ページの先頭行へ戻る
Systemwalker Centric Manager 使用手引書 セキュリティ編
FUJITSU Software
第3部 セキュリティを強化するためのSystemwalkerの設定 > 第12章 サーバへのアクセスを制御する > 12.2 ポリシーを作成・配付する > 12.2.2 スタンダードモードでポリシーを作成する
前次

12.2.2 スタンダードモードでポリシーを作成する

サーバアクセス制御のポリシーは、設定によってはOSやアプリケーションの動作を阻害することがあるため、実運用への適用時には影響範囲を十分に考慮する必要があります。

このため最初は試行モードを使用してください。なお、ポリシーを新規に作成する際、初期設定では試行モードになっています。

実際にサーバアクセス制御を行う際には、試行モードを解除してからポリシー設定を行ってください。

初期設定ポリシーだけを使用する場合、本設定をする必要はありません。初期設定ポリシーの内容は以下のとおりです。

ポリシーを作成する

  1. Systemwalkerコンソールを起動します。

    システム管理者、セキュリティ管理者が同一の場合は、[機能選択]で[編集]を選択します。システム管理者、セキュリティ管理者が異なる場合は、[機能選択]で[監視]を選択します。

  2. Systemwalkerコンソールの[ポリシー]メニューから[セキュリティ]-[セキュリティポリシー]を選択します。

    →[セキュリティポリシー[管理]]画面が表示されます。

  3. [設定対象]から[セキュリティポリシー]-[ポリシー]-[サーバアクセス制御]-[アクセス制御]を選択し、[操作]メニューの[新規作成]を選択します。または、[アクセス制御]配下にある[初期設定]の中から該当するプラットフォームのポリシーを選択し、[操作]メニューの[複写]を選択します。

    →[セキュリティポリシー[ポリシーの作成]]画面が表示されます。

  4. [ポリシー名]、[コメント]を入力し、[OK]ボタンをクリックします。

    →[サーバアクセス制御]画面が表示されます。

    【Linux版】

    【Windows版】

上記の画面例は、各設定を行った場合のものです。

一般ルールを追加する

  1. [サーバアクセス制御]画面の[新規作成]ボタンをクリックします。

    →[ルールの追加(スタンダードモード)]画面が表示されます。

  2. 以下の保護対象の中から1つを選択し、[OK]ボタンをクリックします。

    • [ファイル]

    • [レジストリ]【Windows版】

    • [コンソールログイン]

    • [ネットワークログイン]

    • [ネットワーク接続]【Linux版】

    • [suコマンドの実行]【Linux版】

    →選択した保護対象に応じた、[一般ルールの編集(スタンダードモード)]画面が表示されます。

[ファイル]を選択した場合

[一般ルールの編集]画面で、ファイルアクセスに関する一般ルールを設定します。

注意

ネットワーク経由でアクセスする共有フォルダをアクセス制御の対象とした場合、アクセス制御およびアクセス監査ログの出力が行われません。そのため、共有フォルダに対し、事前にOSの機能により適切なアクセス権を設定し、セキュリティの脅威が発生しないようにしてください。

  1. [保護対象]入力域にアクセス制御を行うファイル、またはディレクトリを設定します。

    • ファイル、またはディレクトリをフルパスで入力します。

    • もしくは、[参照]ボタンをクリックすると、[ファイル一覧]画面が表示されます。

      [ファイル一覧]画面の[接続先ホスト名]コンボボックス、または直接入力でサーバを指定し、ファイル/ディレクトリを選択して[OK]ボタンをクリックします。

    ドライブまたはディレクトリを指定した場合、その配下のファイル/ディレクトリもアクセス制御の対象となります。
    アスタリスク(「*」)を前方一致、または後方一致を表す記号として利用することが可能です。なお、アスタリスクを複数使用することはできません。

    注意

    [ファイル一覧]画面で[接続先ホスト名]を直接入力する場合は、[セキュリティポリシー[ポリシーの作成]]画面で指定したプラットフォームと同じプラットフォームのサーバを指定してください。

  2. [一般ルールの編集(スタンダードモード)]画面で、[ルール内容]を設定します。

    1. [読み込み]、[書き込み]、[作成]、[削除]、[名前変更]、および[属性変更]チェックボックスからログを出力する操作を選択します。

    2. ログを出力する操作に対し、[ログ出力のみ]、[許可]、または[拒否]からアクセス制御の動作を選択します。

    3. 設定したアクセス制御の動作を試行モードで使用する場合は、[試行モード]チェックボックスを有効にします。

    4. アクセス制御設定のルールに該当する操作が行われたときに、Systemwalkerコンソールにメッセージを通知する場合は、[監視画面通知]チェックボックスを有効にします。

  3. 必要に応じて、[コメント]を入力し、[OK]ボタンをクリックします。

    →ファイルアクセスに関する一般ルールの設定が完了しました。

[レジストリ]を選択した場合【Windows

[一般ルールの編集]画面で、レジストリに関する一般ルールを設定します。

  1. [保護対象]入力域にアクセス制御を行うレジストリキーを設定します。

    • レジストリキーをフルパスで入力します。

    • もしくは、[参照]ボタンをクリックすると、[レジストリ一覧]画面が表示されます。

      [レジストリ一覧]画面の[接続先ホスト名]コンボボックスでサーバを指定し、[OK]ボタンをクリックします。

    指定したレジストリキーのサブキーもアクセス制御の対象となります。

    注意

    • 「HKEY_LOCAL_MACHINE\」、「HKEY_USERS\」などのルートキーに拒否のアクセス制御を行った場合、指定したルートキー以下の情報が必要なOS、ミドルウェア、アプリケーションの機能が正常に動作しなくなる恐れがあります。

      拒否のアクセス制御を行う対象を、システムが正常に動作する範囲に設定してください。

      システムが正常に動作する範囲が不明な場合は、試行モードを使用して、システムが正常に動作する範囲を確認してください。

    • 保護対象の設定方法で以下の動作差異があります。

      • 共通の動作

        指定したキーに対する読み込み、指定したキー配下の値に対する読み込みがアクセス制御されます。

      • 保護対象の末尾が「\」でない場合の動作

        指定したキーに対する作成および削除操作がアクセス制御されます。

      • 保護対象の末尾が「\」の場合の動作

      • 指定したキー配下すべての値・キーに対する読み込み操作がアクセス制御されます。

      • 指定したキー配下すべての値・キーに対する書き込み、作成および削除操作が書き込み操作としてアクセス制御されます。

  2. [一般ルールの編集(スタンダードモード)]画面で、[ルール内容]を設定します。

    1. [読み込み]、[書き込み]、[作成]、および[削除]チェックボックスからログを出力する操作を選択します。

    2. ログを出力する操作に対し、[ログ出力のみ]、[許可]、または[拒否]からアクセス制御の動作を選択します。

    3. 設定したアクセス制御の動作を試行モードで使用する場合は、[試行モード]チェックボックスを有効にします。

    4. アクセス制御設定のルールに該当する操作が行われたときに、Systemwalkerコンソールにメッセージを通知する場合は、[監視画面通知]チェックボックスを有効にします。

  3. 必要に応じて、[コメント]を入力し、[OK]ボタンをクリックします。

    →レジストリに関する一般ルールの設定が完了しました。

[コンソールログイン]、[ネットワークログイン]、[suコマンドの実行]を選択した場合

[ルールの編集(スタンダードモード)]画面で、[コンソールログイン]、[ネットワークログイン]、または[suコマンドの実行]に関する一般ルールを設定します。

  1. [コンソールログイン]、[ネットワークログイン]、または[suコマンドの実行]に対する保護対象の[操作内容]を選択します。

    1. ログを出力する操作に対して、[ログ出力のみ]、[許可]、または[拒否]からアクセス制御の操作内容を選択します。

    2. 操作に対するアクセスを[許可]、または[拒否]するユーザを指定する場合、[ユーザ一覧からの追加]ボタンをクリックします。

      →[ユーザ一覧]画面が表示されます

      [ユーザ一覧]画面の[ホスト名]コンボボックスには、ポリシーが適用されているサーバと適用されていないサーバが表示されます。[ユーザ]には、[ホスト名]で選択したサーバ上に存在するユーザの一覧が表示されます。

      ユーザを選択し、[OK]ボタンをクリックします。

    3. アクセスを[許可]、または[拒否]するグループを指定する場合、[グループ一覧からの追加]ボタンをクリックします。

      →[グループ一覧]画面が表示されます。

      [グループ一覧]画面の[ホスト名]コンボボックスには、ポリシーが適用されているサーバと適用されていないサーバが表示されます。[グループ]には、[ホスト名]で選択したサーバ上に存在するグループの一覧が表示されます。

      グループを選択し、[OK]ボタンをクリックします。

    4. 設定したアクセス制御の動作を試行モードで使用する場合は、[試行モード]チェックボックスを有効にします。

    5. アクセス制御設定のルールに該当する操作が行われたときにSystemwalkerコンソールにメッセージを通知する場合は、[監視画面通知]チェックボックスを有効にします。

  2. 必要に応じて、[コメント]を入力し、[OK]ボタンをクリックします。

    →[コンソールログイン]、[ネットワークログイン]、または[suコマンドの実行]に関する一般ルールの設定が完了しました。

[ネットワーク接続]を選択した場合

[一般ルールの編集]画面で、[ネットワーク接続]に関する一般ルールを設定します。

  1. [ネットワーク接続]に対する[操作内容]を選択します。

    1. ログを出力する操作に対して、[ログ出力のみ]、[許可]または[拒否]からアクセス制御の操作内容を選択します。

    2. 操作に対するアクセスを[許可]、または[拒否]する場合、該当するサブネット情報もしくはIPアドレスを指定します。

    3. 設定したアクセス制御の動作を試行モードで使用する場合は、[試行モード]チェックボックスを有効にします。

    4. アクセス制御設定のルールに該当する操作が行われたときにSystemwalkerコンソールにメッセージを通知する場合は、[監視画面通知]チェックボックスを有効にします。

  2. [OK]ボタンをクリックします。

    →[ネットワーク接続]に関する一般ルールの設定が完了しました。

優先ルール(ファイル)を追加する

ファイルに対するアクセス制御において、一般ルールより優先するアクセス制御のルールを設定することができます。優先ルールでユーザ名、またはグループ名を指定することで詳細なアクセス制御を行います。

  1. [サーバアクセス制御]画面で優先ルールを追加する保護対象種別がファイルのルールを1つ選択します。

  2. [サーバアクセス制御]画面の[優先ルールの追加]ボタンをクリックします。

    →[優先ルールの編集]画面が表示されます。

  3. [ユーザ]、[グループ]、および[操作内容]を設定します。

    • [ユーザ一覧からの追加]ボタンをクリックし、ファイルへのアクセスを許可/拒否するユーザを追加します。

    • [グループ一覧からの追加]ボタンをクリックし、ファイルへのアクセスを許可/拒否するグループを追加します。

    • ログを出力する操作を、[読み込み]、[書き込み]、[作成]、[削除]、[名前変更]、および[属性変更]の[許可]、または[拒否]オプションボタンから選択します。

  4. [OK]ボタンをクリックします。

    →ファイルに対する優先ルールが追加されます。

優先ルール(レジストリ)を追加する【Windows

レジストリに対するアクセス制御において、一般ルールより優先するアクセス制御のルールを設定することができます。

  1. [サーバアクセス制御]画面で優先ルールを追加する保護対象種別がレジストリのルールを1つ選択します。

  2. [サーバアクセス制御]画面の[優先ルールの追加]ボタンをクリックします。

    →[優先ルールの編集]画面が表示されます。

  3. [ユーザ/グループ]、および[操作内容]を設定します。

    • [ユーザ一覧からの追加]ボタンをクリックし、レジストリへのアクセスを許可/拒否するユーザを追加します。

    • [グループ一覧からの追加]ボタンをクリックし、レジストリへのアクセスを許可/拒否するグループを追加します。

    • ログを出力する操作を、[読み込み]、[書き込み]、[作成]、[削除]、[名前変更]、および[属性変更]の[許可]、または[拒否]オプションボタンから選択します。

  4. [OK]ボタンをクリックします。

    →レジストリに対する優先ルールが追加されます。

前次
Copyright 1995-2022 FUJITSU LIMITED