Windows版 ファイルルールの上位ディレクトリに対するrenameが拒否される

Document created by Tomo_Fujita Employee on Mar 25, 2015
Version 1Show Document
  • View in full screen mode

文書番号: JTEC000177

 

製品名:Privileged Identity Manager

 

バージョン:All

 

OS:Windows

 

 

◆ 内容

CA ControlMinder Windows版では、ファイルルールとして登録されたリソースの上位ディレクトリに対するrenameアクセスが拒否されます。

 

◆ 詳細内容

CA ControlMinder Windows版では、ファイルルールとして登録されたリソースの上位ディレクトリに対するrenameアクセスを、

登録されたファイルリソースの登録内容にかかわらず内部的に保護します。

そのため、上位ディレクトリに対するrenameアクセスは拒否されます。

例えば、ファイルルールがC:¥temp¥test¥*に対して作成されている場合、C:¥tempおよびC:¥temp¥testの

各上位ディレクトリに対するrenameアクセスは拒否されます。

なお、Windowsのエクスプローラでの通常の削除はゴミ箱への移動となり、内部的にはrenameアクセスとなるため、

上位ディレクトリをエクスプローラで削除しようとすると拒否されることになります。

上記動作にて上位ディレクトリへのrenameアクセスが拒否された場合、

監査ログの認証ステージコードには、「保護対象リソースのパスの名前変更を試行しました」を示す92が記録されます。


例:
DD MON YYYY HH:MI:SS D FILE        <domain>¥<user> Rename    92 10 C:¥temp        C:¥Windows¥explorer.exe

 

上記動作を回避するためには、上位ディレクトリに対して明示的にアクセスの許可を与えてください。
例:
AC> ef C:¥temp¥test¥* defacc(a) audit(a) own(nobody)
AC> ef C:¥temp defacc(a) audit(n) own(nobody)
AC> ef C:¥temp¥test defacc(a) audit(n) own(nobody)

 

Attachments

    Outcomes