Windows エンドポイント管理ガイド › 監視と監査 › CA ControlMinder の監査対象 › ログイン インターセプトの制限
ログイン インターセプトの制限
Windows のログイン インターセプトは、CA ControlMinder のサブ認証方式でのみサポートされています。
カーネルを介してログイン インターセプトを設定することはできません。 結果として、以下の点を考慮する必要があります。
- サブ認証コンポーネントはドメイン コントローラ(DC)レベルで動作するので、ユーザのログイン イベントを認証(および CA ControlMinder のサブ認証モジュールをトリガ)する DC は OS に応じて異なります。Windows ドメイン環境では、CA ControlMinder は DC ごとにインストールする必要があります。
- Windows ドメイン環境で動作する場合、CA ControlMinder のログイン ポリシー(TERMINAL ルール)を DC 上に配置する必要があります。ターゲット サーバ上に配置する必要はありません。
たとえば、Windows ドメインに参加しているが DC ではないファイル サーバで、ドメイン ユーザのログイン イベントを保護または監査する必要がある場合、CA ControlMinder のログイン ポリシーは、ターゲット ファイル サーバ上ではなく、DC 上で定義する必要があります。 これは、ドメイン ユーザが共有ファイル ディレクトリにアクセスしたときに、ファイル サーバ上ではなく、DC 上でログイン認証が発生することに起因します。
- 複数の DC が存在する場合、CA ControlMinder のログイン認証はいずれかの DC 上で処理されます。 この結果、CA ControlMinder のログイン ポリシーをすべての DC 間で同期することをお勧めしています。
具体的な実装方法としては、Policy Model メカニズム(すべての DC が PMDB のサブスクライバに該当)を使用する方法と、すべての DC をホストグループに追加し、拡張ポリシー管理に基づいて共通のポリシーをデプロイする方法が挙げられます。
- ログイン イベントに対応するユーザ プロパティは、実行時(イベント認証中)に更新される場合があります。 該当するプロパティについては、同期外れが発生します。これは、ログイン認証がいずれか 1 つの DC でのみ実行されることに起因します。 上記に該当するプロパティは Gracelogins、Last accessed、および Last access time です。
つまり、例を挙げると、CA ControlMinder のサブ認証はすべての DC ではなく、いずれか 1 つの DC でのみ実行されるので、ユーザ プロパティ Last access time の値は DC 間で異なることになります。
- ローカル ユーザ(ドメイン ユーザ以外)のログイン イベントを適用するには、ローカル ユーザのアクセス先のローカル コンピュータに CA ControlMinder をインストールする必要があります。 これは、ローカル コンピュータがドメイン コンピュータとして使用されるためです(ドメインがローカル コンピュータ)。
- リモート デスクトップ プロトコル(RDP)/ターミナル サービス ログイン イベントは、以前の CA ControlMinder バージョンと同様にターゲット サーバに対して適用されます。 ただし、RDP ログイン イベントの場合、CA ControlMinder のログイン ポリシーはターゲット サーバ上で定義する必要があります。
Copyright © 2013 CA.
All rights reserved.
|
|