Enterprise Server のインストールを強化する場合は、次の手順を確認してください。詳細については、本ドキュメントのトピックおよび製品ヘルプの関連トピックを参照してください。
- セキュリティを低下させるオプション
- [Allow unknown users] および [Allow unknown resources] などのセキュリティを低下させるオプションを無効にします。
- 予測可能な動作
- セキュリティ システムが、理解しやすく、一貫した予測可能な方法で動作する場合に最適です。可能であれば、予期しない結果が生じる可能性のある構成は避けてください。複数のセキュリティ マネージャーを使用する場合は、グループ フェデレーションを有効にします。check TLQ first など、複雑さを増加させるオプションは避けてください。使用する必要がある場合は、それらのオプションが有効になっているときに動作が異なる可能性がある構成を追加しないでください。たとえば check TLQ first では、ベスト プラクティスは、ワイルドカードで始まる DATASET リソース アクセス ルールを持たないことです。
- 強力なパスワード
- MLDAP ESM モジュールおよび Micro Focus パスワード ハッシュでユーザー認証を実行する場合、minimum length および complexity などのパスワード強度構成オプションを使用して、強力なパスワードを要求します。パスワードの有効期限および履歴 (パスワードの再利用を防ぐため) が適切かどうかを検討してください。MF-A2 (Argon2) パスワード ハッシュ タイプを使用し、もし組織に古いパスワード
ハッシュがある場合は、パスワードの移行を有効にします。
Micro Focus パスワード ハッシュを使用しない場合、パスワードの強度は、本ドキュメントの範囲外にある OS またはサード パーティ コンポーネントで決まります。
- 確認調整
- セキュリティ構成で確認調整機能を有効にします。組織が許容できる値に、そのしきい値を設定します。一般に、各 SEP のタスク待機時間は十分に長く、確認調整によって使用される 1 秒のウィンドウ内で発生する可能性があるサインオンは、最大で 12 回程度です。
- 監査
- セキュリティ関連のアクティビティの監査証跡を維持するために、監査を有効にすることを検討してください。これは、侵害の疑いが出た後のフォレンジック分析、または侵害検知システムの情報源として使用できます。
- キャッシュ
- 組織にとって、パフォーマンスおよび信頼性、またはセキュリティに関する変化の速やかな認識のどちらが重要かを判断します。前者の場合、キャッシュを有効にします。後者の場合は、セキュリティ構成、および MLDAP ESM モジュールを使用するセキュリティ
マネージャの両方でキャッシュを無効にします。
- パストークン
- ESF パストークンは比較的強力なメカニズムですが、無効にするとセキュリティ上の利点が得られます。パストークンは、MFDS と ESMAC のユーザー インターフェイス間のシームレスな切り替えに使用されます。このユース ケースを回避するには、代わりに
ESCWA を使用します。DCAS にも使用されますが、その機能を使用する組織は比較的少数です。
パストークンを使用する場合は、SecretFile 構成オプションを使用して、パストークン生成用のサイト固有またはマシン固有のシークレットを設定します。
- セキュア LDAP
- 可能であれば LDAP-over-TLS を使用してください。
- デフォルトの資格情報
- すべてのデフォルトの資格情報と同様に、セキュリティのベスト プラクティスは、LDAP サーバーへの接続にデフォルトの資格情報を使用しないことです。
- アカウント ロックアウト
- Micro Focus ユーザーが MLDAP ESM モジュールで使用されている場合、アカウント ロックアウト用に signon attempts 設定を有効にして、パスワードを推測できないようにします。
- トレース
- 攻撃者に有用な情報を与える可能性があるため、特にプロダクション システムでは、トレースを有効のままにしないでください。