内部ファイルの保護(Windows)
内容
capamsc141
内容
インストール中に、
Privileged Access Manager
により、2 つのタイプの内部ファイルを保護するルールが書き込まれます。- 内部ルール: 設定ファイル、ログ ファイル、およびデータベース ファイルを保護します。内部ルールは削除できません。
- デフォルト ルール: 通信の暗号化および認証に使用するルート証明書およびサーバ証明書などの機密ファイルを保護します。デフォルト ルールはインストール後に削除できます。
内部ファイル ルール
内部ファイル ルールにより、設定ファイル、ログ ファイル、およびデータベース ファイルが保護されます。内部ファイル ルールは、selang に表示されず、削除できません。しかし、FILE ルールを記述して、内部ファイル ルールを置き換えることができます。これらの FILE ルールを削除すると、
Privileged Access Manager
によって内部ファイル ルールが復帰します。データベース ファイルを除いて、製品により内部ファイル ルールで保護されるファイルには、以下のアクセス権限があります。
- Privileged Access Managerの内部プロセスへのフル アクセス
- その他のすべてのアクセサに関する読み取りアクセスと実行アクセス(関連する場合)
製品により内部ファイル ルールで保護されるデータベース ファイルには、以下のアクセス権限があります。
- Privileged Access Managerの内部プロセスにはデータベースに対するフル アクセス権限があります。
- NT AUTHORITY\System ユーザにはデータベースに対する読み取りアクセス権限があります。
- 他のすべてのアクセサにはデータベースに対するアクセス権限がありません。
他のすべてのアクセサのデフォルトのアクセス権限は r12.5 SP3 で変更されました。以前のリリースでは、他のすべてのアクセサはデフォルトでデータベース ファイルに対して読み取りアクセス権を持っていました。
Privileged Access Manager
では、内部ファイル ルールで以下のファイルが保護されます。表の 2 番目の列には、ファイルの場所を示すレジストリ サブキーおよびエントリが一覧表示されます(該当する場合)。Privileged Access Manager
では、以下のレジストリ キーで、レジストリ エントリが作成されします。HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl
一部のファイルの場所は内部的に定義され、対応するレジストリ エントリがありません。これらのファイルの場所を設定することはできません。
ファイル | レジストリ サブキーとエントリ | デフォルトのファイルの場所 |
seosdrv.sys | - | %SystemRoot%\system32\drivers\seosdrv.sys |
cainstrm.sys | - | %SystemRoot%\system32\drivers\cainstrm.sys |
drveng.sys | - | %SystemRoot%\system32\drivers\drveng.sys |
pwdchange.dll | - | %SystemRoot%\system32\pwdchange.dll |
SUSRAUTH.dll | - | %SystemRoot%\system32\SUSRAUTH.dll |
eACSubAuth.dll | - | %SystemRoot%\system32\eACSubAuth.dll |
eACPasswordFltr.dll | - | %SystemRoot%\system32\eACPasswordFltr.dll |
すべてのデータベース ファイル | SeOSD\dbdir | ACInstallDir \Data\seosdb |
すべてのヘルプ ファイル | lang\help_path | ACInstallDir \Data\help |
すべてのバイナリ | - | ACInstallDir \bin |
seosd.trace | SeOSD\trace_file | ACInstallDir \log |
seos.audit | logmgr\audit_log | ACInstallDir \log |
seos.audit.bak | logmgr\audit_back | ACInstallDir \log |
seos.error | logmgr\error_log | ACInstallDir \log |
seos.error.bak | logmgr\error_back | ACInstallDir \log |
seos.msg | message\filename | ACInstallDir \Data |
stop.ini | STOP\STOPIniFileName | ACInstallDir \Data |
stopsignature.dat | STOP\STOPSignatureFileName | ACInstallDir \Data |
response.ini | SeOSD\ResponseFile | ACInstallDir \Data |
audit.cfg | logmgr\AuditFiltersFile | ACInstallDir \Data |
Privileged Access Manager
は、インストール時に以下のレジストリ キーを作成し、REGKEY、REGVAL クラスの下の内部ファイル ルールを保護します。HKLM\SYSTEM\*ControlSet*\Services の下
:- CA Access Control エージェント マネージャ
- CA Access Control レポート エージェント
- CA Access Control Web サービス
- SeOS エージェント
- SeOS エンジン
- SeOS Policy Model(DH__)
- SeOS Policy Model(DH__WRITER)
- SeOS Policy Model(DMS__)
- SeOS TD
- SeOS Watchdog
- cainstrm
- drveng
- seosdrv
HKLM\SYSTEM\*ControlSet*\Enum\Root の下
:- LEGACY_CAINSTRM
- LEGACY_DRVENG
- LEGACY_SEOSDRV
設定の詳細については、「
リファレンス ガイド
」を参照してください。デフォルト ファイル ルール
Privileged Access Manager
では、機密ファイルを保護するために、インストール中にデフォルト ファイル ルールが作成されます。デフォルト ファイル ルールは、selang に表示され、削除できます。以下の表では、製品によりデフォルト ファイル ルールで保護される機密ファイルと、そのアクセス権限および許可されているアクセサが一覧表示されています。
この表では、
PMDBDir
は Policy Model データベース(PMDB)があるディレクトリであり、pmd_name
は各 Policy Model の名前です。デフォルトでは、PMDBDir
は ACInstallDir
\Data にあります。PMDBDir
の場所は、以下のレジストリ エントリに定義されています。HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\Pmd\_Pmd_directory_
ファイル | デフォルト アクセス | 許可されているアクセサ |
ACInstallDir \data\crypto\crypto.dat | なし | sechkey |
ACInstallDir \data\crypto\def_root.pem* | なし | sechkey |
ACInstallDir \data\crypto\sub.key | なし | sechkey |
ACInstallDir \data\crypto\sub.pem | なし | sechkey |
ACInstallDir \log\policyfetcher.log | 読み取り | +policyfetcher |
PMDBDir \pmd_name | Read、Chdir | - |
PMDBDir \pmd_name \* | Read、Execute | - |