SeOSD レジストリ

は、使用する汎用設定を以下のキーの下で保守します。
capamsc141
Privileged Access Manager
は、使用する汎用設定を以下のキーの下で保守します。
HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\SeOSD
SeOSD レジストリ キーには、以下のレジストリ エントリが含まれています。
  • AuditCollectorInterfaceName
    パイプ名を定義します。パイプ名は、監査コレクタ コンポーネント(seosd 内)と監査コレクタの異なるクライアント(カーネル)との間の監査インターフェースとして機能します。
    デフォルト:
    AuditCollector
  • AuditServerCacheSize
    監査キャッシュのサイズを、エントリ数で定義します。
    デフォルト:
    1024
  • CreateNewClasses
    seclassadm ユーティリティを使用して作成した新しいクラスを
    Privileged Access Manager
    データベースに追加できるかどうかを指定します。
    デフォルト:
    yes
  • CreateNewProps
    sepropadm ユーティリティを使用して作成した新しいプロパティを
    Privileged Access Manager
    データベースに追加できるかどうかを指定します。
    デフォルト:
    yes
  • dbdir
    Privileged Access Manager
    データベースが格納されているディレクトリ。
    デフォルト:
    ACInstallDir
    \data\seosdb
  • DefLookupThreads
    SID をアカウント名に解決するために、
    Privileged Access Manager
    が使用できるスレッド数を定義します。
    デフォルト:
    5
  • DefLookupTimeout
    Privileged Access Manager
    が SID のアカウント名への解決を停止するまでの、タイムアウトをミリ秒単位で定義します。
    デフォルト:
    2000
  • domain_names
    照合に使用される名前のサフィックスのリスト。
    長い完全修飾ホスト名を作成するために、
    Privileged Access Manager
    がこれらのサフィックスを短いホスト名に追加します。関連する HOST クラス、CONNECT クラス、または TERMINAL クラスで、これらの名前を承認できます。完全名を識別するために、
    Privileged Access Manager
    は短い名前に domain_names リストのドメイン名を追加して承認に使用します。HOSTNP クラスの場合、
    Privileged Access Manager
    は、実際の IP アドレスに解決されるパターンと(このレジストリで列挙された)すべてのドメイン名を照合します。
    デフォルト値なし
  • EnableCachedLogonInfo
    (オプション)CA ControlMinderSubAuth.dll 内のログオン キャッシュ情報を制御し、さらに製品が認証に関するデータをパフォーマンス調整用のランタイム テーブルに保存できるようにするかどうかを定義します。
    値は以下のとおりです。
    0
    - ログオン キャッシュは無効です。すべてのログオン イベントは、認証のために seosd に渡されます。
    1
    - ログオン キャッシュは有効です。
    デフォルト:
    0
    この値は、エンタープライズ管理サーバをドメイン コントローラにインストールするときには 1 に設定されます。アップグレード後には、アップグレード前と同じ値にリストアされます。
  • EnableIPv6Resolving
    IP アドレス解決のホスト名が IPv4 に加えて IPv6 プロトコルで適用されるかどうかを制御します。
    値は以下のとおりです。
    0
    - IPv6 プロトコルでのホスト名解決を無効にします。
    1
    - IPv6 プロトコルでのホスト名解決を有効にします。
    デフォルト:
    0
  • EnablePolicyCache
    この値は、認証エンジンがキャッシュされたレコードを使用するか、またはデータベースのレコードを直接使用するかを制御します。
    有効な値は以下のとおりです。
    no
    - 認証エンジンはデータベースのレコードを使用します。
    yes
    - 認証エンジンはキャッシュされたレコードを使用します。
    デフォルト:
    no
  • EnvVarResolvingMode
    埋め込み環境変数を解決する方法(FILE クラス、SECFILE クラス、PROGRAM クラス、PROCESS クラス、SPECIALPGM クラス、TERMINAL クラス、または USER クラスのオブジェクトの場合)。以下に例を示します。
    newfile %SystemRoot%\temp.txt. 選択された値に応じて、
    Privileged Access Manager
    は以下のアクションを実行します。
    0
    - すべての環境変数の解決を試み、ユーザにエラー メッセージを発行して、オブジェクトを作成しません。
    1
    - すべての環境変数の解決を試み、ユーザに警告メッセージを発行して、オブジェクトを作成します。
    2
    - すべての環境変数の解決を試み、メッセージを表示せずにオブジェクトを作成します。
    3
    - 環境変数の解決を試みません。
    PMDB では、環境変数が存在しないことを前提とするため、解決が試みられることはありません。デフォルト: 2
  • GeneralInterceptionMode
    Full Enforcement モード(0)と Audit Only モード(1)のいずれを使用するかを指定します。
    デフォルト:
    0
  • GraceCountForMessage
    猶予ログインの残り回数を定義します。この回数に達すると、[パスワードを変更します]ダイアログ ボックスが表示されます。
    デフォルト:
    0
  • HostResolutionMode
    ホスト名を解決する際に
    Privileged Access Manager
     が使用するメソッドを指定します。
    値は以下のとおりです。
    0
    - HOST 解決は同期です(現行の動作)
    1
    - HOST 解決は非同期です(「イベント ログ」レポート付き)
    この設定の効果は、以下のとおりです。
      1. 制御は直ちに selang に返されます。
      2. HOST レコードが解決できない場合、selang メッセージは表示されません(0 と同様)。
      3. 通知メッセージは、「イベント ログ」に書き込まれます。
    2
    - HOST 解決は非同期です(「イベント ログ」レポートなし)
    通知メッセージがどこにも
    書き込まれない
    ことを除いては、「1」と同様です。
    デフォルト:
    0
  • HostResolutionRenewal
    内部キャッシュの更新時間。ネットワーク インターセプトの認証イベントはレジストリ値を使用します。
    デフォルト:
    30000
  • HostResolutionTimeout
    ネットワーク インターセプトのイベント発生時に、認証エンジンが IP の逆引きルックアップ要求を待つ時間。
    デフォルト:
    2000
  • LogonTimeOut
    Privileged Access Manager
    がサブ認証 DLL (eACSubAuth.dll)によるトランザクションを待機する時間(ミリ秒単位)を定義します。この時間を過ぎると待機を止めます。この時間を過ぎると、
    Privileged Access Manager
    は LogonTimeOutAnswer に設定された値を返信します。
    デフォルト:
    4000
  • LogonTimeOutAnswer
    Privileged Access Manager
    からの回答がないうちに LogonTimeOut 設定が経過した場合の、オペレーティング システムに対するログオン回答を定義します。
    デフォルト:
    1 (true)
  • MaximumDiscreteFILELimit
    Privileged Access Manager
    データベースに作成できる個別 FILE レコードの数。
    最小値はデフォルトの値です。ユーザがこの値をデフォルトよりも小さい値に設定した場合、
    Privileged Access Manager
    は最小値が設定されたかのように動作します。
    デフォルト:
    4096
  • MaximumGenericFILELimit
    Privileged Access Manager
    データベースに作成できる包括 FILE レコード(名前パターン ベースのレコード)の数。
    最小値はデフォルトの値です。ユーザがこの値をデフォルトよりも小さい値に設定した場合、
    Privileged Access Manager
    は最小値が設定されたかのように動作します。
    デフォルト:
    512
  • ProcessCreationNotificationMode
    カーネルまたはインストルメンテーション モードを使用して、プロセス作成をインターセプトし、seosd に通知するかどうかを指定します。
    タイプ:
    REG_DWORD
    値は以下のとおりです。
    0
    - プロセス作成はカーネル モジュールを使用して実行されます。
    1
    - プロセス作成はインストルメンテーション モジュールを使用して実行されます。
    デフォルト:
    0
    キーを 1 に設定した場合、
    Privileged Access Manager
    は Windows API よるプロセス作成のみをインターセプトします。
  • RebuildSuspiciousDatabase
    前回のセッションでデータベースが正しく閉じられなかった場合のみ、この値が適用されます。
    この値が 0 に設定されている場合、起動時に、データベースの正当性がヒューリスティックな手順で検証されます。このチェックでデータベースに問題が検出された場合は、データベースが再構築されます。
    この値が 1 に設定されている場合は、ヒューリスティックな手順によるチェック機能は省略されます。データベースはデータベース完全性チェックに従って再構築されます。
    デフォルト:
    1
  • RefreshIPInterval
    自動 IP 更新要求の間隔(分単位)。
    値が 0 に設定されている場合、IP 更新は自動的に実行されません。1 ~ 30 の値を使用した場合、
    Privileged Access Manager
    は、設定可能な最小間隔である 30 分を値として使用します。
    更新要求には時間がかかる場合があります。詳細については、secons ユーティリティの -refIP オプションを参照してください。
    デフォルト:
    0
  • ResponseFile
    eACOexist.exe ユーティリティで使用する response.ini が格納されている場所。
    デフォルト:
    ACInstallDir
    \data\response.ini
  • Service_ACE_Count
    Privileged Access Manager
    によって保護および監視されるサービス名のリストを指定します。各エントリは、サービス名およびそれぞれの DACL 数を表します。レジストリ エントリは、
    Privileged Access Manager
    によって内部的に更新されます。
  • sim_login_timeout
    アクセサ エレメント エントリ テーブル(ACEE)から、未使用の仮想ログイン ユーザ エントリを
    Privileged Access Manager
    が削除するまでのタイムアウト(分単位)を定義します。
    Privileged Access Manager
    は、ACEE に格納されている情報にアクセスする必要があるときに、仮想ログインを実行して ACEE エントリを作成します。
    デフォルト:
    60
  • SurrogateInterceptionMode
    SURROGATE クラスインターセプト モードを指定します。
    タイプ:
    REG_DWORD
    制限:
    0 - ユーザ モード インターセプト。
    Privileged Access Manager
    は RunAs ユーティリティから発生した代理実行リクエストのみをインターセプトします。1 - カーネル モード インターセプト。
    Privileged Access Manager
    はすべての代理実行リクエストをインターセプトします。
    デフォルト:
    0
  • SusrauthReadParamsSec
    トレース パラメータの更新頻度を定義します。
    デフォルト:
    30
  • SusrauthTraceDbgEnable
    DbgView または Kernel Debugger へのトレースが有効(1)になっているかどうかを指定します。
    デフォルト:
    0
  • SusrauthTraceFileEnable
    トレース ファイル(SusrauthTraceFileName)へのトレースが有効(1)になっているかどうかを指定します。
    デフォルト:
    0
  • SusrauthTraceFileName
    トレース ファイルへの完全パス名を定義します。
    デフォルト値なし
  • TerminalSearchOrder
    認証プロセス中にどの TERMINAL レコードを検証するかを認証エンジンが判定する方法を指定します。
    値は以下のとおりです。
    name
    - 認証エンジンは最初に、名前で TERMINAL レコードを探し、その名前のレコードが見つからなかった場合は、IP アドレスの一致を探します。
    nameonly
    - 認証エンジンは、名前で TERMINAL レコードを探し、その名前のレコードが見つからなかった場合は、検索を停止します。IP アドレス形式の TERMINAL レコードは無視されます。
    IP
    - 認証エンジンは最初に、IP アドレスで TERMINAL レコードを探し、そのアドレスのレコードが見つからなかった場合は、名前の一致を探します。
    TERMINAL クラスは、ワイルドカードで定義された包括的なルールをサポートしています(IP アドレスまたはホスト名のパターンの一致)。汎用ルールは、常に、特定(フルネーム)のルールの後に検証されます。たとえば、これを IP に設定した場合、IP アドレスの完全一致、ホスト名の完全一致、IP アドレスのパターン一致、ホスト名のパターン一致の順で seosd は TERMINAL リソースを探します。
    デフォルト:
    nameonly
  • TermSrvTimeout
    端末サービス接続時に、認証エンジンが 2 回目の連続ログインを待機するタイムアウト(ミリ秒単位)を指定します。
    デフォルト:
    2000
    ユーザがローカル アカウントを使用してログインする場合、
    Privileged Access Manager
    は 2 つのログイン試行通知を受信します。1 つ目はローカル端末から、2 つ目は端末サーバからです。ユーザに猶予ログイン回数が割り当てられている場合、2 回のログイン試行がログ記録され、猶予回数から引かれます。このため、ログイン試行が指定されたタイムアウト期間内に発生した場合、
    Privileged Access Manager
    は、2 番目のログインで猶予回数を更新しません。
  • trace_file
    トレース メッセージが要求される場合の、トレース メッセージの送信先ファイルの名前。
    デフォルト:
    ACInstallDir
    \log\seosd.trace
  • trace_file_type
    トレース ファイルのタイプ。
    既存のトレース ファイルのこの値を変更すると、既存のトレース ファイルは名前に拡張子「.backup」を付けて保存され、新しいトレース ファイルが指定したフォーマットで開始されます。
    デフォルト:
    text
  • trace_filter
    トレース メッセージのフィルタ処理に使用される、フィルタ データを保存するファイルの名前。ファイルの完全パスを指定する必要があります。
    デフォルト:
    ACInstallDir
    \log\trcfilter.ini
  • trace_space_saver
    ファイル システムに確保する空き容量(KB 単位)。空き容量がこの数値を下回ると、
    Privileged Access Manager
    ではトレースは無効になります。
    使用可能な容量が後で増えた場合でも、トレースは自動的には有効になりません。
    デフォルト:
    5120
  • trace_to
    トレース メッセージの送信先。選択された値に応じて、
    Privileged Access Manager
    は以下を実行します。
    none - トレース メッセージを生成しません。
    file -  トレース メッセージを生成し、
    Privileged Access Manager
    がアクティブになると、ただちに trace_file レジストリで指定されたファイルにそのトレース メッセージを送信します。
    stop -  サービスの初期化時にトレース メッセージを生成します。サービスが初期化された後は、トレース メッセージは生成されません。
    デフォルト:
    file,stop