CA |
6.0 已知问题
6.1 第三方许可协议
6.1.1 CRC32
6.1.2 PerlEdit 1.08
6.1.3 MD5 Message Digest Algorithm
6.1.4 Triple DES Algorithm
6.1.5 XERCES
欢迎使用 eTrust® Access Control r8 SP1 (eTrust AC) for Windows。 本自述文件提供了一些最新信息和其它相关信息,是对 eTrust AC r8 SP1 印刷文档的补充。 本版本包括对以前版本的增强功能和修正。
本 CR 中包含的修正记录在技术支持 http://www.ca.com/worldwide 网站和 CR_FIXLIST 文件中。 技术支持网站说明 eTrust AC 的所有修正。 CR_FIXLIST 文件仅说明本年度包含在 CR 版本中的修正。
您可以在技术支持的 CA Access Control Compatibility Matrix 中找到该产品所支持的操作系统的完整列表。
Windows 环境的最低处理器速度、内存和磁盘空间要求:
此外,eTrust AC 数据库还需要磁盘空间以作为以下记录的存储库:用户和用户组描述、受保护文件和其他资源以及允许对资源进行受控访问的权限等。 例如,一个包含一千名用户、一千个文件、五百条访问规则的数据库可能会占用大约 2 MB 的磁盘存储空间。
在某一网络中运行 CA 软件的每台计算机上,所有 CA 企业版产品及其选件都需要一个许可文件:CA.OLF。 您购买 eTrust AC 产品时会获得许可证书,其中包含成功安装和授予该产品许可所必需的信息。
要安装企业版许可文件,请将 CA.OLF 文件(添加 eTrust AC 行后)复制到 CA_license 目录(例如 C:\CA_LIC)中。
如果您计划在同一台计算机上安装 eTrust AC 和 Panda Antivirus,请注意 eTrust AC 不会提供注册表项保护。
您必须或者关闭 eTrust AC 的 STOP 功能,或者关闭 McAfee Entercept 的缓冲区溢出保护功能。
指定是否将当前计算机定义为 DMS。
如果指定该选项,您还需要指定:
指定是否配置高级策略管理和报告。
如果指定该选项,您还可以指定:
指定是否在当前计算机上创建 DMA。
如果指定该选项,您还需要指定:
注意:您还可以使用 dmsmgr 实用程序安装和配置基于策略的高级管理功能。 有关详细信息,请参阅 Reference Guide。
重要说明!由于此功能,根据数据库中的规则,eTrust AC 记录到日志文件中的审核事件的数量可以明显增加。 我们建议您查看审核日志文件大小并备份设置。
注意:有关完全审核及如何配置和使用审核日志备份的注册表设置的详细信息,请参阅文档补遗。
以下说明没有在 Reference Guide 出现:
nameonly--授权引擎按名称查找 TERMINAL 记录,如果没有找到,则停止搜索。 它将忽略带有 IP 地址格式的 TERMINAL 记录。
HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\FsiDrv\BatchOplockStatus
例如,TCP 类的名为"_default"的内置对象的属性"审核模式" 具有默认值"失败"。 如果该属性的值更改为"全部",那么升级过程不禁用 TCP 类。
HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\FsiDrv\BatchOplockStatus
在不断地努力提高累积版本 (CR) 的过程中,CA 正在改变 eTrust AC CR 的命名约定,从 YYMM(如 0710)的表示方式更改为标准的数字表示,将会随每个 CR 有所增加(如 CR 12、CR 13 等等)。
这些变化提高了可支持性并将 eTrust AC CR 的命名约定与其他 CA 产品一致。 已经对升级过程引起注意,要确保一个顺利的转换,即进入到将来的 CR 或主要版本时不需要客户操作。
这个变化主要影响 CR 名称、CR 文档、seversion 输出、本地软件包版本控制输出以及 Windows 版本控制信息。
eTrust AC 可以管理和保护 32 位和 64 位应用程序。
本 CR 中包含的改进记录在文档补遗中,您可以在 SupportConnect 上找到该文档。 该指南提供了对文档集进行补充的其他信息,而该文档集包含在本 CR 所属的 GA 版 eTrust AC 中。
注意:由于下一版本 eTrust AC 中会加入这些功能,所以本指南中的内容将集成到该版本的普通文档集中去。
HKLM\SOFTWARE\ComputerAssociates\AccessControl\SeOSD
名称:HostResolutionMode
类型:REG_DWORD。
值:
0 -- HOST 解析同步(当前行为)
1 -- HOST 解析异步(带有"事件日志"报告)
该设置的结果为:
2 -- HOST 解析异步(带有"事件日志"报告)。
与"1"相同,不同的是通知消息不在任何地方写入。
默认值:0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\drveng\Parameters\DisableLogonInterception
此注册表值为类型 DWORD。
为了加强登录安全性,eTrust AC 不允许用户不指定域名就进行登录。 如果该限制导致其他应用程序出问题,可以将注册表项 HKEY_LOCAL_MACHINE\Software\ComputerAssociates\eTrustAccessControl\FsiDrv 下数据类型 REG_DWORD 的注册表值 AcceptEmptyDomainLogin 设置为"1"。
例如,eTrust Firewall 要求您修改此注册表设置才能正确运行。
安装 eTrust AC 时该设置(称为"允许不指定域名进行登录")也可用。
由于子身份验证可以在任何一个 DC 中触发,为了确保一致性,您应在 Windows 域中的所有 DC 中应用相同的 eTrust AC 登录策略。
注意:由于登录仅在其中一个 DC 中授权,所以用户的"grace"属性可能不会同步。 以此类推,"上次访问时间"显示的是用户最后访问授权时所在的相同 DC 的时间。
eTrust AC 会安装一个用于检查密码是否符合规范的字典文件。 该文件取自标准的 UNIX 安装,并且普遍使用和广为人知。
我们极力建议您扩展此文件,或者用一个更加复杂的字典文件来代替此文件。
在试用阶段,您可能错误地定义了一些规则(如拒绝访问系统目录或 Windows 注册表重要部分的规则)。 这些规则可能会阻止用户登录或执行命令。 在这类情况下,停止 eTrust AC 并修复这些错误会非常困难。 为了帮助您解决这种问题,CA 提供了紧急退出的方法。
正常重启之后,通常 eTrust AC 服务将立即自动启动。 但是,如果在启动菜单中选择了网络安全模式,则在系统启动时不会自动启动 eTrust AC 服务。
只有在安装的早期阶段才需要使用该功能。由于该功能可能会被作为后门漏洞恶意使用,因此以后应当禁用。
要禁用此后门,请在注册表项 HKEY_LOCAL_MACHINE\Software\ComputerAssociates\ eTrustAccessControl\eTrustAccessControl\ 下定义数据类型为 reg_dword 的注册表值"LockEE",并将其设置为 1。
通过为注册表项 HKEY_LOCAL_MACHINE\Software\ComputerAssociates\ eTrustAccessControl\eTrustAccessControl\ 下的注册表值"UseFsiDrv"指定不同的值,可以激活或停用对 eTrust AC 筛选驱动程序的拦截。
要激活拦截,请将"UseFsiDrv"设置为 1;要取消激活调用,请将"UseFsiDrv"设置为 0。
更改该注册表值之后,您应重新启动 eTrust AC 服务。
注意:停用拦截时,所有 eTrust AC 规则都不适用。
如果您计划在同一台计算机上同时安装 eTrust AC for Windows 和 eTrust Audit r1.5,请确保已禁用 eTrust AC 存档,方法是将注册表项 HKEY_LOCAL_MACHINE\Software\ComputerAssociates\ eTrustAccessControl\logmgr 下的注册表值 BackUp_Date 设置为默认值"none"。
这样可以确保使用 eTrust Audit 提供的更加灵活、功能更加强大的存档替代 eTrust AC 存档。
新建数据库之后,请运行 CA 软件共存实用程序 eACoexist.exe。 该实用程序对于正确更新新建的数据库,以及避免 CA 产品和 eTrust AC 将来发生冲突至关重要。 要运行此实用程序,请从 eTrust AC 根目录发布以下命令:
eACoexist.exe Coexistence
在 Windows XP SP2 上安装 eTrust AC 时,eTrust AC 会打开端口 8891 用于 TCP 连接。 该端口将用作 eTrust AC 代理-客户端连接的默认端口。
auth SURROGATE USER.Administrator uid("NT AUTHORITY\SYSTEM") acc(R)
so dms+(new_dms_name)
注意:如果您在安装过程中没有指定 DMS 节点,或您希望在端点替代或添加已注册的 DMS,您将需要使用同样的命令。 但是,指定在安装过程中创建 DMS 节点时,DMS 会被添加到数据库,您不需要手动运行以上命令。
但是,您可以管理来自 x86 系统的 IA64 端点。
但是,您可以通过运行 x86 系统上的实用程序远程创建报告。
但是,您可以管理来自 x86 系统的 IA64 端点。
但是,您可以通过运行 x86 系统上的实用程序远程创建报告。
您可以在内核级别禁用以下 eTrust AC 拦截:
甚至在禁用网络、进程、注册表和文件类且不使用这些类拦截内核活动时,仍会在启动时初始化网络、进程、注册表和文件拦截处理代码并在运行时工作,影响性能。 要提高性能,可以在启动时从初始化中禁用一个或多个拦截。
要在内核级别禁用 eTrust AC 拦截
必须在以下注册表项下创建这些条目:
HKLM\SYSTEM\CurrentControlSet\Services\drveng\Parameters
eTrust AC 重新加载,无需初始化禁用的拦截类型。
1607: 无法安装 InstallShield Scripting 运行时
要解决此问题,请使用完整通用命名约定 (UNC) 路径(例如,\\MyMachine\DriveE\InstallDir\PolicyManager)。
例如,要创建一个"策略模型"并定义其父项,请使用以下命令:
createpmd subs2 admins(abc123 root) auditors(abc123 root) desktop(pcp369499) \ parentpmd("aa@pcp369499,bb@pcp369499")
情况:列出昨天 17:00 到今天 08:00 之间记录的所有审核记录。
命令:seaudit -a -st 17:00 -et 08:00
该示例应为:
情况:要为所有日期列出在 17:00(第一天)到 08:00(随后一天)之间记录的所有审核记录。
命令:seaudit -a -st 17:00 -et 08:00
《版本摘要》缺少以下第三方许可协议。
Portions of this product include software developed by Markus Friedl and are distributed in accordance with the following copyright and permission notices.
/* $OpenBSD: crc32.c,v 1.9 2003/02/12 21:39:50 markus Exp $ */
/*
* Copyright (c) 2003 Markus Friedl. All rights reserved.
*
* Redistribution and use in source and binary forms, with or without
* modification, are permitted provided that the following conditions
* are met:
* 1. Redistributions of source code must retain the above copyright
* notice, this list of conditions and the following disclaimer.
* 2. Redistributions in binary form must reproduce the above copyright
* notice, this list of conditions and the following disclaimer in the
* documentation and/or other materials provided with the distribution.
*
* THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS|&"&| AND ANY EXPRESS OR
* IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES
* OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.
* IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT,
* INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
* NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
* DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
* THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
* (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
* THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
*/
You can use the Software by one user on one computer at a time. You will obtain a separate license for each additional user of the Software on your site. The total number of concurrent users of the Software at one site may not exceed the number of licenses granted to you for that site. Licensed users of the Software may install one additional copy on a machine at home.
The software is in use on a computer when it is loaded into the RAM or installed into the permanent memory (e.g., hard disk or other storage device) of that computer.
You may not sell, license, sub-license, lend, lease, rent, share, assign, transmit, telecommunicate, export, distribute or otherwise transfer the Software to others. You may not modify, reverse engineer, decompile, decrypt, extract or otherwise disassemble the Software. You may make only one copy of the Software for archival or backup purposes.
You agree not to remove any of IndigoSTAR's copyright, trade-mark and other proprietary notices from the Software.
Portions of this product include the RSA Data Security, Inc. MD5 Message-Digest Algorithm. The RSA Data Security software is distributed in accordance with the following license agreement.
/* MD5C.C - RSA Data Security, Inc., MD5 message-digest algorithm */
/* Copyright (C) 1991-2, RSA Data Security, Inc. Created 1991. All rights reserved.
License to copy and use this software is granted provided that it is identified as the "RSA Data Security, Inc. MD5 Message-Digest Algorithm" in all material mentioning or referencing this software or this function.
License is also granted to make and use derivative works provided that such works are identified as "derived from the RSA Data Security, Inc. MD5 Message-Digest Algorithm" in all material mentioning or referencing the derived work.
RSA Data Security, Inc. makes no representations concerning either the merchantability of this software or the suitability of this software for any particular purpose. It is provided "as is"
without express or implied warranty of any kind.
These notices must be retained in any copies of any part of this documentation and/or software.
*/
This product includes software developed by Eric Young and is distributed in accordance with the following license terms.
Copyright (C) 1995-1997 Eric Young (eay@cryptsoft.com)
All rights reserved.
This package is an DES implementation written by Eric Young (eay@cryptsoft.com).
The implementation was written so as to conform with MIT's libdes.
This library is free for commercial and non-commercial use as long as
the following conditions are aheared to. The following conditions
apply to all code found in this distribution.
Copyright remains Eric Young's, and as such any Copyright notices in
the code are not to be removed.
If this package is used in a product, Eric Young should be given attribution
as the author of that the SSL library. This can be in the form of a textual
message at program startup or in documentation (online or textual) provided
with the package.
Redistribution and use in source and binary forms, with or without
modification, are permitted provided that the following conditions
are met:
1. Redistributions of source code must retain the copyright
notice, this list of conditions and the following disclaimer.
2. Redistributions in binary form must reproduce the above copyright
notice, this list of conditions and the following disclaimer in the
documentation and/or other materials provided with the distribution.
3. All advertising materials mentioning features or use of this software
must display the following acknowledgement:
This product includes software developed by Eric Young (eay@cryptsoft.com)
THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS|&"&| AND
ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
SUCH DAMAGE.
The license and distribution terms for any publically available version or
derivative of this code cannot be changed. i.e. this code cannot simply be
copied and put under another distrubution license
[including the GNU Public License.]
The reason behind this being stated in this direct manner is past
experience in code simply being copied and the attribution removed
from it and then being distributed as part of other packages. This
implementation was a non-trivial and unpaid effort.
/*
* Copyright 1999-2004 The Apache Software Foundation.
*
* Licensed under the Apache License, Version 2.0 (the "License");
* you may not use this file except in compliance with the License.
* You may obtain a copy of the License at
*
* http://www.apache.org/licenses/LICENSE-2.0
*
* Unless required by applicable law or agreed to in writing, software
* distributed under the License is distributed on an "AS IS" BASIS,
* WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
* See the License for the specific language governing permissions and
* limitations under the License.
*/
此产品已发布的错误修正的完整列表可在在线支持上的"已发布的解决方案"中找到。
国际化产品是一种可正确运行在所需操作系统和所需第三方产品的本地语言版上并支持本地语言数据输入和输出的英文产品。 国际化产品还支持指定本地语言的有关日期、时间、货币和数字格式的约定。
翻译产品(有时称为本地化产品)是包含以下本地语言支持的国际化产品:产品用户界面、联机帮助和其他文档,以及日期、时间、货币和数字格式的本地语言默认设置。
除本产品的英语版本之外,CA 仅支持下表列出的语言。
语言 | 国际化 | 本地化 |
---|---|---|
巴西葡萄牙语 | 是 | 否 |
简体中文 | 是 | 是 |
繁体中文 | 否 | 否 |
捷克语 | 是 | 否 |
丹麦语 | 是 | 否 |
荷兰语 | 是 | 否 |
芬兰语 | 是 | 否 |
法语 | 是 | 否 |
德语 | 是 | 否 |
希腊语 | 是 | 否 |
匈牙利语 | 是 | 否 |
意大利语 | 是 | 否 |
日语 | 是 | 是 |
韩语 | 是 | 是 |
挪威语 | 是 | 否 |
波兰语 | 是 | 否 |
俄语 | 是 | 否 |
西班牙语 | 是 | 否 |
瑞典语 | 是 | 否 |
土耳其语 | 是 | 否 |
注意:如果在表中未列出的语言环境下运行本产品,可能会遇到问题。
重要说明!以下 eTrust AC 组件未本地化:大型机密码同步、Unicenter 迁移、基于策略的高级管理和报告功能,以及 API 示例。
此产品已更新的指南位于 http://www.ca.com/worldwide 上。
此产品 PDF 格式的指南包括:
要查看 PDF 文件,您的计算机上必须安装有 Adobe Reader,如果没有,可从 Adobe 网站下载并安装。