CA ControlMinder は、以下のエンティティを保護します。
特定のファイルにアクセスする権限があるか?
CA ControlMinder は、ファイルへのユーザのアクセスを制限します。 ユーザに対して、READ、WRITE、EXECUTE、DELETE、RENAME などのアクセス権限を 1 種類以上与えることができます。 アクセス権限は、個々のファイルに対して、または類似した名前を持つファイルの集合に対して指定できます。
特定の端末を使用する権限があるか?
このチェックは、ログイン プロセスで行われます。 CA ControlMinder データベースに個々の端末または端末グループを定義し、アクセス ルールにより、その端末または端末グループの使用を許可されているユーザまたはユーザ グループを指定できます。 端末を保護することによって、強力な権限を持つユーザ アカウントのログインに未許可の端末が使用されることを確実に防止します。
ユーザには、特定の曜日の特定の時間にログインする権限があるか?
通常、エンド ユーザは平日の勤務時間帯にのみ端末を使用します。そのため、平日の曜日と時間帯によるログイン制限、および休日のアクセス制限を行うことによって、ハッカーやその他の無許可のアクセサから端末を保護できます。
相手の端末には、ローカル コンピュータから TCP/IP サービスを受け取る権限があるか? 相手の端末には、ローカル コンピュータに TCP/IP サービスを供給する権限があるか? 相手の端末は、ローカル端末のすべてのユーザからサービスを受け取ることを許可されているか?
オープン システムの長所は、コンピュータとネットワークの両方がオープンであるという点ですが、これは同時に短所でもあります。 いったんコンピュータが外部に接続されると、故意または過失により、外部ユーザがシステムに侵入したり、そのユーザが行った行為が損害をもたらしたりする危険が発生します。 CA ControlMinder には、「ファイアウォール」が用意されており、ローカルの端末やサーバが不特定の端末へサービスを提供することを防止します。
ユーザは他の端末からログインできるか?
同時ログインとは、ユーザが複数の端末からシステムにログインできることを意味します。 CA ControlMinderでは、1 人のユーザが複数の端末から同時にログインすることを防止できます。 これにより、すでにログインしているユーザのアカウントで外部からの侵入者がログインすることを防止できます。
標準エンティティ(TCP/IP サービスや端末など)および機能エンティティ(トランザクションの実行やデータベース内のレコードへのアクセスなどの抽象オブジェクト)の両方を定義して保護できます。
CA ControlMinder には、管理者権限をオペレータに委任する方法、および管理者権限自体を制限する方法が用意されています。
ユーザには、そのユーザ ID を一時変更する権限があるか?
UNIX の setuid システム コールは、オペレーティング システムが提供するサービスの中で最も慎重に扱うべきサービスの 1 つです。setuid システム コールは CA ControlMinder によってインターセプトされ、ユーザに ID の置換を実行する権限があるかどうかをチェックします。 ユーザ ID 一時変更権限のチェックには Program Pathing などが使用されます。Program Pathing では、特定のプログラムを使用した場合にのみ、ユーザはユーザ ID を一時的に変更することができます。 この Program Pathing は、root ユーザになって root のアクセス権を取得できるユーザを制御する際に特に重要です。
ユーザには、newgrp(グループ一時変更)コマンドを発行する権限があるか?
グループ一時変更の保護は、ユーザ ID 一時変更保護と同様に行われます。
特定の setuid または setgid プログラムを信頼できるか? ユーザには、このプログラムを起動する権限があるか?
セキュリティ管理者は、setuid または setgid 実行可能ファイルとなっているプログラムをテストし、これらのプログラムにアクセス権の不正取得に利用される可能性があるセキュリティ ホールがないことを確認できます。 テストで安全とみなされたプログラムは、trusted プログラムとして定義されます。 CA ControlMinder の自己防衛機能モジュール(CA ControlMinder Watchdog ともいう)は、ある特定の時点で制御の対象になっているプログラムを認識し、そのプログラムが、trusted と分類された後に変更または移動されたかどうかをチェックします。 trusted プログラムが変更または移動された場合、その時点で trusted とはみなされなくなり、CA ControlMinder はプログラムの実行を許可しません。
さらに、CA ControlMinder では、以下のような作為的または偶発的な脅威に対して防御を行います。
CA ControlMinder では、重要なサーバやサービス、またはデーモンを強制終了から保護できます。
CA ControlMinder はさまざまなタイプのパスワード攻撃からパスワードを保護します。サイトのパスワード定義ポリシーを適用し、パスワードの盗用による侵入を検知します。
CA ControlMinder のポリシーでは、十分な品質のパスワードを作成して使用することをユーザに強制するルールが定義されます。 CA ControlMinder では、ユーザが基準に合ったパスワードを作成して使用することを確実にするために、最長および最短のパスワード有効期限の設定、特定の語句の使用制限、文字の繰り返しの禁止、およびその他の制限事項の適用を行うことができます。 パスワードを長期間継続して使用することは認められません。
CA ControlMinder のポリシーによって、休止状態のアカウントの適切な処理が保証されます。
CA ControlMinder は、NIS ドメインおよび NIS 以外のドメインの両方にパスワード保護を実装してセキュリティを強化できます。
|
Copyright © 2013 CA.
All rights reserved.
|
|