사용자 가장 보호 활성화

사용자 가장 보호를 사용하면 특정 사용자 및 그룹을 가장하기 위한 요청을 승인 또는 거부하는 규칙을 설정할 수 있습니다.

사용자 가장 보호를 활성화하려면

(선택 사항) 다음과 같이 커널 모드 차단을 활성화합니다.
1. CA ControlMinder을 중지합니다.
2. 다음 레지스트리의 값을 1로 변경합니다.
```
HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\
SeOSD\SurrogateInterceptionMode
```
3. CA ControlMinder을 다시 시작합니다.
  참고: 사용자 모드 차단은 기본적으로 활성화됩니다.
selang 명령 프롬프트 창을 엽니다.
SURROGATE 클래스를 활성화합니다.
```
setoptions class+(SURROGATE)
```
CA ControlMinder 환경의 SURROGATE 레코드에 대한 selang 규칙을 정의합니다.
(커널 모드 차단에만 해당) SYSTEM 사용자가 가장 요청을 하는 사용자를 가장할 수 있게 하는 규칙을 정의합니다.
```
auth SURROGATE USER.Administrator uid("NT AUTHORITY\SYSTEM") acc(R)
```
Windows는 많은 유틸리티와 서비스(예: Run As)를 유틸리티를 실행하는 사용자가 아닌, 사용자 "NT AUTHORITY\SYSTEM"으로 식별합니다. 이러한 유틸리티를 실행하는 사용자가 다른 사용자를 가장할 수 있도록 하려면 SYSTEM 사용자에 대한 규칙을 정의해야 합니다.

예: 모든 가장 요청 승인

다음 selang 규칙은 데이터베이스의 규칙이 명시적으로 가장을 금지하지 않는 한, 임의의 사용자가 다른 사용자로 가장할 수 있게 해줍니다.

editres SURROGATE _default defaccess(READ)

예: 특정 사용자의 가장 금지

다음 selang 규칙은 데이터베이스의 규칙이 사용자 가장을 명시적으로 허용하지 않는 한, 모든 사용자가 Administrator를 가장하는 것을 금지합니다.

newres SURROGATE USER.Administrator defaccess(NONE)

예: 그룹이 사용자를 가장하도록 허용

다음 규칙은 Administrators 그룹의 구성원이 Administrator를 가장하도록 허용합니다.

authorize SURROGATE USER.Administrator gid("Administrators")