前のトピック: 拡張ログイン

次のトピック: 端末統合の動作のしくみ

エンタープライズ管理ガイド共有アカウントの実装SAM の自動ログイン端末統合

端末統合

端末統合により、特権アカウントを使用するユーザのアクティビティを追跡するために、ユーザの CA ControlMinder のエンドポイントを SAM に統合できます。 端末統合が動作するのは、ユーザが特権アカウント パスワードをチェックアウトして、CA ControlMinder のエンドポイントへのログインに自動ログインを使用する場合のみです。

端末統合により、以下のようにユーザのセキュリティとアカウンタビリティが強化されます。

CA ControlMinder による監査レコードの書き込みと許可の判断の際に、元のユーザ名が使用されするように指定すると、CA ControlMinder では、ログイン セッション用の監査モードが蓄積されます。 蓄積された監査モードにより、元のユーザ用の監査モードと特権アカウント用の監査モードが使用されます。 元のユーザが CA ControlMinder のデータベースに定義されていない場合、CA ControlMinder では、デフォルト ユーザ用の監査モードと特権アカウント用の監査モードが蓄積されます。

たとえば、1 つのエンドポイント用に端末統合を設定します。 そのエンドポイントで、user1(元のユーザ)用の監査モードは失敗で、privileged_user という名前の特権アカウント用の監査モードは成功です。 user1 が privileged_user としてエンドポイントへのログインに自動ログインを使用する場合、CA ControlMinder により、ログイン セッション用の監査モードが失敗、成功に設定されます。

端末統合を使用できるのは、CA ControlMinder がインストールされている Windows エージェントレス エンドポイントと SSH Device エンドポイント上でのみです。 さらに、ユーザは特権アカウント パスワードのチェックアウトに自動ログインを使用する必要があります。

SAM の統合機能を有効にして CA ControlMinder をインストールすると、端末統合はデフォルトで有効になります。 CA ControlMinder をインストールしてから、CA ControlMinder エンドポイント管理 を使用して、エンドポイント上で端末統合を設定します。

例: ログイン イベントの監査レコード

以下の例では、端末統合を設定したアカウントのログイン イベント監査レコードが示されています。 エンドポイントへのログインに、ユーザが SAM の自動ログインを使用する必要があると指定されています。

Event type: Login attempt
Status: Denied
User name: example1¥administrator
Terminal: example1.domain.com
Program: Terminal services
Date: 27 May 2010
Time: 17:35
Details: Automatic login is required for this account
User Logon Session ID: 7dd2b3dc-8a1a-4ffa-8e7d-f9bc20d2b341
Audit flags: OS user

例: リソース アクセス監査レコード

以下の例では、端末統合を設定したアカウント用のリソース アクセス監査レコードが示されています。 CA ControlMinder による監査レコードの書き込みと許可の判断の際に、特権アカウント ユーザ名ではなく元のユーザ名が使用されるように指定しています。 元のユーザ名(user1)は[ユーザ名]フィールド内に一覧表示されています。また、特権アカウント(管理者)は[有効なユーザ名]フィールドに一覧表示されています。

Event type: Resource access
Status: Denied
Class: FILE
Resource: C:¥tmp¥core.txt
Access: Exec
User name: domain¥user1
Terminal: example1.domain.com
Program: C:¥WINDOWS¥system32¥cmd.exe
Date: 02 Feb 2010
Time: 14:20
Details: No Step that allowed access
User Logon Session ID: 7dd2b3dc-8a1a-4ffa-8e7d-f9bc20d2b341
Audit flags: OS user
Effective user name: example1¥administrator

詳細情報:

端末統合の実装に関する考慮事項