不正アクセスから Windows ファイルリソースの %systemRoot% を保護する為に CA Access Control for Windows でポリシーを定義する方法について。

Release: All Version (Windows)

Component:

Windows の %SystemRoot% への不正アクセスを防ぐためには、 selang のコマンドシーケンスを以下のような形式にする必要があります。

1. ファイルリソースを保護するためのルール

newres FILE ("%SystemRoot%") owner("nobody") defaccess(none) warning

newres FILE ("%SystemRoot%\*") owner("nobody") defaccess(none) warning

注： CA Access Control では、実際のルールの変数値が解決されます。

2. 標準装備システムのユーザによる Windows %SystemRoot% への必須アクセスを許可するためのルール

ファイルリソースルールの定義後、標準装備のオペレーティングシステムのユーザが %SystemRoot% へのアクセスを許可されていること

を確認する必要があります。

これを行うには、最初に CA Access Control で Windows オペレーティングシステムのユーザを手動で定義します。これは、そのユーザが

物理的な」ユーザアカウントではないため、インストールのセットアップウィザードでも ntimport.exe でもユーザを特定することができ

ないからです。

UserGroup オブジェクトを作成して、そこにユーザを追加することをお勧めします。以下の例では、「Wininternals」 を UserGroup オブ

ジェクトとして使用しています。

newgrp ("Wininternals") name("Windows internal User group") owner("nobody")

newusr ("LOCALSERVICE") owner("nobody") nonative

newusr ("SYSTEM") owner("nobody") nonative

newusr ("NT AUTHORITY\\SYSTEM") owner("nobody")nonative

newusr ("NETWORK SERVICE") owner("nobody") nonative

join ("LOCALSERVICE") group("Wininternals")

join ("SYSTEM") group("Wininternals")

join ("NT AUTHORITY\\SYSTEM") group("Wininternals")

join ("NETWORK SERVICE") group("Wininternals")

3. 以下の手順に従い、その他の Windows ユーザアカウントのうち、問題のホストマシンにローカルでログオンする必要のあるものを定義し、

前に定義したグループに追加する必要があります。

newusr ("localhost\\Administrator") owner("nobody") nonative

join ("localhost\\Administrator") group("Wininternals")

不正アクセスから Windows ファイルリソースの %systemRoot% を

保護する為の FILE ルールの作成について

Document created by TOMO FUJITA on Feb 26, 2015  Version 1

Like •



 0 

All Places > Japanese Customer Community > CA Privileged Identity Manager Japan > Documents  Edit  Share  Actions

4/10/2019 不正アクセスから Windows ファイルリソースの %systemRoot% を保護する為の... | CA Communities

https://communities.ca.com/docs/DOC-231152271 2/3

Recommended Content

Port question of the Win Proxy to change password of AD user - 01309031

Phoenix Theme

VANTAGE sends clear trap?

Session recording / Mount Availability = Unavailable - 01316542

TSS Disaster Recovery

Contact Us Privacy Legal Data Transfers Site Map

Copyright © 2018 Broadcom. All Rights Reserved. The term “Broadcom” refers to Broadcom Inc. and/or its subsidiaries.

注： localhost はマシンのホスト名で置き換えます。ドメインアカウントを使用する場合は、ドメイン名を入力する必要があります。

4. 次の手順では、 Wininternals グループに対して、保護された Windows %SystemRoot% ファイルへのフルコントロールのアクセス権限を付与

します。

authorize FILE ("%SystemRoot%") gid("Wininternals") access(All);

authorize FILE ("%SystemRoot%\*") gid("Wininternals") access(All);

5. ホストマシンを再起動して、すべてが想定どおりに動作していることを確認します。

a. ローカルでログオンし、アプリケーションをいくつか起動します。

b. 予期しないエラー拒否や警告などが生成されていないかどうか seaudit で確認します。

seaudit -a -sd today

すべてが想定どおりに動作していることを確認したら、以前に定義したファイルリソースルールから警告監査仕様を削除します。これ以

降、定義したポリシーが有効になります。

chfile ("%SystemRoot%") warning

chfile ("%SystemRoot%\*") warning-