ファイルアクセスポリシータイプ

概要

ファイルアクセスポリシーは、特定のファイルへのアクセスを制御し、機密データ、構成ファイル、システムファイルに対してきめ細かなアクセス制御を実現します。

このポリシーは、実行可能ファイルおよび非実行ファイルの両方へのアクセスを制限します。

動作の仕組み

• 実行可能ファイル: 昇格ポリシーと同様に、実行時点でアクセスが制限されます。

• 非実行ファイル (テキストファイル、データベースファイル、構成ファイルなど): MFA、理由入力、承認などのポリシーに従わない場合、ファイルの読み取り・書き込み・削除操作が拒否されます。

• ファイルアクセスポリシーは標準ユーザーだけでなく、システム上のすべてのユーザーに適用されます。

特記事項

• 対象ファイルが「保護パス」内にある場合、ファイルアクセスポリシーは適用されません。詳細は「保護パス」の項をご参照ください。

• 同じ実行ファイルにファイルアクセスと特権昇格ポリシーが両方設定されている場合は、ファイルアクセスポリシーは無効化され、Keeperは特権昇格ポリシーのみを適用します。

• Keeperは、エンドポイント上の共通フォルダやパスにポリシーを適用するために、パス変数をサポートしています。

• Keeperは、ポリシーが適用される対象ユーザーに対して、明示的にターゲットファイルのACLを変更します。対象ユーザーを明示的にACLに追加し、アクセス許可を設定します。ユーザーがファイルアクセスをリクエストし、承認されると、Keeperはそのユーザーに対して読み取り/書き込み権限を「許可」に変更します。

• Linuxシステムでは、ユーザーがすでに「allow」権限を持つグループに所属している場合、Keeperの設定に関係なく、グループ権限に基づいてファイルへアクセスできます。

例1. 実行ファイルに対するファイルアクセスポリシー

たとえば、ITチームのメンバーのみが使用する特定のアプリケーションの実行を制限したい場合があります。このような制御を行うことで、「Living off the Land (LoL)」と呼ばれる、一般的な管理ツールを悪用するマルウェアによる攻撃を防ぐことができます。このカテゴリに該当するツールの例としては、次のようなものがあります。

{system32}\cmd.exe
{system32}\certutil.exe
{system32}\cscript.exe
{system32}\PATHPING.EXE
{system32}\PING.EXE
{system32}\NDKPing.exe
{system32}\RpcPing.exe
{system32}\WMIC.exe
{system32}\WindowsPowerShell\v1.0\powershell.exe
{system32}\WindowsPowerShell\v1.0\powershell_ise.exe

1

コレクションを作成

[コレクション] > [アプリケーション] に移動し、新しいコレクションを作成します。たとえば、このコレクションを「Restricted Files on Windows」と名付け、対象ファイルをカスタムリソースとして追加します。

注: {system32} 変数は、Keeperで定義されているパス変数の1つです。

2

ファイルアクセスポリシーを作成

ポリシー画面からファイルアクセスポリシーを作成し、必要な制御を設定します。適用するアプリケーションコレクションには、「Restricted Files on Windows」コレクションを指定します。

3

ユーザー体験

ユーザー (この場合は「標準ユーザー」) がリスト内のいずれかのアプリケーションを実行しようとすると、Keeperから理由の入力と承認を求めるプロンプトが表示されます。

リクエストが承認されると、Keeperクライアントアプリケーションにそのリクエストが表示されます。ユーザーは、その画面から直接アプリケーションを起動できます。

この例では、管理者の承認後に cmd.exe アプリケーションが正常に実行されます。

例2. システムファイルの保護

この例では、すべてのWindowsマシンで保護対象ファイル「netlogon.inf」へのアクセスに承認を必要とする設定を行います。

1

コレクションを作成

保護対象のファイルリソースを管理するために、「Protected Files」コレクションを作成します。

2

アイテムをコレクションに追加

[リソースを手動で定義する] をチェックし、netlogon.inf ファイルをコレクションに追加します。

3

ポリシーを作成

[ポリシー] タブで [ポリシーの作成] をクリックし、以下の設定を行います。

• ポリシータイプ: ファイルアクセス

• ステータス: 適用

• コントロールを追加: [MFA]、[正当な理由]、[承認] のいずれかを選択

• ユーザーグループ: 対象となるユーザーまたはグループ、または [すべてのユーザーとグループ] を選択

• マシン: ポリシーを適用するマシン、または [すべてのマシン] を選択

• アプリケーション: 上記で定義した「Protected Files」コレクションを選択

ファイルリソースへのアクセスに管理者の承認を必要とする場合は、[承認が必要] を選択し、承認者を指定します。

ポリシーを保存すると、数分以内に対象となるすべてのマシンに適用されます。

パス変数

ファイルアクセスポリシーを定義する際に、変数を使用することでポリシー作成を簡略化し、パスのハードコーディングを避けることができます。

組み込みパス変数

Windows変数

• {windows} → C:\Windows (Windowsディレクトリ)

• {system32} → C:\Windows\System32 (System32ディレクトリ)

• {syswow64} → C:\Windows\SysWOW64 (32ビットシステムディレクトリ)

• {systemdrive} → C:\ (システムドライブのルート)

• {userprofile} → C:\Users\username (ユーザープロファイルディレクトリ)

• {programdata} → C:\ProgramData (プログラムデータディレクトリ)

• {programfiles} → C:\Program Files (Program Filesディレクトリ)

• {programfilesx86} → C:\Program Files (x86) (32ビットProgram Filesディレクトリ)

• {temp} → C:\Users\username\AppData\Local\Temp (一時ディレクトリ)

• {appdata} → C:\Users\username\AppData\Roaming (アプリケーションデータ)

• {localappdata} → C:\Users\username\AppData\Local (ローカルアプリケーションデータ)

macOS変数

• {system} → /System (システムディレクトリ)

• {library} → /Library (ライブラリディレクトリ)

• {home} → /Users/username (ユーザーホームディレクトリ)

• {applications} → /Applications (アプリケーションディレクトリ)

• {volumes} → /Volumes (ボリュームディレクトリ)

• {temp} → /tmp (一時ディレクトリ)

Linux変数

• {usr} → /usr (ユーザーディレクトリ)

• {home} → /home/username (ユーザーホームディレクトリ)

• {temp} → /tmp (一時ディレクトリ)

• {root} → / (ルートディレクトリ)

クロスプラットフォーム変数

• {userdocuments} → ユーザードキュメントディレクトリ

• {userdesktop} → ユーザーデスクトップディレクトリ

保護パス

Keeperエンドポイント特権マネージャーは、サポート対象すべてのプラットフォームにおいて包括的な保護パスのリストを管理しています。これらのパスは、標準ユーザーが変更してはならない重要なシステムディレクトリおよびファイルを示しており、システムの整合性を維持するためにACLの適用対象から除外されています。

保護のカテゴリ

1. 保護ディレクトリ

システムの整合性を維持するため、特定のディレクトリはアクセス制御リスト (ACL) による変更から自動的に保護されます。

2. 高リスクパス

絶対に変更してはならない重要なシステムファイルであり、ストレージ操作(書き込み・削除など)がブロックされます。

3. 重要システムパス

インベントリスキャン中に除外される仮想ファイルシステムや問題のあるパスです。

プラットフォーム別保護パス

Windows保護ディレクトリ

以下のディレクトリはWindowsシステム上で保護されています。

C:\Windows\System32
C:\Windows\SysWOW64
C:\Windows\WinSxS
C:\Program Files\Windows NT
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

変数ベースの保護パス (実行時に解決されます)

{system32}
{systemroot}\SysWOW64
{systemroot}\WinSxS
{programfiles}\Windows Defender
{systemroot}\System32\config
{systemroot}\System32\drivers

Windows高リスクパス

変更してはならない重要なシステムファイル

C:\Windows\System32\config
C:\Windows\System32\drivers

Linux保護ディレクトリ

Linuxシステム上の重要なシステムディレクトリおよびファイル

/bin
/sbin
/usr/bin
/usr/sbin
/boot
/dev
/proc
/sys
/etc/passwd
/etc/shadow
/etc/sudoers

Linux高リスクパス

変更してはならない重要なシステムファイル

/etc/passwd
/etc/shadow
/bin/sh
/sbin/init

macOS保護ディレクトリ

macOSのシステムディレクトリおよび重要ファイル

/System
/bin
/sbin
/usr/bin
/usr/sbin
/private/etc
/Library/Security
/Applications/Utilities

macOS高リスクパス

変更してはならない重要なシステムパス

/System/Library/CoreServices
/private/etc (and /etc)

汎用Unix保護ディレクトリ

未知のUnix系バリアント向けのフォールバック保護ディレクトリ

/bin
/sbin
/usr/bin
/usr/sbin
/etc
/dev
/proc
/sys

MacおよびLinuxでのポリシー適用

macOSおよびLinuxデバイスでは、ファイルアクセスポリシーを適用する際に、Keeperクライアントアプリケーションのユーザーインターフェースを使用する必要があります。ファイルアクセスをリクエストする場合、ユーザーはシステムトレイの [アクセスをリクエスト] から申請を行います。