不正アクセスから Windows ファイルリソースの %systemRoot% を保護する為の FILE ルールの作成について

Document created by Tomo_Fujita Employee on Feb 26, 2015
Version 1Show Document
  • View in full screen mode

文書番号: JTEC000096

 

製品名:Privileged Identity Manager

 

バージョン:All

 

OS:Windows

 

 

◆ 内容

不正アクセスから Windows ファイルリソースの %systemRoot% を保護する為に CA Access Control for Widnows でポリシーを定義する方法について。

 

◆ 詳細内容

Windows の %SystemRoot% への不正アクセスを防ぐためには、 selang のコマンドシーケンスを以下のような形式にする必要があります。

1. ファイルリソースを保護するためのルール

newres FILE ("%SystemRoot%") owner("nobody") defaccess(none) warning
newres FILE ("%SystemRoot%\*") owner("nobody") defaccess(none) warning

 

注: CA Access Control では、実際のルールの変数値が解決されます。

2. 標準装備システムのユーザによる Windows %SystemRoot% への必須アクセスを許可するためのルール

ファイルリソースルールの定義後、標準装備のオペレーティングシステムのユーザが %SystemRoot% へのアクセスを許可されていることを確認する必要があります。
これを行うには、最初に CA Access Control で Windows オペレーティングシステムのユーザを手動で定義します。これは、そのユーザが物理的な」ユーザアカウントではないため、インストールのセットアップウィザードでも ntimport.exe でもユーザを特定することができないからです。
UserGroup オブジェクトを作成して、そこにユーザを追加することをお勧めします。以下の例では、「Wininternals」 を UserGroup オブジェクトとして使用しています。

  newgrp ("Wininternals") name("Windows internal User group") owner("nobody")
  newusr ("LOCALSERVICE") owner("nobody") nonative
  newusr ("SYSTEM") owner("nobody") nonative
  newusr ("NT AUTHORITY\\SYSTEM") owner("nobody")nonative
  newusr ("NETWORK SERVICE") owner("nobody") nonative
  join ("LOCALSERVICE") group("Wininternals")
  join ("SYSTEM") group("Wininternals")
  join ("NT AUTHORITY\\SYSTEM") group("Wininternals")
  join ("NETWORK SERVICE") group("Wininternals")

3. 以下の手順に従い、その他の Windows ユーザアカウントのうち、問題のホストマシンにローカルでログオンする必要のあるものを定義し、前に定義したグループに追加する必要があります。

newusr ("localhost\\Administrator") owner("nobody") nonative
join ("localhost\\Administrator") group("Wininternals")

注: localhost はマシンのホスト名で置き換えます。ドメインアカウントを使用する場合は、ドメイン名を入力する必要があります。

4. 次の手順では、 Wininternals グループに対して、保護された Windows %SystemRoot% ファイルへのフルコントロールのアクセス権限を付与します。

authorize FILE ("%SystemRoot%") gid("Wininternals") access(All);
authorize FILE ("%SystemRoot%\*") gid("Wininternals") access(All);

5. ホストマシンを再起動して、すべてが想定どおりに動作していることを確認します。

a. ローカルでログオンし、アプリケーションをいくつか起動します。

b. 予期しないエラー拒否や警告などが生成されていないかどうか seaudit で確認します。
  seaudit -a -sd today

すべてが想定どおりに動作していることを確認したら、以前に定義したファイルリソースルールから警告監査仕様を削除します。これ以降、定義したポリシーが有効になります。

 

chfile ("%SystemRoot%") warning-
chfile ("%SystemRoot%\*") warning-

 

以上


このドキュメントは米国サポートサイトに掲載されているナレッジベース: TEC411468 を翻訳し、加筆したものです。

TITLE : How to define policy in eTrust Access Control for Windows to protect the Windows file resource %SystemRoot% from unauthorized access?

 

 

 

 

Attachments

    Outcomes