エンドポイント ポリシーの設定

目次
cminderpim14jp
目次
ポリシーは、エンドポイント上でシステム全体の CA Privileged Identity Manager のオプションを設定します。たとえば、ポリシーを使用して、Windows エンドポイント上のユーザ パスワード ポリシーまたはネイティブ監査ポリシーを設定できます。
Windows エンドポイント上の監査ポリシーの設定
グループ、プロファイル、またはユーザの監査ポリシーを設定します。さらに、監査ログに書き込む Windows イベントも指定できます。
以下の手順に従います。
  1. CA Privileged Identity Minder エンドポイント コンソールで、以下の操作を実行します。
    1. [設定]をクリックします。
    2. [監査ポリシー]をクリックします。
    [監査ポリシー]ページが表示されます。
  2. 以下のフィールドに値を入力します。
    • 監査ポリシー
      監査が有効か無効かを指定します。監査を有効にする場合は、監査するイベントを指定します。
    • 監査ポリシー イベント
      以下の各イベントの成功および失敗を監査するかどうかを指定します。
      • ファイルやオブジェクトへのアクセス
        -- ファイルなどのセキュリティ保護可能なオブジェクトへのアクセスを試行します。
      • ユーザ権限の実行
        -- Windows Server 権限の使用を試行します。
      • ログオンとログオフ
        -- システムへのログインまたはシステムからのログオフを試行します。
      • プロセスの追跡
        -- プログラムのアクティベーション、ハンドルの複製、オブジェクトへの直接アクセスなどを試行します。
      • セキュリティ ポリシーの変更
        -- ポリシー オブジェクト ルール変更を試行します。
      • システムの再起動または停止
        -- コンピュータの停止または再起動を試行します。
      • ユーザとグループの管理
        -- ユーザまたはグループのアカウントの作成、削除、または変更を試行します。パスワード変更も含みます。
    [保存]をクリックします。
    確認メッセージが表示され、ネイティブ オプションが正常に更新されたことが通知されます。
ユーザ パスワード ポリシーの設定
ユーザ パスワードのコンテンツ要件を定義できます。
ユーザ パスワード ポリシーを設定するには、以下の手順に従います。
  1. CA Privileged Identity Minder エンドポイント コンソールで、以下の操作を実行します。
    1. [設定]タブをクリックします。
    2. [ユーザ パスワード ポリシー]をクリックします。
    [ユーザ パスワード ポリシー]ページが表示されます。
  2. 以下のフィールドに値を入力します。
    • パスワードの変更禁止期間
      変更したパスワードを再度変更できるようになるまでの最短日数を設定します。
    • パスワードの最長有効期間
      パスワードの設定または変更後、ユーザに対して新しいパスワードの入力を促すメッセージを表示するまでの経過日数を設定します。interval を 0 に設定すると、ユーザに対するパスワード期間のチェックは無効になります。パスワードを期限切れにしない場合は、間隔をゼロに設定します。
    • パスワードの最小文字数
      パスワードで使用する必要がある文字の最小数を指定します。
    • パスワード最大長
      パスワードで使用する必要がある文字の最大数を指定します。
    • パスワードの一意性
      新しいパスワードと古いパスワードとで共通する文字の最大数を指定します。
    • 小文字の文字数
      パスワードで使用する必要がある小文字の最小数を指定します。
    • 大文字の文字数
      パスワードで使用する必要がある大文字の最小数を指定します。
    • 英字の文字数
      パスワードで使用する必要がある英字の最小数を指定します。
    • 特殊文字の文字数
      パスワードで使用する必要がある特殊文字の最小数を指定します。
    • 英数字の文字数
      パスワードで使用する必要がある英数字の最小数を指定します。
    • 数字の文字数
      パスワードで使用する必要がある数字の最小数を指定します。
    • 猶予ログイン回数
      ユーザに許可されている猶予ログインの最大回数を定義します。この回数に達すると、ユーザのログインは一時停止されます。
      制限:
      0 から 255 までの整数
    • 同じ文字の繰り返し回数
      パスワードに含めることができる繰り返し文字の最大数を指定します。
    • アカウント名と同一のパスワード
      パスワードの一部にユーザ名が使用されているか、またはユーザ名の一部がパスワードになっているかどうかをチェックするかどうかを指定します。
    • パスワードを置き換える
      新規パスワードの一部に古いパスワードが使用されているか、または古いパスワードの一部が新規パスワードになっているかどうかをチェックするように指定します。
    • 双方向パスワード
      パスワードが他のシステムに PMDB から伝達されるときに、クリア テキスト形式で(暗号化されたメッセージ内で)配信するように指定します。
      UNIX の場合、このオプションは
      passwd
      セクションに以下の値を設定することと同等です。
      Passwd_distribution_encryption_mode=bidirectional
      注:
      setoptions
      コマンドを使用するのではなく、環境設定を行うことをお勧めします。
      Windows の場合、パスワードは以下のレジストリ値で指定された暗号方式を使用して履歴リストに格納されます。
      HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\Encryption Package
    • 禁止文字
      ユーザがパスワードで使用できない文字を指定します。
    • 辞書ソース
      パスワード辞書を指定します。この辞書に含まれている単語は、パスワードに使用できません。使用可能な値は以下のとおりです。
      • データベース
        -- CA Privileged Identity Manager は、パスワードを CA Privileged Identity Manager のデータベース内の単語と比較します。
      • ファイル
        -- CA Privileged Identity Manager は、パスワードを環境設定で指定されたファイルと比較します。
  3. [保存]をクリックします。
    確認メッセージが表示され、パスワード ポリシーが正常に更新されたことが通知されます。