内部ファイルの保護(Windows)

内容
capamsc141
インストール中に、
Privileged Access Manager
により、2 つのタイプの内部ファイルを保護するルールが書き込まれます。
  • 内部ルール: 設定ファイル、ログ ファイル、およびデータベース ファイルを保護します。
    内部ルールは削除できません。
  • デフォルト ルール: 通信の暗号化および認証に使用するルート証明書およびサーバ証明書などの機密ファイルを保護します。
    デフォルト ルールはインストール後に削除できます。

内部ファイル ルール

内部ファイル ルールにより、設定ファイル、ログ ファイル、およびデータベース ファイルが保護されます。内部ファイル ルールは、selang に表示されず、削除できません。しかし、FILE ルールを記述して、内部ファイル ルールを置き換えることができます。これらの FILE ルールを削除すると、
Privileged Access Manager
によって内部ファイル ルールが復帰します。
データベース ファイルを除いて、製品により内部ファイル ルールで保護されるファイルには、以下のアクセス権限があります。
  • Privileged Access Manager
    の内部プロセスへのフル アクセス
  • その他のすべてのアクセサに関する読み取りアクセスと実行アクセス(関連する場合)
製品により内部ファイル ルールで保護されるデータベース ファイルには、以下のアクセス権限があります。
  • Privileged Access Manager
    の内部プロセスにはデータベースに対するフル アクセス権限があります。
  • NT AUTHORITY\System ユーザにはデータベースに対する読み取りアクセス権限があります。
  • 他のすべてのアクセサにはデータベースに対するアクセス権限がありません。
他のすべてのアクセサのデフォルトのアクセス権限は r12.5 SP3 で変更されました。以前のリリースでは、他のすべてのアクセサはデフォルトでデータベース ファイルに対して読み取りアクセス権を持っていました。
Privileged Access Manager
では、内部ファイル ルールで以下のファイルが保護されます。表の 2 番目の列には、ファイルの場所を示すレジストリ サブキーおよびエントリが一覧表示されます(該当する場合)。
Privileged Access Manager
では、以下のレジストリ キーで、レジストリ エントリが作成されします。
HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl
一部のファイルの場所は内部的に定義され、対応するレジストリ エントリがありません。これらのファイルの場所を設定することはできません。
ファイル
レジストリ サブキーとエントリ
デフォルトのファイルの場所
seosdrv.sys
-
%SystemRoot%\system32\drivers\seosdrv.sys
cainstrm.sys
-
%SystemRoot%\system32\drivers\cainstrm.sys
drveng.sys
-
%SystemRoot%\system32\drivers\drveng.sys
pwdchange.dll
-
%SystemRoot%\system32\pwdchange.dll
SUSRAUTH.dll
-
%SystemRoot%\system32\SUSRAUTH.dll
eACSubAuth.dll
-
%SystemRoot%\system32\eACSubAuth.dll
eACPasswordFltr.dll
-
%SystemRoot%\system32\eACPasswordFltr.dll
すべてのデータベース ファイル
SeOSD\dbdir
ACInstallDir
\Data\seosdb
すべてのヘルプ ファイル
lang\help_path
ACInstallDir
\Data\help
すべてのバイナリ
-
ACInstallDir
\bin
seosd.trace
SeOSD\trace_file
ACInstallDir
\log
seos.audit
logmgr\audit_log
ACInstallDir
\log
seos.audit.bak
logmgr\audit_back
ACInstallDir
\log
seos.error
logmgr\error_log
ACInstallDir
\log
seos.error.bak
logmgr\error_back
ACInstallDir
\log
seos.msg
message\filename
ACInstallDir
\Data
stop.ini
STOP\STOPIniFileName
ACInstallDir
\Data
stopsignature.dat
STOP\STOPSignatureFileName
ACInstallDir
\Data
response.ini
SeOSD\ResponseFile
ACInstallDir
\Data
audit.cfg
logmgr\AuditFiltersFile
ACInstallDir
\Data
Privileged Access Manager
は、インストール時に以下のレジストリ キーを作成し、REGKEY、REGVAL クラスの下の内部ファイル ルールを保護します。
HKLM\SYSTEM\*ControlSet*\Services の下
  • CA Access Control エージェント マネージャ
  • CA Access Control レポート エージェント
  • CA Access Control Web サービス
  • SeOS エージェント
  • SeOS エンジン
  • SeOS Policy Model(DH__)
  • SeOS Policy Model(DH__WRITER)
  • SeOS Policy Model(DMS__)
  • SeOS TD
  • SeOS Watchdog
  • cainstrm
  • drveng
  • seosdrv
HKLM\SYSTEM\*ControlSet*\Enum\Root の下
  • LEGACY_CAINSTRM
  • LEGACY_DRVENG
  • LEGACY_SEOSDRV
設定の詳細については、「
リファレンス ガイド
」を参照してください。

デフォルト ファイル ルール

Privileged Access Manager
では、機密ファイルを保護するために、インストール中にデフォルト ファイル ルールが作成されます。デフォルト ファイル ルールは、selang に表示され、削除できます。
以下の表では、製品によりデフォルト ファイル ルールで保護される機密ファイルと、そのアクセス権限および許可されているアクセサが一覧表示されています。
この表では、
PMDBDir
は Policy Model データベース(PMDB)があるディレクトリであり、
pmd_name
は各 Policy Model の名前です。デフォルトでは、
PMDBDir
ACInstallDir
\Data にあります。
PMDBDir
の場所は、以下のレジストリ エントリに定義されています。
HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\Pmd\_Pmd_directory_
ファイル
デフォルト アクセス
許可されているアクセサ
ACInstallDir
\data\crypto\crypto.dat
なし
sechkey
ACInstallDir
\data\crypto\def_root.pem*
なし
sechkey
ACInstallDir
\data\crypto\sub.key
なし
sechkey
ACInstallDir
\data\crypto\sub.pem
なし
sechkey
ACInstallDir
\log\policyfetcher.log
読み取り
+policyfetcher
PMDBDir
\
pmd_name
Read、Chdir
-
PMDBDir
\
pmd_name
\*
Read、Execute
-