクションを実行することで、ポリシーのデプロイおよびポリシーの実行をエラーを発生させず、正常に行うことができます。ポリシーをデプロイするためにエンドポイントを準備した後、段階的にポリシー デプロイメントを実行することをお勧めします。
ポリシーは最初にテスト環境にデプロイすることをお勧めします。必要に応じてポリシーを調整してから、実稼働環境へデプロイしてください。
段階的な方法でポリシーをデプロイする方法
- ポリシーを警告モードでデプロイします現在、このポリシーはアクティブですが、ポリシー ルールは適用されません。そのため、ポリシーを有効にする前に、対象となるポリシーの結果を監査ログでプレビューすることができます。注:デフォルトでは、サンプル ポリシーのスクリプトはすべてのポリシー ルールを警告モードに設定します。
- 警告メッセージがあるかどうかPrivileged Access Manager Server Control監査ログを確認します。ポリシーをデプロイした後、ポリシー違反があれば警告として監査ログに表示されます(ポリシー ルールが警告モードを使用している場合)。
- 実際のシナリオでシステムを使用し、再び監査ログを分析します。ポリシーを効果的にテストするために、コンピュータ上で通常の操作手順を実行することができます(ログイン、サービスおよびアプリケーションの起動、停止など)。次に、監査ログを再度分析し、新しい警告が表示されているかどうかを確認することができます。
- 必要に応じてポリシーを調整します。監査ログから収集した情報を使用して、実際の環境で想定される使われ方に合わせてポリシーを調整します。
- ポリシーを有効にするために、警告モードを削除します本稼働環境でポリシーのルールを適用する準備ができたら、ルールを有効にするために警告モードを削除できます。ポリシーが適用されます。
注:
ポリシーを変更する場合、まずポリシーの適用を無効にします(警告モードを使用します)。ポリシーに変更を加えた後、変更が希望どおりに機能していることが確認できたら、ポリシーを再度有効にします。ポリシー デプロイメント方法
サンプル ポリシーおよびベスト プラクティス ポリシーには
Privileged Access Manager Server Control
の変数が含まれているため、これらのポリシーは拡張ポリシー管理方法を使用してデプロイする必要があります。注:
エンドポイント上で、selang でサンプル ポリシー ファイルを直接実行することはできません。Privileged Access Manager Server Control
エンタープライズ管理を使用して、DMS 上にサンプル ポリシーを格納し、必要に応じて複数のエンドポイントに割り当てます。環境に合わせてポリシーをカスタマイズする方法
サンプル ポリシーおよびベスト プラクティス ポリシーは、独自のセキュリティ ポリシーのベースとして提供されます。ポリシーをデプロイするには、環境に合わせてポリシーをカスタマイズします。
環境に合わせてポリシーをカスタマイズする方法
- Privileged Access Manager Server Controlおよびシステム ログ ファイルを確認します。デプロイメント プロセス中に発生した警告またはエラーの検索と識別を行います。これらの警告またはエラーの原因となるポリシーを修正します。
- ユーザをポリシー ロールに追加します。ポリシーでは、許可のためにロールが使用されます。組織のユーザをこれらのロールに割り当てます。重要:ポリシーをデプロイ解除する場合、作成したユーザおよびグループを削除しないでください。削除すると、同じユーザおよびグループを使用する他のポリシーで、ACL リストの正常な動作やアクセサの関連付けに影響を及ぼす場合があります。
- (Windows のみ)共存ユーティリティ eACoexist.exe を実行します。このユーティリティは、Privileged Access Manager Server Controlと他のインストール済みプログラムの間で発生した競合を識別し、そのプログラムにバイパスを作成することによって競合を解決します。