端末統合

エンタープライズ管理ガイド › 特権アカウントの実装 › PUPM の自動ログイン › 端末統合

端末統合

端末統合により、特権アカウントを使用するユーザのアクティビティを追跡するために、ユーザの CA Access Control のエンドポイントを PUPM に統合できます。端末統合が動作するのは、ユーザが特権アカウントパスワードをチェックアウトして、CA Access Control のエンドポイントへのログインに自動ログインを使用する場合のみです。

端末統合により、以下のようにユーザのセキュリティとアカウンタビリティが強化されます。

セキュリティを強化するため、ユーザが PUPM の自動ログインを使用してエンドポイントにログインするように指定できます。
アカウンタビリティを強化するため、CA Access Control による監査レコードの書き込みと許可の判断の際に、特権アカウントユーザ名ではなく元のユーザ名が使用されるように指定できます。

CA Access Control による監査レコードの書き込みと許可の判断の際に、元のユーザ名が使用されするように指定すると、CA Access Control では、ログインセッション用の監査モードが蓄積されます。蓄積された監査モードにより、元のユーザ用の監査モードと特権アカウント用の監査モードが使用されます。元のユーザが CA Access Control のデータベースに定義されていない場合、CA Access Control では、デフォルトユーザ用の監査モードと特権アカウント用の監査モードが蓄積されます。

たとえば、1 つのエンドポイント用に端末統合を設定します。そのエンドポイントで、user1（元のユーザ）用の監査モードは失敗で、privileged_user という名前の特権アカウント用の監査モードは成功です。 user1 が privileged_user としてエンドポイントへのログインに自動ログインを使用する場合、CA Access Control により、ログインセッション用の監査モードが失敗、成功に設定されます。

端末統合を使用できるのは、CA Access Control がインストールされている Windows エージェントレスエンドポイントと SSH Device エンドポイント上でのみです。さらに、ユーザは特権アカウントパスワードのチェックアウトに自動ログインを使用する必要があります。

PUPM の統合機能を有効にして CA Access Control をインストールすると、端末統合はデフォルトで有効になります。 CA Access Control をインストールしてから、CA Access Control エンドポイント管理を使用して、エンドポイント上で端末統合を設定します。

例：ログインイベントの監査レコード

以下の例では、端末統合を設定したアカウントのログインイベント監査レコードが示されています。エンドポイントへのログインに、ユーザが PUPM の自動ログインを使用する必要があると指定されています。

Event type: Login attempt
Status: Denied
User name: example1¥administrator
Terminal: example1.domain.com
Program: Terminal services
Date: 27 May 2010
Time: 17:35
Details: Automatic login is required for this account
User Logon Session ID: 7dd2b3dc-8a1a-4ffa-8e7d-f9bc20d2b341
Audit flags: OS user

例：リソースアクセス監査レコード

以下の例では、端末統合を設定したアカウント用のリソースアクセス監査レコードが示されています。 CA Access Control による監査レコードの書き込みと許可の判断の際に、特権アカウントユーザ名ではなく元のユーザ名が使用されるように指定しています。元のユーザ名（user1）は［ユーザ名］フィールド内に一覧表示されています。また、特権アカウント（管理者）は［有効なユーザ名］フィールドに一覧表示されています。

Event type: Resource access
Status: Denied
Class: FILE
Resource: C:¥tmp¥core.txt
Access: Exec
User name: domain¥user1
Terminal: example1.domain.com
Program: C:¥WINDOWS¥system32¥cmd.exe
Date: 02 Feb 2010
Time: 14:20
Details: No Step that allowed access
User Logon Session ID: 7dd2b3dc-8a1a-4ffa-8e7d-f9bc20d2b341
Audit flags: OS user
Effective user name: example1¥administrator

詳細情報：

端末統合の設定

端末統合の実装に関する考慮事項

このトピックについて CA Technologies に電子メールを送信する