保護の対象
UNIX で該当
capamsc141jp
UNIX で該当
Privileged Access Manager Server Control
には、アクセス ルール データベース、監査ログ、管理ツールなどの一般的なセキュリティ機能に加えて、保護の対象となるオペレーティング システム イベントをインターセプトする機能が用意されています。Privileged Access Manager Server Control
は、さまざまなオペレーティング システムで動作する必要があるため、メモリ内のイベントをインターセプトします。システム ファイルは変更されないので、オペレーティング システムに対する変更はありません。Privileged Access Manager Server Control
は、以下のエンティティを保護します。- ファイル特定のファイルにアクセスする権限があるか?Privileged Access Manager Server Controlはファイルにアクセスするユーザの機能を制限します。ユーザに対して、READ、WRITE、EXECUTE、DELETE、RENAME などのアクセス権限を 1 種類以上与えることができます。個々のファイルに対して、または類似した名前を持つファイルの集合に対して、アクセス権限を指定できます。
- 端末特定の端末を使用する権限があるか?このチェックは、ログイン プロセスで行われます。アクセス ルールを使用して、Privileged Access Manager Server Controlデータベースに個々の端末または端末グループを定義します。これらのルールにより、その端末または端末グループの使用を許可されているユーザまたはユーザ グループを指定できます。端末を保護することによって、強力な権限を持つユーザ アカウントのログインに未許可の端末が使用されることを確実に防止します。
- サインオン時間ユーザには、特定の曜日の特定の時間にログインする権限があるか?通常、エンド ユーザは平日の勤務時間帯にのみ端末を使用します。そのため、平日の曜日と時間帯によるログイン制限、および休日のアクセス制限を行うことによって、ハッカーやその他の無許可のアクセサから端末を保護できます。
- TCP/IP相手の端末には、ローカル コンピュータから TCP/IP サービスを受け取る権限があるか? 相手の端末には、ローカル コンピュータに TCP/IP サービスを提供する権限があるか? 相手の端末は、ローカル端末のすべてのユーザからサービスを受け取ることを許可されているか?オープン システムは、コンピュータとネットワークの両方がオープンであるシステムです。オープン システムの長所は、同時に短所でもあります。コンピュータがいったん外部に接続されると、故意にしろ過失にしろ、外部ユーザがシステムに侵入したり、そのユーザが行った行為が損害をもたらしたりする危険が発生します。Privileged Access Manager Server Controlには、「ファイアウォール」が用意されており、ローカルの端末やサーバが不特定の端末へサービスを提供することを防止します。
- 複数ログイン権限ユーザは他の端末からログインできるか?同時ログインとは、ユーザが複数の端末からシステムにログインできることを意味します。Privileged Access Manager Server Controlでは、1 人のユーザが複数の端末から同時にログインすることを防止できます。この保護によって、すでにログインしているユーザのアカウントに侵入者がログインすることを防止できます。
- ユーザ定義エンティティ標準エンティティ(TCP/IP サービスや端末など)および機能エンティティの両方を定義して保護できます。機能エンティティとは、トランザクションの実行やデータベース内のレコードへのアクセスなどの抽象オブジェクトのことです。
- 管理者権限Privileged Access Manager Server Controlには、スーパーユーザ権限をオペレータに委任する方法、およびスーパーユーザ権限自体を制限する方法が用意されています。
- ユーザ IDの置換ユーザには、そのユーザ ID を一時変更する権限があるか?UNIX のsetuidシステム コールは、オペレーティング システムが提供するサービスの中で最も慎重に扱うべきサービスの 1 つです。Privileged Access Manager Server Controlはこのシステム コールをインターセプトし、サブアクションの実行権限がユーザにあるかどうかを判断します。ユーザ ID の置換権限のチェックには Program Pathing などが使用されます。Program Pathing では、ユーザが特定のプログラムを使用している場合にのみ、ユーザ ID の置換が許可されます。このチェックは、root ユーザになって root のアクセス権を取得できるユーザを制御する際に特に重要です。
- グループ IDの置換ユーザには、newgrp (グループ ID の置換)コマンドを実行する権限があるか?グループ ID の置換の保護は、ユーザ ID の置換の保護に似ています。
- setuid プログラムおよび setgid プログラム特定の setuid プログラムまたは setgid プログラムを信頼できるか? ユーザには、このプログラムを実行する権限があるか?セキュリティ管理者は、setuid または setgid 実行可能ファイルとなっているプログラムをテストし、これらのプログラムにアクセス権の不正取得に利用される可能性があるセキュリティ ホールがないことを確認できます。テストで安全とみなされたプログラムは、trusted プログラムとして定義されます。Privileged Access Manager Server Controlの自己防衛機能モジュール(Privileged Access Manager Server Controlwatchdogともいう)は、ある特定の時点で制御の対象になっているプログラムを認識します。モジュールは、そのプログラムが、trusted と分類されると、変更または移動されたかどうかをチェックします。trusted プログラムが変更または移動された場合、その時点で trusted とはみなされなくなり、Privileged Access Manager Server Controlはそのプログラムの実行を許可しません。
さらに、
Privileged Access Manager Server Control
は、以下のような作為的または偶発的な脅威に対して防御を行います。- 強制終了重要なサーバやサービス、またはデーモンを強制終了から保護します。
- パスワード攻撃さまざまなタイプのパスワード攻撃からパスワードを保護します。サイトのパスワード定義ポリシーを適用し、パスワードの盗用による侵入を検知します。
- 不適切なパスワード十分な品質のパスワードを作成して使用することをユーザに強制するルールを定義します。ユーザが作成して使用するパスワードが確実に基準に適合した状態にするために、Privileged Access Manager Server Controlでは、最長および最短のパスワード有効期限の設定、特定の語句の使用制限、文字の繰り返しの禁止、およびその他の制限事項の適用を行うことができます。パスワードを長期間継続して使用することは認められません。
- アカウント管理休止状態のアカウントの適切な処理を保証します。
- ドメイン管理NIS ドメインおよび NIS 以外のドメインの両方にわたってパスワード保護を実装してセキュリティを強化します。