Windows版 内部ファイルルールによる監査ログについて

Document created by Tomo_Fujita Employee on Mar 3, 2015
Version 1Show Document
  • View in full screen mode

文書番号: JTEC000128

 

製品名:Privileged Identity Manager

 

バージョン:All

 

OS:Windows

 

◆ 内容

CA AccessControl Windows版 (以下CA AC) 12.5 SP3以降では、12.5 SP2以前で出力されていなかった、

AC導入ディレクトリに対する内部ファイルルールによる拒否の監査ログが出力される場合があります。

 

◆ 詳細内容

CA ACではAC導入ディレクトリ配下に対して内部ファイルルールによる保護が行われています。

内部ファイルルールによって、CA ACの内部プロセス以外からのアクセスは、READおよびEXECのみが許可されています。

また、12.5 SP3以降では、CA ACデータベースに関しては基本的にはアクセス権がありません。

そのため、AC導入ディレクトリ配下に対するアクセスでは、上述の許可されているアクセス以外は拒否され、

拒否の監査ログが出力されることになります。

しかしながら、12.5 SP2以前では、内部ファイルルールによる保護において、ファイル作成時に発生する

CREATE アクセスをCA ACが正しくハンドリングできないという問題があったため、CREATEアクセスに

対する監査ログの出力がされていませんでした。その問題は12.5 SP3以降で修正されており、

12.5 SP3以降では、CREATEアクセスが発生した際には、そのアクセスに対する拒否の監査ログが

正しく出力されるようになります。本来であれば12.5 SP2以前でも出力されるべき監査ログでした。

 

そのため、特定のオペレーションにおいて、12.5 SP2以前では出力されていなかったAC導入ディレクトリ

配下に対するアクセスにおける拒否の監査ログが、12.5 SP3以降では出力される場合があります。

例えば、Windows Explorerによるアクセスでは、管理ファイルの作成が行われる場合があり、

ExplorerにてAC導入ディレクトリ配下に対するアクセスが発生した場合には、12.5 SP2では

出力されなかった拒否の監査ログが12.5 SP3以降では出力される場合があります。

 

AC 12.5 SP3以降での監査ログ出力例:
DD MON YYYY HH:MM:SS D FILE user Read, Create 995 10 C:¥Program Files¥CA¥AccessControl¥data¥seosdb¥* C:¥Windows¥Explorer.EXE user
DD MON YYYY HH:MM:SS D FILE user Read, Create 995 10 C:¥Program Files¥CA¥AccessControl¥Data¥help¥* C:¥Windows¥Explorer.EXE user

 

内部ファイルルールの詳細に関しては、Windows エンドポイント管理ガイドの4章 [内部ファイルの保護]をご参照ください。

Attachments

    Outcomes