ポリシータイプ
エンドポイント特権マネージャーでは、エンドポイント上のどの操作をKeeperがどこまで統制するかが、ポリシーで定められます。各ポリシーは、制御対象のアクションの種類を決めるタイプを中心に構成されます。あわせて、状態、1つ以上のコントロール、ならびにユーザー・マシン・アプリケーション・時間帯などで適用範囲を絞るフィルターが、すべてのポリシーに割り当てられます。
複数のポリシータイプを同一エンドポイントで同時に有効にできます。ポリシーが競合する場合、最も制限の厳しい結果が適用されます。
特権昇格
特権昇格ポリシーでは、管理者レベルの権限でアプリケーションやアクションを実行しようとする要求が横取りされ、実際に昇格する前に構成済みのコントロールが適用されます。ジャストインタイム特権昇格の中心となる仕組みです。常時の管理者権限で操作するのではなく、検証済みの特定アクションに限って、昇格したアクセスだけが与えられます。
Windowsでは、UACの昇格イベントがKeeperによって自動的に横取りされます。macOSおよびLinuxでは、ユーザーがKeeper ClientのシステムトレイUIから昇格要求を出します。昇格はすべて一時的なサービスアカウント経由で実行され、特権操作は切り離され、監査しやすい形で行われます。
利用できるコントロール: Allow, Deny, Require Approval, Require MFA, Require Justification
最小権限
最小権限ポリシーでは、対象エンドポイントの標準ユーザーからローカル管理者権限が取り除かれます。エンドポイント特権マネージャーを導入する際の推奨出発点です。最小権限ポリシーがないと、ユーザーがすでに管理者権限を持っているため、特権昇格のコントロールが実効しにくくなります。
適用されると、対象ユーザーはローカルのAdministratorsグループから外され、画面に通知が表示されます。組み込みのシステムアカウントとドメイン管理者アカウントは自動的に保護され、影響を受けません。除外リストを構成すると、特定のアカウントを適用対象外にできます。
ファイルアクセス
ファイルアクセスポリシーでは、エンドポイント上の特定ファイルへのアクセスが制御されます。対象には実行可能ファイル (アプリケーション、スクリプト、バイナリ) と非実行可能ファイル (構成ファイル、機微なデータ、文書) の両方が含まれます。特権昇格とは異なり、ファイルアクセスポリシーはシステム上のすべてのユーザーに適用され、すでに管理者権限を持つユーザーも対象に含まれます。
実行ファイルについては、実行する瞬間にアクセスが横取りされます。非実行ファイルについては、必要なコントロールが満たされるまで、ACLレベルで読み取り・書き込み・削除が制限されます。Keeperにより保護されたシステムパスは、ファイルアクセスポリシーの対象外です。同一の実行ファイルにファイルアクセスと特権昇格の両方のポリシーがある場合は、特権昇格ポリシーが優先されます。
利用できるコントロール: Allow, Deny, Require Approval, Require MFA, Require Justification
コマンドライン
コマンドラインポリシーでは、macOSおよびLinuxで sudo の利用が統制されます。Unix環境では特権昇格ポリシーに相当する役割を担い、Windowsなど他の環境の特権昇格ポリシーとあわせて、製品全体として特権アクセスを一貫して統制するためのしくみです。
適用すると、PAMモジュール経由で標準の sudo コマンドが keepersudo に置き換わります。ユーザーは keepersudo を通じて昇格要求を出し、設定したコントロールを満たしたうえでコマンドが実行されます。各エンドポイントでは、昇格の対象として許可されたコマンドが明示的な許可リストとして保持されます。
利用できるコントロール: Allow, Deny, Require Approval, Require MFA, Require Justification
高度なポリシータイプ
高度なポリシータイプの設定にはAdvanced ModeのJSONエディターを使います。エンドポイントへのアクセス許可や拒否だけでなく、構成やジョブの一括配布など、運用上の用途にも使うタイプです。標準のポリシータイプのドロップダウンでは選べないため、管理者はJSONで PolicyType フィールドを直接指定し、必要な内容を Extension オブジェクトに記入します。
設定の更新
各エンドポイントでファイルを手作業で編集しなくても、プラグインまたはエージェントの構成を一元的に配布できます。エージェントの構成処理により、適用範囲内の各エンドポイントの対象プラグインファイルに、指定したJSONペイロードが適用されます。
ジョブの更新
管理側からエンドポイント上のジョブ定義を一括で展開、変更、または削除できます。エージェントによるポリシー処理の結果、適用範囲内の各エンドポイントの Jobs/ フォルダ配下の指定ジョブファイルが追加、更新、または削除されます。
カスタム
エンドポイント特権マネージャーの標準ポリシータイプに当てはまらず、特殊なワークフロー、内部連携、カスタム評価器などに使うポリシーです。スキーマに厳密に縛られない分類です。カスタムポリシーでは、他のポリシータイプと同じ構造が用いられ、エンドポイント特権マネージャーのコントロール一式を他タイプと同じように設定できます。管理者は、連携するコンポーネントの要件に合わせて Extension オブジェクトを自由に記入します。
ポリシータイプ一覧
特権昇格
ジャストインタイム昇格の統制
Windows、macOS、Linux
標準UI
最小権限
標準ユーザーからローカル管理者権限を除去
Windows、macOS、Linux
標準UI
ファイルアクセス
実行ファイルおよび機微なファイルへのアクセス統制
Windows (フル)、macOS/Linux (Keeper ClientのUI経由)
標準UI
コマンドライン
Unix系で sudo の利用を統制
macOS、Linux
標準UI
設定の更新
プラグイン/エージェント構成をエンドポイントへ反映
すべて
Advanced Mode (JSON)
ジョブの更新
エンドポイント上のジョブ定義の展開または削除
すべて
Advanced Mode (JSON)
カスタム
特殊なワークフローと連携
すべて
Advanced Mode (JSON)
最終更新