ポリシー デプロイメント
目次
cminder12901jp
目次
Privileged Identity Manager
ポリシーをデプロイする場合、エラーを発生させずに正常にポリシーのデプロイおよび実行を行うために、いくつかの共通手順に従ってください。 以下のセクションでは、サンプル ポリシーのデプロイ前またはデプロイ後に実行する必要があるアクションについて説明します。ポリシー デプロイメントのためにエンドポイントを準備する方法
ポリシーを実装する前に、ポリシーのエンドポイントを準備する必要があります。 実行すると、このポリシーに関連する問題を後で分離することができます。
ポリシー デプロイメントのためにエンドポイントを準備する方法
- オペレーティング システムまたはアプリケーションの新規インストールを使用するOS ポリシー用に、製造者から提供された OS の最新バージョンおよびパッチを使用します。 これにより、変更によってシステムの安全性が潜在的に損なわれる前に、システムを保護することができます。 ポリシーを適用した後、パッチを適用したり、必要に応じてシステムを設定し、悪意のある変更や偶発的な変更からシステムを保護することができます。 アプリケーションにも同じことがあてはまります。
- 職務分掌を実装するポリシー ルールを確認し、必要に応じて他のロールを追加します。 ロール、ユーザおよびそれらの関係(ロール メンバシップ)を定義する独自のポリシーを作成します。 サンプル ポリシーのデプロイ前または後にこのポリシーをデプロイできます。単一ユーザに必要以上の権限を割り当てていないことを確認してください。 たとえば、デフォルトではスーパーユーザがPrivileged Identity Manager管理者権限を提供する ROL_AC_ADMIN に追加されています。 最良の方法として、このユーザを削除し、代わりにセキュリティ管理者をこのグループに追加することをお勧めします。
- 新しいPrivileged Identity Managerデータベースを作成する、または既存のデータベースをバックアップするポリシーを実装する前に、新しいデータベースを作成します。 これにより、ポリシー ルールの競合またはデータベースの既存ルールへの変更が発生しないようになります。 新しいデータベースを作成することができない場合、データベースをバック アップし、そのバックアップを使用してポリシー適用前の状態にリストアできるようにしてください。
- ユーザに適切な管理ロール(システム管理者、セキュリティ管理者、アプリケーション管理者)を割り当てる。
- 新しい監査ログ ファイルを使用する既存の監査ログ ファイルをバックアップし、それを消去します。 これによって、新しいイベントをログに記録する際、Privileged Identity Managerは新しい監査ログ ファイルを作成します。 監査ログ ファイルにはデプロイするポリシーに関連したイベントのみが記録されているため、このポリシーに関連する問題の確認および分離を迅速に行うことができます。
- Privileged Identity Managerユーザ定義変数を設定する設定済みのPrivileged Identity Manager変数の値(「AC Variables Definitions」セクション)を検証し、使用中の環境に一致させるか、または必要に応じて値の追加、変更を行います。
段階的なポリシーのデプロイ方法
ポリシーをデプロイする際、いくつかのアクションを実行することで、ポリシーのデプロイおよびポリシーの実行をエラーを発生させず、正常に行うことができます。 ポリシーをデプロイするためにエンドポイントを準備した後、段階的にポリシー デプロイメントを実行することをお勧めします。
ポリシーは最初にテスト環境にデプロイすることをお勧めします。 必要に応じてポリシーを調整してから、実稼働環境へデプロイしてください。
段階的な方法でポリシーをデプロイする方法
- ポリシーを警告モードでデプロイします現在、このポリシーはアクティブですが、ポリシー ルールは適用されません。 そのため、ポリシーを有効にする前に、対象となるポリシーの結果を監査ログでプレビューすることができます。注:サンプル ポリシー クリプトでは、すべてのポリシー ルールがデフォルトで警告モードに設定されています。
- 警告メッセージがあるかどうかPrivileged Identity Manager監査ログを確認します。ポリシーをデプロイした後、ポリシー違反があれば警告として監査ログに表示されます(ポリシー ルールが警告モードを使用している場合)。
- 実際のシナリオでシステムを使用し、再び監査ログを分析します。ポリシーを効果的にテストするために、コンピュータ上で通常の操作手順を実行することができます(ログイン、サービスおよびアプリケーションの起動、停止など)。 次に、監査ログを再度分析し、新しい警告が表示されているかどうかを確認することができます。
- 必要に応じてポリシーを調整します。監査ログから収集した情報を使用して、実際の環境で想定される使われ方に合わせてポリシーを調整できます。
- ポリシーを有効にするために、警告モードを削除します本稼働環境でポリシーのルールを適用する準備ができたら、ルールを有効にするために警告モードを削除できます。ポリシーが適用されます。
注:
ポリシーを変更する場合、まずポリシーの適用を無効にします(警告モードを使用します)。 ポリシーに変更を加えた後、変更が希望どおりに機能していることが確認できたら、ポリシーを再度有効にします。ポリシー デプロイメント方法
サンプル ポリシーおよびベスト プラクティス ポリシーには
Privileged Identity Manager
の変数が含まれているため、これらのポリシーは拡張ポリシー管理方法を使用してデプロイする必要があります。注:
エンドポイント上で、 selang でサンプル ポリシー ファイルを直接実行することはできません。Privileged Identity Manager
エンタープライズ コンソールを使用して、DMS 上にサンプル ポリシーを格納し、必要に応じて複数のエンドポイントに割り当てます。環境に合わせてポリシーをカスタマイズする方法
サンプル ポリシーおよびベスト プラクティス ポリシーは、独自のセキュリティ ポリシーのベースとして提供されます。 ポリシーをデプロイするには、環境に合わせてポリシーをカスタマイズする必要があります。
環境に合わせてポリシーをカスタマイズする方法
- Privileged Identity Managerおよびシステム ログ ファイルを確認します。デプロイメント プロセス中に発生した警告およびエラーの検索、識別を行い、これらの原因となるポリシーを修正します。
- ユーザをポリシー ロールに追加します。ポリシーでは、許可のためにロールが使用されます。 そのため、組織のユーザをロールに割り当てる必要があります。重要:ポリシーをデプロイ解除する場合、作成したユーザおよびグループを削除しないでください。 削除すると、同じユーザおよびグループを使用する他のポリシーで、ACL リストの正常な動作やアクセサの関連付けに影響を及ぼす場合があります。
- (Windows のみ)共存ユーティリティ eACoexist.exe を実行します。このユーティリティは、Privileged Identity Managerと他のインストール済みプログラムの間で発生した競合を識別し、そのプログラムにバイパスを作成することによって競合を解決します。