セキュリティ/ユーザー管理:[設定]タブ

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、[Administration]の[セキュリティ]ビューにある[設定]タブについて説明します。[設定]タブでは、内部Security Analyticsユーザー向けのパスワードの複雑性の要件とシステム全体のセキュリティ パラメータを構成します。

これらのパラメータの構成の詳細については、次のトピックを参照してください:システム セキュリティの設定.

パスワードの複雑性の要件は、内部ユーザーのみに適用され、外部ユーザーには強制されません。外部ユーザーは、外部認証システムの方法とシステムによってパスワードの複雑性が管理されます。  

[設定]タブにアクセスするには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[セキュリティ]を選択します。
    [セキュリティ]ビューが表示され、[ユーザー]タブが開きます。
  2. 設定タブをクリックします。

次の図は、[設定]タブの[パスワードの強度]セクションと[セキュリティ設定]セクションを示します。

SecSettTbTOP.png

次の図は、[設定]タブの[外部認証]セクションと[Active Directory構成]セクションを示しています。

SysSecSettTb2.png

次の図は、[設定]タブの[PKI認証]セクションを示します。

10.5.0.2_SysSecSettTb3.png

次の図は、[設定]タブの[CRLリフレッシュ間隔設定]セクション、[ユーザー プリンシパル設定]セクション、[PKIの有効化]セクションを示します。

10.5.0.2_SysSecSettTb4.png

パスワードの強度

[パスワードの強度]セクションでは、Security Analyticsの内部ユーザーがパスワードを設定する際に満たす必要のあるパスワードの複雑性の要件を構成できます。

                                         
機能説明
最小パスワード長 Security Analyticsユーザー パスワードの最低限必要な長さを指定します。最小パスワード長を設定すると、ユーザーが、推測が容易な短いパスワードを設定するのを防ぐことができます。
大文字 パスワードに含める大文字の最小数を指定します。これにはAからZ(ダイアクリティカルマーク付きを含む)、ギリシャ文字、キリル文字が含まれます。例:
  • キリル文字の大文字:Д Ц
  • ギリシャ文字の大文字:Π Λ
小文字 パスワードに含める小文字の最小数を指定します。これにはaからz(ダイアクリティカルマーク付きを含む)、ギリシャ文字、キリル文字が含まれます。例:
  • キリル文字の小文字:д ц
  • ギリシャ文字の小文字:π λ
数字 パスワードに使用する数字(0~9)の最小数を指定します。
特殊文字(~!@#$%^&*_-+=`|(){}[]:;"'<>,.?/) パスワードに使用する特殊文字の最小数を指定します。次の特殊文字を使用できます。
~!@#$%^&*_-+=`|(){}[]:;"'<>,.?/
非ラテン アルファベット文字 大文字小文字以外のUnicode文字の最小数を指定します。これにはアジア言語のUnicode文字を含みます。例:
  • 漢字(日本語):頁(leaf)枒(tree)
パスワードにユーザー名を含めることを禁止 パスワードにユーザーのユーザー名(大文字と小文字を区別しない)を含むことを禁止します。
適用 適用時、次回にSecurity Analyticsにログオンしたときに内部ユーザー全員にパスワードの変更を強制するか否かを選択できます。 
確認のダイアログに次の質問が表示されます。
すべての内部ユーザーに次回ログイン時にパスワードの変更を強制しますか?
  • はい]を選択すると、次回にSecurity Analyticsにログオンしたときに内部ユーザー全員にパスワードの変更が強制され、すべてのユーザー アカウント個別の設定は上書きされます。
  • いいえ]を選択すると、ユーザー アカウント個別の設定で[次回ログイン時にパスワードの変更を強制]オプションが有効になっている内部ユーザーに対してのみ、次回Security Analyticsにログオンしたときにパスワードの変更が強制されます。
パスワードの強度設定は、Security Analyticsユーザーがパスワードを作成または変更する時に有効になります。

セキュリティ設定

[セキュリティ設定]セクションでは、Security Analyticsユーザーのグローバル セキュリティ設定を構成できます。

                                         
機能説明
ロックアウト期間 ユーザーが最大ログイン失敗回数を超過した後、Security Analyticsからロックアウトされる期間(分)。デフォルト値は20分です。
アイドル期間 セッションがタイムアウトするまでのアイドル状態の期間(分)。デフォルト値は60です。値が0の場合、セッションはタイムアウトしません。
セッション タイムアウト タイムアウトするまでに許可されるユーザー セッションの最長期間。デフォルト値は600です。この値が0の場合、セッションの最長期間は設定されません。この値を設定すると、指定した期間が経過した後、セッションがタイムアウトします。ユーザーは再度ログインする必要があります。
ユーザー名の大文字と小文字を区別しない ログイン画面のRSA Security Analyticsユーザー名フィールドで大文字と小文字を区別しない場合は、このオプションを選択します。たとえば、Adminまたはadminを使用してSecurity Analyticsにログオンできます。
最大ログイン失敗回数 ユーザーがログインを失敗できる最大回数。ユーザーは、ここで指定した回数ログインに失敗するとロックアウトされます。デフォルト値は5です。
グローバル デフォルト ユーザー パスワード有効期間 Security Analytics内部ユーザーのデフォルトのパスワード有効期間の日数。値にゼロ(0)を指定すると、パスワードの有効期限が無効化されます。  アップグレードおよび新規インストールの場合、デフォルト値はゼロ(0)です。
ユーザーへの<n>日前のパスワード有効期限切れの通知 パスワードの有効期限の何日前になったら、ユーザーにまもなくパスワードの有効期限が切れることを通知するか。ユーザーは、パスワードの有効期限が切れる前の指定された日付に、1回限りの通知メールを受け取ります。また、Security Analyticsへのログオン時には、パスワード有効期限切れメッセージ ダイアログも表示されます。
値にゼロ(0)を指定すると、パスワードの有効期限に関する自動通知が無効化されます。グローバル デフォルト ユーザー パスワード有効期間をゼロ(0)に設定した場合、ユーザーはパスワードの有効期限に関する自動通知を受け取りません。 
適用 設定がすぐに反映されます。 

外部認証

[外部認証]セクションでは、Security Analyticsが外部ユーザーを認証する方法としてActive DirectoryまたはPAMを構成し、ログインのテストを実施することができます。

                         
機能説明
Active Directory Security Analyticsが外部ユーザー ログオンの認証にActive Directoryを使用するよう設定できます。
PAM Security Analyticsが外部ユーザー ログオンの認証にPAM(プラグ可能認証モジュール)を使用するよう設定できます。
適用 設定が保存され、次回のログオン時から設定が有効になります。 
Test(テスト) ユーザー名とパスワードのプロンプトを表示した後、現在有効にされている外部認証方法をテストします。

Active Directory構成

[Active Directory構成]セクションでは、Security Analyticsが外部ユーザーをログイン時に認証する方法としてActive Directoryを構成します。

                                             
機能説明
有効 Security Analyticsユーザーに対するActive Directory認証を有効にします。
ドメイン Active Directoryサービスが導入されているドメイン名。
ホスト Active Directoryサービスが導入されているホストの名前またはIPアドレス。
ポート Active Directoryサービス認証に使用するホストのポート。
SSL Active DirectoryサービスがSSLを使用するかどうかを示します。
ユーザー名マッピング ユーザー名マッピングに使用するActive Directory検索フィールドを指定します。UPN(userPrincipalName)またはsAMAccountNameを指定できます。
リフェラルのフォロー Active Directoryによって作成されたLDAPリフェラルをSecurity Analyticsがフォローするかどうかを指定します。
ユーザー名 ユーザー名を指定した場合、Active Directoryグループを検索するときに、指定されたユーザー名でActive Directoryサービスにバインドします。これらの認証情報は他の用途には使用されません。
適用 設定がすぐに反映されます。

PKI(公開鍵基盤)認証の構成

[PKI認証]セクションでは、Security AnalyticsにPKI認証を構成することができます。

サーバ証明書

[サーバ証明書]セクションでは、サーバ証明書をその鍵を使用してSecurity Analyticsにインポートすることができます。

                                     
機能説明
Alias ストアに格納される証明書の分かりやすい名前。
サブジェクトDN 証明書の発行先となるエンティティ。
発行者DN 証明書を発行したエンティティ。
CA 証明書がCA(認証機関)であるかどうかを示します。 
有効な形式 証明書が有効な期間の開始日。
有効期限 証明書が有効な期間の最終日。
サーバ証明書として使用 サーバ証明書をデフォルトのサーバ証明書として使用できます。

信頼されるCA

[信頼されるCA]セクションでは、Security AnalyticsにCA(認証機関)証明書をインポートすることができます。

                                 
機能説明
Alias ストアに格納される証明書の分かりやすい名前。
サブジェクトDN 証明書の発行先となるエンティティ。
発行者DN 証明書を発行したエンティティ。
CA 証明書がCA(認証機関)であるかどうかを示します。 
有効な形式 証明書が有効な期間の開始日。
有効期限 証明書が有効な期間の最終日。

CRL

CRLでは、SA(Security Analytics)サーバにCRL(証明書失効リスト)をインポートできます。

                            
機能説明
発行者DN 証明書を発行したエンティティ。
ファイル名  CRLのロード元のファイルの名前。
件数

CRL内の「一意の」失効証明書の合計数。

次回更新日 CRLを更新する日付。

CRLリフレッシュ間隔設定

CRLリフレッシュ間隔設定では、期間を設定して、SAのキャッシュのCRLをリフレッシュできるようにします。

                        
機能説明
ディスクから再ロード CRLキャッシュは30秒ごとにディスクから読み取られます。
リフレッシュ間隔 Security AnalyticsサーバがSecurity AnalyticsのキャッシュのCRLを更新する間隔。
保存

時間間隔を保存できます。

ユーザー プリンシパル設定

ユーザー プリンシパル設定では、PKI認証のため、ユーザーを一意に識別する証明書のフィールドを指定することができます。

                     
機能説明
Path ユーザー名またはユーザーIDの抽出に使用される証明書内のフィールドへのパス。
Regex 特定のパスにある証明書の値から最終的なユーザー名またはユーザーIDを抽出するために使用される正規表現。
構成 ユーザー名またはユーザーIDを抽出するためのユーザー プリンシパル設定を構成することができます。

PKIの有効化

[PKIの有効化]セクションでは、Security AnalyticsでのPKI認証を有効化できます。 

                    
機能説明
PKIの有効化 PKIを有効化するオプションを選択します。
適用 Security Analyticsユーザーに対するPKI認証を有効にします。
You are here
Table of Contents > 参考資料 > [Administration]の[セキュリティ]ビュー > [設定]タブ

Attachments

    Outcomes