Deep Security 11のサポートは終了しています。バージョンセレクタ(上記)を使用して、より新しいバージョンのヘルプセンターを表示します。
本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。
UserSet
UserSetエレメントはユーザのセットを表します。Windowsシステムでは、システムのローカルユーザで動作します。「ローカル ユーザーとグループ」MMCスナップインで表示されるユーザと同じです。DSAがドメインコントローラ以外で実行されている場合にのみ、これらがローカルユーザになります。UserSetエレメントはドメインコントローラ上のドメインユーザをすべて列挙しますが、これは非常に大きなドメインでは望ましくない場合があります。
UNIXシステムの場合、監視されるユーザは「getpwent_r()」APIおよび「getspnam_r()」APIで返すように設定されたユーザです。
タグ属性
次に示すXML属性はタグ自体の属性であり、変更監視ルールによって監視されるエンティティの属性ではありません。
属性 | 説明 | 必須 | 初期設定値 | 設定できる値 |
onChange | リアルタイムで監視するかどうかを示します。 | いいえ | false | true、false |
エンティティセットの属性
監視可能なエンティティの属性には次のものがあります。
一般属性
- cannotChangePassword:ユーザにパスワードの変更が許可されているかどうかをtrueまたはfalseで示す。
- disabled:アカウントが無効になっているかどうかをtrueまたはfalseで示す。Windowsシステムでは、ユーザの「disabled」チェックボックスに反映されます。UNIXシステムでは、ユーザのアカウントが期限切れの場合、またはパスワードが期限切れで変更の猶予期間が経過してしまった場合、これはtrueになります。
- fullName: ユーザの表示名。
- groups: ユーザの所属するグループのカンマ区切りのリスト。
- homeFolder: ホームフォルダまたはホームディレクトリへのパス。
- lockedOut: ユーザが明確に、またはパスワードの失敗回数超過によって、ロックされているかどうかをtrueまたはfalseで示す。
- passwordHasExpired: ユーザのパスワードが期限切れかどうかをtrueまたはfalseで示す。Windowsの場合、この属性はWindows XP以降のOSでのみ使用できます(AIXでは使用できません)。
- passwordLastChanged: 前回ユーザのパスワードが変更された日時のタイムスタンプ。これは、DSAによって1970年1月1日 (UTC) 以降のミリ秒単位で記録されます。この値に基づき、Deep Security Managerはタイムスタンプを現地時間で表します。UNIXプラットフォームでは、この属性は日付までしか表示されないため、タイムスタンプの時間コンポーネントは無意味です(AIXは該当しません)。
- passwordNeverExpires: 期限切れにならないパスワードかどうかをtrueまたはfalseで示す。
- user: OSが認識しているユーザ名。たとえば、「Administrator」や「root」があります。
Windowsのみの属性
- description: ユーザが所属するプライマリグループ。
- homeDriveLetter: ユーザのホームフォルダとしてネットワーク共有がマッピングされているドライブの文字。
- logonScript: ユーザがログインするたびに実行されるスクリプトへのパス。
- profilePath: ローミングまたは必須のWindowsユーザプロファイルが使用されている場合のネットワークパス。
Linuxのみの属性
- group: ユーザが所属するプライマリグループ。
- logonShell: ユーザのシェルプロセスへのパス。
- passwordExpiredDaysBeforeDisabled: ユーザのパスワードが期限切れになり、アカウントが無効になってからの日数(AIXは該当しません)。
- passwordExpiry: ユーザのアカウントが期限切れになり、アカウントが無効になる日付。
- passwordExpiryInDays: ユーザのパスワードを変更しなくてはならない日までの残り日数。
- passwordMinDaysBetweenChanges: パスワードを変更してから次に変更するまでの最小日数。
- passwordWarningDays: ユーザのパスワードが期限切れになる前に警告を表示する日付。
簡略記法による属性
- 標準:
- cannotChangePassword
- disabled
- groups
- homeFolder
- passwordHasExpired
- passwordLastChanged
- passwordNeverExpires
- user
- logonScript (Windowsのみ)
- profilePath (Windowsのみ)
- group (Linuxのみ)
- logonShell (Linuxのみ)
- passwordExpiryInDays (Linuxのみ)
- passwordMinDaysBetweenChanges (Linuxのみ)
「key」の意味
このkeyはユーザ名です。これは階層型のEntitySetではありません。パターンはユーザ名のみに適用されます。結果として、「**」パターンは適用できません。
次の例は、任意のユーザの作成と削除を監視します(属性は明確に除外されるので、グループメンバーシップは監視対象にはなりません)。
<UserSet>
<Attributes/>
<include key="*" />
</UserSet>
次の例では、「jsmith」アカウントの追加および削除の監視に加え、アカウントのSTANDARD属性に対する変更の監視も行います(特定の属性リストが含まれていない場合、このEntitySetのSTANDARDセットが自動的に含められるためです)。
<UserSet>
<include key="jsmith" />
</UserSet>
サブエレメント
includeとexclude
これらのエレメントに指定できる属性とサブエレメントのincludeの概要は、変更監視ルールの言語を参照してください。
UserSetのincludeおよびexcludeに固有の属性
これ以外にも、ユーザの各種の属性をincludeおよびexcludeでの監視機能で使用できます。これらの監視では、値とユーザの属性値を比較します。各種属性のプラットフォームサポートに注意してください。すべての属性がプラットフォーム間またはプラットフォームリビジョン間で利用可能であるとはかぎりません。したがって、includeおよびexcludeエレメントを使用したこれらの監視の使用は制限されます。監視機能では、UNIXのglob形式のワイルドカードである「*」および「?」がサポートされ、パスのセパレータまたはその他の文字の正規化は実行されません。監視機能は、属性の値に対する、単純なglob形式のパターン照合です。
- Disabled: ユーザの無効な属性に対する、trueまたはfalse一致。次の例は、プライマリグループに「user」または「daemon」のいずれかがあるユーザを監視します。
<UserSet>
<include disabled="true"/>
</UserSet> - グループ:ユーザのgroup属性に対する、ワイルドカード一致。この監視はUNIXシステムにのみ適用できます。次の例は、プライマリグループに「user」または「daemon」のいずれかがあるユーザを監視します。
<UserSet>
<include group="users"/>
<include group="daemon"/>
</UserSet> - LockedOut: ユーザのlockedOut属性に対する、trueまたはfalse一致。
- PasswordHasExpired: ユーザのpasswordHasExpired属性に対する、trueまたはfalse一致。
- PasswordNeverExpires: ユーザのpasswordNeverExpires属性に対する、trueまたはfalse一致。