端末がオープンかつアクティブなままで放置されている場合、情報は極めて無防備な状態となります。 このような端末に(昼食時間などに)遭遇した侵入者は、サイトのすべての端末がすでにログイン済みで使用可能な状態であるため、パスワードの突破やネットワーク回線での盗聴を行うための複雑なツールを用意する必要がありません。 パスワードを入力しなければデスクトップを復元できないスクリーン セーバは役に立ちますが、セキュリティ管理者がすべてのユーザに安全なスクリーン セーバを確実に使用させることは不可能です。
CA ControlMinder には、selock というスクリーン ロック ユーティリティが用意されています。このユーティリティは、アイドル状態が指定された時間を超過したすべての端末をロックすることで、それらを保護します。 ユーザが仕事に戻ると、selock はパスワードの入力を促します。 1 分以内にパスワードが入力されない場合、端末はロックされた状態になります。 selock がアクティブな間にユーザがパスワードを変更しても、selock ユーティリティはパスワードをルックアップできます。
注: スクリーン ロック ユーティリティの詳細については、「リファレンス ガイド」を参照してください。
ユーザの要件に適する selock オプションを選択します。
-timeout オプションを 10 分などの大きな値に設定し、-lock‑timeout オプションを 60 分などのより大きな値に設定します。 ユーザの端末が長時間非アクティブになった場合に限り、このオプションはユーザの画面をロックし、セーバ モードへの頻繁な切り替えが行われることで selock がユーザの作業を中断するのを防ぎます。
-timeout オプションを 1 分などの小さな値に設定し、-lock‑timeout オプションを0 ~ 2 分の間の小さな値に設定します。 このオプションでは、端末へのアクセスを終了するとただちに作業内容が非表示になり、アクセスを再開するためにはパスワードが必要になります。 ユーザの端末を再度アクティブにするために selock が必ずパスワードを要求するようにするには、-lock‑timeout をゼロに設定します。
selock コマンドは、X スタートアップ シェルの一部に設定できます。この場合、ユーザがシステムにログインするたびに、selock が自動的に起動します。 スクリプトは、root ID ではなく、ユーザ ID で実行します。 selock コマンドをスタートアップ スクリプトで指定する方法は、サイトの環境によって異なります。
注: スタートアップ スクリプトの詳細については、ご使用の UNIX システムのマニュアルを参照してください。
|
Copyright © 2013 CA.
All rights reserved.
|
|