保護の対象(UNIX)

CA ControlMinder は、以下のエンティティを保護します。
cminderpim14jp
CA ControlMinder は、以下のエンティティを保護します。
  • ファイル
    特定のファイルにアクセスする権限があるか?
    CA ControlMinder は、ファイルへのユーザのアクセスを制限します。ユーザに対して、READ、WRITE、EXECUTE、DELETE、RENAME などのアクセス権限を 1 種類以上与えることができます。アクセス権限は、個々のファイルに対して、または類似した名前を持つファイルの集合に対して指定できます。
  • 端末
    特定の端末を使用する権限があるか?
    このチェックは、ログイン プロセスで行われます。CA ControlMinder のデータベースに個々の端末または端末グループを定義し、その端末または端末グループの使用を許可されているユーザまたはユーザ グループを指定するアクセス ルールを適用できます。端末を保護することによって、強力な権限を持つユーザ アカウントのログインに未許可の端末が使用されることを確実に防止します。
  • サインオン時間
    ユーザには、特定の曜日の特定の時間にログインする権限があるか?
    通常、エンド ユーザは平日の勤務時間帯にのみ端末を使用します。そのため、平日の曜日と時間帯によるログイン制限、および休日のアクセス制限を行うことによって、ハッカーやその他の無許可のアクセサから端末を保護できます。
  • TCP/IP
    相手の端末には、ローカル コンピュータから TCP/IP サービスを受け取る権限があるか? 相手の端末には、ローカル コンピュータに TCP/IP サービスを提供する権限があるか? 相手の端末は、ローカル端末のすべてのユーザからサービスを受け取ることを許可されているか?
    オープン システムは、コンピュータとネットワークの両方がオープンであるシステムです。オープン システムの長所は、同時に短所でもあります。コンピュータがいったん外部に接続されると、故意にしろ過失にしろ、外部ユーザがシステムに侵入したり、そのユーザが行った行為が損害をもたらしたりする危険が発生します。CA ControlMinder には、ローカルの端末やサーバが不明な端末へサービスを提供することを防止するファイアウォールが用意されています。
  • 複数ログイン権限
    ユーザは他の端末からログインできるか?
    同時ログイン
    とは、ユーザが複数の端末からシステムにログインできることを意味します。CA ControlMinder では、1 人のユーザが複数の端末から同時にログインすることを防止できます。これによって、すでにログインしているユーザのアカウントに侵入者がログインすることを防止できます。
  • ユーザ
    定義エンティティ
    標準エンティティ(TCP/IP サービスや端末など)および機能エンティティ(トランザクションの実行やデータベース内のレコードへのアクセスなどの
    抽象
    オブジェクト)の両方を定義して保護できます。
  • 管理者権限
    CA ControlMinder には、スーパーユーザ権限をオペレータに委任する方法、およびスーパーユーザ アカウントの権限を制限する方法が用意されています。
  • ユーザ ID
    の置換
    ユーザには、そのユーザ ID を一時変更する権限があるか?
    UNIX の
    setuid
    システム コールは、オペレーティング システムが提供するサービスの中で最も慎重に扱うべきサービスの 1 つです。CA ControlMinder は setuid システム コールをインターセプトし、そのユーザに ID の置換を実行する権限があるかどうかをチェックします。ユーザ ID の置換権限のチェックには Program Pathing などが使用されます。Program Pathing では、ユーザが特定のプログラムを使用している場合にのみ、ユーザ ID の置換が許可されます。この Program Pathing は、root ユーザになって root のアクセス権を取得できるユーザを制御する際に特に重要です。
  • グループ ID
    の置換
    ユーザには、newgrp (グループ ID の置換)コマンドを実行する権限があるか?
    グループ ID の置換の保護は、ユーザ ID の置換の保護に似ています。
  • setuid プログラムおよび setgid プログラム
    特定の setuid プログラムまたは setgid プログラムを信頼できるか? ユーザには、このプログラムを実行する権限があるか?
    セキュリティ管理者は、setuid または setgid 実行可能ファイルとなっているプログラムをテストし、これらのプログラムにアクセス権の不正取得に利用される可能性があるセキュリティ ホールがないことを確認できます。テストで安全とみなされたプログラムは、trusted プログラムとして定義されます。CA ControlMinder の自己防衛機能モジュール(CA ControlMinder
    Watchdog
    ともいう)は、ある特定の時点で制御の対象になっているプログラムを認識し、そのプログラムが、trusted と分類された後に変更または移動されたかどうかをチェックします。trusted プログラムが変更または移動された場合、その時点で trusted とはみなされなくなり、CA ControlMinder はそのプログラムの実行を許可しません。
さらに、CA ControlMinder は、以下のような作為的または偶発的な脅威から保護します。
  • 強制終了
    CA ControlMinder では、重要なサーバやサービス、またはデーモンを強制終了から保護できます。
  • パスワード攻撃
    CA ControlMinder はさまざまなタイプのパスワード攻撃からパスワードを保護します。サイトのパスワード定義ポリシーを適用し、パスワードの盗用による侵入を検知します。
  • 不適切なパスワード
    CA ControlMinder のポリシーでは、十分な品質のパスワードを作成して使用することをユーザに強制するルールが記述されています。CA ControlMinder では、ユーザが基準に適合したパスワードを作成して使用するように、最長および最短のパスワード有効期限の設定、特定の語句の使用制限、文字の繰り返しの禁止、およびその他の制限事項の適用を行うことができます。パスワードを長期間継続して使用することは認められません。
  • アカウント管理
    CA ControlMinder のポリシーによって、休止状態のアカウントの適切な処理が保証されます。
  • ドメイン管理
    CA ControlMinder では、NIS ドメインおよび NIS 以外のドメインの両方にわたってパスワード保護を実装してセキュリティを強化できます。