管理アクションを、そのレベルのアクセスを必要とするユーザーに制限することが重要です。これは、最小権限の原則と呼ばれる概念の一部です。この原則に従い、ユーザーやプログラムなどのアクターには、その機能を実行するために必要な権限のみを付与する必要があります。
これは単なる信頼の問題ではありません。非管理アカウントが侵害を受けた場合に組織を保護することにもなります。損害をもたらす攻撃の多くは、通常のアカウントへのアクセスを取得してから、昇格およびピボットして追加のアクセスを取得します。
制御する必要がある管理機能としては、次のような項目があります。
- ESCWA、MFDS、ESMAC などの管理 UI。これらは、リソース アクセス制御ルールを使用して制限できます。ESMAC への匿名アクセスを必ず無効にしてください。詳細については、「デフォルトの資格情報の削除または変更」を参照してください。
- esfadmin などのエンタープライズ サーバー インスタンス ユーティリティや、サード パーティ クライアントを使用して、またはデータ ファイルを直接操作して変更される可能性があるセキュリティ データ。セキュリティ制御を使用して LDAP サーバーなどのセキュリティ データ リポジトリを構成し、それらが使用するファイルに適切な権限を設定します。
- CICS および IMS リソース定義。dfhdrdat などのリソース定義ファイルに適切なファイル権限を設定します。CICS の場合、CICS システム API で制御を有効にします。詳細については、「追加のコントロールの有効化」を参照してください。
- CICS CINS など、管理アクションを実行するシステム ユーティリティおよびトランザクション。エンタープライズ サーバー リージョン内で実行される操作は、リソース アクセス制御ルールを使用して制限できます。外部で実行される操作については、ファイル権限を設定できます。
- 可能な場合、Enterprise Server に関連する OS での管理アクションも制限する必要があります。これには、Windows でのサービスの開始および停止、UNIX でのプロセスの強制終了などのアクションが含まれます。
ESMAC へのアクセスの制限
ESMAC のセキュリティ制御の設定に加えて、「デフォルトの資格情報の削除または変更」で説明されているように、ESMAC への匿名アクセスを無効にする必要があります。Enterprise Server の一部の古いリリースでは、mfuser アカウントにパスワードを割り当てることでこれを実行できます。Enterprise Server の現在のリリースでは、追加の手順を実行する必要があります。
ESMAC への匿名アクセスを無効にするには、次の手順を実行します。
- mfuser ユーザーに、または ES_USR_DFLT_ESMAC 環境変数を使用してデフォルトの ESMAC ユーザーとして設定されているアカウントに、パスワードを割り当てます。
- 環境変数 ES_ESM_DISABLE_DFLTUSER_ESMAC を設定します。詳細については、製品ヘルプの「デフォルトの ESMAC ユーザーの構成」を参照してください。また必要に応じて、環境変数 ES_DISABLE_DFLTUSR_SIGNON も設定できます。詳細については、製品ヘルプの「セキュリティおよび監査の環境変数」を参照してください。
注: これら 2 つの変数では、DFLTUSER と DFLTUSR のスペルに違いがあります。
これらの変数は、グローバル環境で、またはエンタープライズ サーバー リージョンの [ES-Environment] 構成セクションにある [Configuration Information] フィールドで設定できます。次に例を示します。[ES-Environment]
# Prevent anonymous access to ESMAC
ES_DISABLE_DFLTUSR_SIGNON=Y
ES_ESM_DISABLE_DFLTUSER_ESMAC=Y
これら 2 つの設定では機能が若干異なります。ほとんどの場合は同じ効果を持ちますが、ES_ESM_DISABLE_DFLTUSER_ESMAC は、パスワードが指定されていても、mfuser アカウントを使用した ESMAC へのサイン オンを防ぎます。また、空白のユーザー名から「mfuser」への変換、および
ESMAC サインオン ページの [Default] ボタンの使用を無効にします。セキュリティを最大限に高めるために、これらの変数を両方とも設定することをお勧めします。