CA AccessControl Windows版 (以下CA AC) 12.5 SP3以降では、12.5 SP2以前で出力されていなかった、

AC導入ディレクトリに対する内部ファイルルールによる拒否の監査ログが出力される場合があります。

Release: All Version (Windows)

Component:

CA ACではAC導入ディレクトリ配下に対して内部ファイルルールによる保護が行われています。

内部ファイルルールによって、CA ACの内部プロセス以外からのアクセスは、READおよびEXECのみが許可されています。

また、12.5 SP3以降では、CA ACデータベースに関しては基本的にはアクセス権がありません。

そのため、AC導入ディレクトリ配下に対するアクセスでは、上述の許可されているアクセス以外は拒否され、

拒否の監査ログが出力されることになります。

しかしながら、12.5 SP2以前では、内部ファイルルールによる保護において、ファイル作成時に発生する

CREATE アクセスをCA ACが正しくハンドリングできないという問題があったため、CREATEアクセスに

対する監査ログの出力がされていませんでした。その問題は12.5 SP3以降で修正されており、

12.5 SP3以降では、CREATEアクセスが発生した際には、そのアクセスに対する拒否の監査ログが

正しく出力されるようになります。本来であれば12.5 SP2以前でも出力されるべき監査ログでした。

そのため、特定のオペレーションにおいて、12.5 SP2以前では出力されていなかったAC導入ディレクトリ

配下に対するアクセスにおける拒否の監査ログが、12.5 SP3以降では出力される場合があります。

例えば、Windows Explorerによるアクセスでは、管理ファイルの作成が行われる場合があり、

ExplorerにてAC導入ディレクトリ配下に対するアクセスが発生した場合には、12.5 SP2では

出力されなかった拒否の監査ログが12.5 SP3以降では出力される場合があります。

AC 12.5 SP3以降での監査ログ出力例：

DD MON YYYY HH:MM:SS D FILE user Read, Create 995 10 C:¥Program Files¥CA¥AccessControl¥data¥seosdb¥* C:¥Windows¥Explorer.EXE

user

DD MON YYYY HH:MM:SS D FILE user Read, Create 995 10 C:¥Program Files¥CA¥AccessControl¥Data¥help¥* C:¥Windows¥Explorer.EXE

user

内部ファイルルールの詳細に関しては、Windows エンドポイント管理ガイドの4章 [内部ファイルの保護]をご参照ください。