Windows レジストリ エントリを保護できるので、Windows 操作を追加保護することができます。
Windows レジストリ エントリを保護するには、以下の手順に従います。
注: キーまたは値を指定する場合は、完全なレジストリ パス名を使用してください。 ワイルドカードを使用してキーにネストされているすべてのサブキーまたはサブキーの値を指定することができます。
これで、レジストリ エントリは、CA ControlMinder がレコードに提供するデフォルトのアクセス権で保護されます。
例: レジストリ キーに対するデフォルトのアクセス権を NONE に設定する
以下の selang コマンドは、レジストリ キーに対するデフォルトのアクセス権を NONE に設定します。
er REGKEY HKEY_LOCAL_MACHINE¥SOFTWARE¥Test¥Key1 defacc(NONE) owner(nobody)
この結果、key1 に対するデフォルトのアクセス権は以下のようになります。
|
Action |
Windows Server 2003 以前のシステム |
Windows Server 2003 以降のシステム |
Windows Server 2008 以降のシステム |
|---|---|---|---|
|
サブキーの列挙 |
拒否 |
拒否 |
拒否 |
|
キーのクエリ、変更、名前変更、または削除 |
拒否 |
拒否 |
拒否 |
|
キーへのハイブのロードおよびアンロード |
拒否 |
拒否 |
拒否 |
|
値の列挙 |
拒否 |
拒否 |
許可 |
|
値の読み取り、作成、名前変更、または削除 |
拒否 |
許可 |
許可 |
|
サブキーのサブキーを列挙 |
拒否 |
許可 |
許可 |
|
サブキーの作成 |
許可 |
許可 |
許可 |
|
サブキーのクエリ、変更、名前変更、または削除 |
許可 |
許可 |
許可 |
|
サブキーへのハイブのロードまたはアンロード |
許可 |
許可 |
許可 |
例: レジストリ キーに対するデフォルトのアクセス権を READ に設定する
以下の selang コマンドは、レジストリ キーに対するデフォルトのアクセス権を READ に設定します。
er REGKEY HKEY_LOCAL_MACHINE¥SOFTWARE¥Test¥Key1 defacc(READ) owner(nobody)
この結果、key1 に対するデフォルトのアクセス権は以下のようになります。
|
Action |
Windows Server 2003 以前のシステム |
Windows Server 2003 以降 |
Windows Server 2008 以降 |
|---|---|---|---|
|
サブキーの列挙 |
許可 |
許可 |
許可 |
|
キーの読み取り |
許可 |
許可 |
許可 |
|
キーの変更、名前変更、または削除 |
拒否 |
拒否 |
拒否 |
|
キーへのハイブのロードおよびアンロード |
拒否 |
拒否 |
拒否 |
|
値の列挙 |
許可 |
許可 |
許可 |
|
値の読み取り |
許可 |
許可 |
許可 |
|
値の作成、名前変更、または削除 |
拒否 |
許可 |
許可 |
|
サブキーのサブキーを列挙 |
許可 |
許可 |
許可 |
|
サブキーの作成 |
許可 |
許可 |
許可 |
|
サブキーのクエリ、変更、名前変更、または削除 |
許可 |
許可 |
許可 |
|
サブキーへのハイブのロードまたはアンロード |
許可 |
許可 |
許可 |
|
サブキーの値の列挙 |
許可 |
許可 |
許可 |
|
サブキーの値の作成 |
許可 |
許可 |
許可 |
例: レジストリ キーのワイルドカードに対するデフォルトのアクセス権を NONE に設定する
以下の selang コマンドは、レジストリ キー内のすべてのサブキーに対するデフォルトのアクセス権を NONE に設定します。
er REGKEY HKEY_LOCAL_MACHINE¥SOFTWARE¥Test¥Key1¥* defacc(NONE) owner(nobody)
ワイルドカード(*)は Key1 に適用されませんが、Key1 のすべてのサブキーに適用されます。これは、Key1 のすべてのサブキーに対してあらゆる形式のアクセスが拒否されるという意味です。 また、親保護のルールにより、Key1 の名前変更または削除も拒否されます。
このコマンドは、Key1 の値へのアクセスを許可します。 Key1 のサブキーの値(たとえば、Key1¥subkey1¥ の値)に対するアクセスは、Windows システム間で異なります。
例: レジストリ値に対するデフォルトのアクセス権を NONE に設定する
Windows Server 2003 以降のシステムでは、以下の selang コマンドで、アクセス権を NONE に設定して特定のレジストリ値を保護します。
er REGVAL HKEY_LOCAL_MACHINE¥SOFTWARE¥TestKey¥value1 defacc(NONE) owner(nobody)
注: Windows Server 2008 以降のシステムでは、アクセサがアクセス権が NONE の保護されたレジストリ値にアクセスしようとした場合、CA ControlMinder は REG_NONE の値を返します。 REG_NONE の値は、値は存在するけれども値が指定されていないことを確認します。
|
Copyright © 2013 CA.
All rights reserved.
|
|