Windows ユーザの権限コントロールとは、グループおよびユーザアカウントに関する特定の Windows ユーザの権限をチェックするためのコントロールです。コントロールを正しく評価するためには、コンプライアンスポリシーで Windows ユーザの権限コントロールの値を設定する必要があります。
「Policies」->「Controls」を選択し、リストの上にある「Search」を選択して、1)「right」と入力し、2)「Access Control Requirements」カテゴリを選択し、3)Windows テクノロジを選択します。
設定手順 |
コントロール ID を含むポリシーの作成コントロール ID を含むポリシーの作成 Policy Editor を使用し、ポリシーの各選択項目を次のように設定します。 1)すでにコンプライアンススキャンを完了した 1 つ以上のアセットグループを追加します。コンプライアンススキャンを実行すると、コントロールライブラリのすべてのコントロールがスキャンに含まれます。したがって、スキャン済みのホストのコンプライアンスデータをすでに持っていることになります。 2)この時点では、デフォルトのコントロール値のままにします。ポリシーのコントロール値を変更する前に、まずポリシーレポートを作成して、値がどのように返されるかを確認することをお勧めします。 新しいポリシーを作成するには、「PC」->「Policies」->「New」->「Policy」を選択します。 |
|
「PC」->「Reports」->「New」->「Compliance Report」->「Policy Report」を選択します。 ポリシーレポートは、すべてのフィールドがデフォルトで展開されるため、PDF 形式で作成することをお勧めします。これにより、返されるすべての値の確認と、実際値のコピーや貼り付けが容易になります。 |
|
ポリシーレポートの「Detailed Results」項にスクロールして、次を実行します。 1)コントロールの「Actual」項から 3 つの必要なアカウントをコピーします(他のアカウントがある場合、それらのアカウントはコピーしないでください)。 2)「Actual」値のテキストをお使いのテキストエディタ(Notepad や TextPad など)に貼り付けます。これにより、非表示になっていた UI が表示されるようになります。 |
ポリシーのコントロール値の編集ポリシーのコントロール値の編集 Policy Editor を使用してポリシーを更新します。 1)テキストエディタから「Actual」値のテキスト(PDF レポートからコピーしたもの)を「Expected」値のフィールドに貼り付けます。値の中にバックスラッシュがある場合(例: BUILTIN\Administrators)は、特殊文字をエスケープするためにそのバックスラッシュの前にもう 1 つバックスラッシュを追加する必要があります(例: BUILTIN\\Administrators)。 2)カージナリティを「contains」から「is contained in」に変更します。カージナリティ「is contained in」を使用することで、3 つの必要なアカウントのいずれかが検出された場合にのみコントロールが合格します。他のアカウントが検出された場合、コントロールは不合格になります。 |
|
「Passed」および「Failed」のホストをチェックして、3 つの必要なアカウントのうちのいずれかが検出された場合にのみコントロールが合格し、その他のアカウントが検出された場合には不合格になっていることを確認します。 |