12.5 SPx Windows版Generic FILE ルールに関連した問題

Document created by Tomo_Fujita Employee on Mar 24, 2015
Version 1Show Document
  • View in full screen mode

文書番号: JTEC000157

 

製品名:Privileged Identity Manager

 

バージョン:r12.5

 

OS:Windows

 

◆ 内容

Generic FILE ルール(※1)を特定のパターンで作成した場合、ファイルのアクセス制御が正しく行われないという問題の報告があります。

作成したルールによっては、システムログインなどができなくなる恐れがあります。

※1

Generic FILEルール: リソース名にワイルドカード(*および?) を含めたFILEルール
例: nf (“C:¥work¥*”)

 

◆ 詳細内容

この問題は、CA ControlMinder r12.5 SP2~SP5で発生することが確認されています。

問題が発生するGeneric FILEルールのパターン:

ルール1. nf (“C:¥aaaa¥*”) owner(nobody) audit(ALL) defacc(ALL)
ルール2. nf (“C:¥aaaa¥bbbb¥*”) owner(nobody) audit(ALL) defacc(NONE)

 

上記ルールを作成した場合、ファイルC:¥aaaa¥test.txtへのアクセスは仕様ではルール1が適用され許可となりますが、

報告ではルール2が誤って適用されてしまい、結果としてアクセスが拒否されるという問題が起きるというものです。

 

この問題により、例えば以下のようなルールを作成していた場合、C:¥ 配下のファイルへのアクセスがすべて拒否される

という事態が発生し、システムログインなどができなくなる危険があります。

 

AC>. nf (“C:¥*”) owner(nobody) audit(ALL) defacc(ALL)
AC>. nf (“C:¥work¥*”) owner(nobody) audit(ALL) defacc(NONE)

 

対応:
この問題はCA ControlMinder r12.5 SP5 CR1以降で対応されています。

 

回避策:
この問題に起因してシステム操作が一切できなくなってしまった場合、一旦システムを強制終了してセーフモードで立ち上げ直し、

ControlMinderのサービスをすべて手動に変更してください。

リブート後、コマンドプロンプトからselang -lを実行して”C:¥*”のFILEルールを削除することで、一時的に問題を回避することができます。

Attachments

    Outcomes