PAMSC: TCP ルール設定時の注意点について
Article ID: 368464
Updated On:
Products
Issue/Introduction
Privileged Access Manager Server Control ( 以下、 PAMSC) Windows 版の環境で共有フォルダへのアクセスを禁止するため、ポートの制限を登録したが、うまく動作しない。
登録されているルールは以下の2つ
er TCP microsoft-ds owner(nobody) defacc(a) audit(f)
er TCP 445 owner(nobody) defacc(n) audit(a)
また、ルールを変更して許可から拒否としても、Windows 検索では共有フォルダへアクセスできてしまい、監査ログが記録されない。
Environment
Privileged Access Manager Server Control: Windows 版の全バージョン
Cause
TCP クラスのルールは ポート番号とサービス名についても重複を認めていません。
ルールが重複した場合、動作が不定となります。
このため、タイミング、環境によってどちらのルールが反映されるかを予測することが困難となります。
ご参考: マニュアル
TCP クラス
Resolution
必ず、一つのポートに対してサービス名およびポート番号も合わせて一つのルールを設定してください。
重複を避けるためには登録はサービス名またはポート番号のいずれかに統一することを推奨とさせていただきます。
また、ルールの変更直後では直接ポートへの導通確認やネットワークドライブの割り当てなどでは変更が反映されますが、Windows 検索から、共有フォルダへのアクセスはすぐに反映されない事象が報告されています。
併せて、5分程度の間をあける、または、RDP のセッションを再接続することでルールが反映できたとの報告をいただいております。
Windows 検索では OS 側の内部動作に依存しており、 製品側で TCP 通信のイベントを受信できない状態となっていることが確認されました。
このため、本事象は Windows 環境での動作の制限事項となります。
Feedback
