UNIX ネイティブ セキュリティの拡張
以下の の機能により、ネイティブ セキュリティが拡張されます。
capamsc141
以下の
Privileged Access Manager
の機能により、ネイティブ セキュリティが拡張されます。スーパーユーザ アカウントの制限
通常、オペレーティング システムを管理するユーザは、事前定義されたアカウントのメンバです。これらのアカウントは、システムのセットアップ時に自動的に作成されます(UNIX システムの root アカウントや Windows システムの Administrator アカウントなど)。事前定義された各アカウントは、一連のシステム機能のセットを実行します。
たとえば、root または Administrator として作業しているユーザは、ユーザの作成、削除、変更を実行でき、サーバのロック、再設定、シャット ダウンを実行できます。
セキュリティ上の主なリスクの 1 つは、権限のないユーザがこれらのアカウントの制御を手に入れる可能性があることです。そうなった場合、そのユーザはシステムに重大な損害を与えることができます。
Privileged Access Manager
は、これらのアカウントに付与されている権限を制限することができます。製品では、これらのアカウントをメンバとして持つユーザ グループに属するユーザの権限を制限することができます。これにより、オペレーティング システムの脆弱性をカバーします。 Privileged Access Manager 管理者
Privileged Access Manager
管理者Privileged Access Manager
のインストール時には、1 人以上の Privileged Access Manager
管理者の名前を設定する必要があります。管理者には、ルール データベースのすべてまたは一部を変更する権限があります。すべての権限を持つ管理者を少なくとも 1 人設定する必要があります。この管理者は、アクセス ルールを自由に変更または作成することができ、管理者のレベルを指定できます。システムのユーザを定義した後、管理者以外のユーザに ADMIN 属性を割り当てることによって、管理者権限を割り当てることができます。
注:
ADMIN 属性が割り当てられたユーザには、強力な権限が与えられます。このため、ADMIN ユーザの数は厳しく制限する必要があります。また、Privileged Access Manager
セキュリティ管理者を 1 人以上設定した後に、スーパーユーザから ADMIN 属性を削除して、ネイティブのスーパーユーザの役割と管理者の役割を分離することをお勧めします。Privileged Access Manager
では、常に最低 1 人のユーザがデータベースを管理する権限を持つ必要があるため、ADMIN 属性を持つ最後のユーザを削除することはできません。Privileged Access Manager
管理者がこのワークステーションから他のホストを管理する可能性がある場合は、そのホスト上のデータベースに、このワークステーションからの READ アクセス権と WRITE アクセス権の両方を管理者に与えるルールが定義されていることを確認してください。サブ管理
Privileged Access Manager
には、サブ管理
機能があります。管理者はこの機能を使用して、一般ユーザが特定のクラスを管理できるようにする特定の権限を与えることができます。このようなユーザをサブ管理者といいます。たとえば、特定のユーザに対して、ユーザとグループを管理できる権限を与えることができます。
また、特定のクラスに対してだけではなく、そのクラスの指定されたレコードに対してアクセス権を許可することにより、より高いレベルのサブ管理を指定することもできます。
一般ユーザに与える管理者権限
Privileged Access Manager
では、Administrators グループのメンバでなくても管理タスクを実行できるように、権限を一般ユーザ(管理者以外)に与えることができます。このようにきめ細かな方法でタスクを委任できる(つまり、管理権限を付与できる)機能は、Privileged Access Manager
の最も重要な機能の 1 つです。- SUDO クラスのレコードには、コマンド スクリプトが格納されています。ユーザは、付与された権限でそのスクリプトを実行できます。
- data プロパティの値はコマンド スクリプトです。この値は、省略可能なスクリプト パラメータ値を追加して変更することができます。
- SUDO クラスの各レコードは、あるユーザが別のユーザの権限を借用できるようにするためのコマンドを識別します。
- SUDO クラス レコードのキーは、SUDO レコードの名前です。この名前は、ユーザが SUDO レコードでコマンドを実行する際に、コマンド名の代わりに使用されます。
Program Pathing
Program Pathing
は、ファイルにアクセスするには特定のプログラムを介さなければならないことを要求する、ファイルに関連するアクセス ルールです。Program Pathing により、機密ファイルのセキュリティを大幅に強化できます。Privileged Access Manager
の Program Pathing を使用すると、システム内のファイルに対する保護を強化できます。B1 セキュリティ レベル認証
Privileged Access Manager
には、セキュリティ レベル、セキュリティ カテゴリ、およびセキュリティ ラベルという 「Orange Book」の B1 レベルの機能があります。- データベース内のアクセサとリソースには、セキュリティ レベルを割り当てることができます。セキュリティ レベルは、1 から 255 までの整数です。アクセサのセキュリティ レベルが、リソースに割り当てられたセキュリティ レベル以上である場合にのみ、アクセサはリソースにアクセスできます。
- データベースのアクセサとリソースは、1 つ以上のセキュリティ カテゴリに属することができます。リソースに割り当てられているすべてのセキュリティ カテゴリにアクセサが属している場合のみ、そのアクセサはリソースにアクセスできます。
- セキュリティ ラベルは、特定のセキュリティ レベルを 0 個以上のセキュリティ カテゴリのセットに関連付けるための名前です。ユーザをセキュリティ ラベルに割り当てると、セキュリティ ラベルに関連付けられたセキュリティ レベルおよびセキュリティ カテゴリの両方がユーザに設定されます。
注:
Orange Book の B1 レベルの機能の詳細については、「実装」セクションを参照してください。