Generic FILE ルール（※1）を特定のパターンで作成した場合、ファイルのアクセス制御が正しく行われないという問題の報告があります。

作成したルールによっては、システムログインなどができなくなる恐れがあります。

※1 Generic FILEルール： リソース名にワイルドカード（*および?） を含めたFILEルール

例： nf (“C:¥work¥*”)

◆ 詳細内容

この問題は、CA ControlMinder r12.5 SP2～SP5で発生することが確認されています。

問題が発生するGeneric FILEルールのパターン：

ルール1. nf (“C:¥aaaa¥*”) owner(nobody) audit(ALL) defacc(ALL)

ルール2. nf (“C:¥aaaa¥bbbb¥*”) owner(nobody) audit(ALL) defacc(NONE)

上記ルールを作成した場合、ファイルC:¥aaaa¥test.txtへのアクセスは仕様ではルール１が適用され許可となりますが、

報告ではルール2が誤って適用されてしまい、結果としてアクセスが拒否されるという問題が起きるというものです。

この問題により、例えば以下のようなルールを作成していた場合、C:¥ 配下のファイルへのアクセスがすべて拒否される

という事態が発生し、システムログインなどができなくなる危険があります。

AC>. nf (“C:¥*”) owner(nobody) audit(ALL) defacc(ALL)

AC>. nf (“C:¥work¥*”) owner(nobody) audit(ALL) defacc(NONE)

Release: Windows PIM r12.5

Component:

この問題はCA ControlMinder r12.5 SP5 CR1以降で対応されています。

回避策：

この問題に起因してシステム操作が一切できなくなってしまった場合、一旦システムを強制終了してセーフモードで立ち上げ直し、

ControlMinderのサービスをすべて手動に変更してください。

リブート後、コマンドプロンプトからselang -lを実行して”C:¥*”のFILEルールを削除することで、一時的に問題を回避することができます。