パート II 一般ユーザのためのセキュリティ

目次

3 システムの安全な使用

3.1 アカウントのパスワードの選択

3.1.1 初期パスワードの取得

3.1.2 パスワードに関するシステム制限の順守

3.2 使用するパスワードのタイプ

3.2.1 システム・パスワードの入力

3.2.2 第 2 パスワードの入力

3.3 アカウントのタイプごとのパスワード要件

3.4 ログインのタイプとログイン・クラス

3.4.1 会話型ログイン (ローカル，ダイアルアップ，およびリモート・ログイン)

3.4.2 外部認証を使用したログイン

3.4.3 情報メッセージの解釈

3.4.4 システムがユーザに代わってログインする場合 (ネットワーク・ログインとバッチ・ログイン)

3.5 ログインの失敗 (ユーザがログインできない場合)

3.5.1 システム・パスワードを必要とするターミナルの使用

3.5.2 ログイン・クラスの制限の順守

3.5.3 特定の日時に使用が限定されたアカウントの使用

3.5.4 ダイアルアップ・ログインで正しいパスワードを入力しなかった場合

3.5.5 侵入回避手順が有効になる条件

3.6 パスワードの変更

3.6.1 ユーザ自身によるパスワードの選択

3.6.2 生成パスワードの使用

3.6.3 第 2 パスワードの変更

3.6.4 ログイン時に行うパスワード変更

3.7 パスワードとアカウントの有効期限

3.7.1 期限切れパスワードの変更

3.7.2 期限切れアカウントの更新

3.8 パスワードの保護に関するガイドライン

3.9 ネットワーク・セキュリティに関する考慮事項

3.9.1 アクセス制御文字列内の情報の保護

3.9.2 代理ログイン・アカウントの使用によるパスワードの保護

3.10 アカウントおよびファイルへのアクセスの監査

3.10.1 最終ログイン時間の確認

3.10.2 重要ファイルへのアクセス制御エントリ (ACE) の追加

3.10.3 セキュリティ管理者への監査の有効化の依頼

3.11 システム・セキュリティを損なわないログアウト

3.11.1 ターミナル画面の消去

3.11.2 ハードコピー出力の破棄

3.11.3 切断されたプロセスの削除

3.11.4 ダイアルアップ回線への接続の切断

3.11.5 ターミナルの電源遮断

3.12 システム・セキュリティへの貢献のためのチェックリスト

4 データの保護

4.1 ユーザのセキュリティ・プロファイルの内容

4.1.1 スレッド別セキュリティ

4.1.2 ペルソナ・セキュリティ・ブロック (PSB) データ構造体

4.1.3 以前のセキュリティ・モデル

4.1.4 スレッド別セキュリティのモデル

4.1.5 ユーザ識別コード (UIC)

4.1.6 ライト識別子

4.1.7 特権

4.2 オブジェクトのセキュリティ・プロファイル

4.2.1 保護オブジェクトの定義

4.2.2 オブジェクトのプロファイルの内容

4.2.3 セキュリティ・プロファイルの表示

4.2.4 セキュリティ・プロファイルの変更

4.2.5 オブジェクトのクラスの指定

4.2.6 プロファイルの変更に必要なアクセス権

4.3 システムによる保護オブジェクトへのユーザのアクセス可否の判定

4.4 ACL によるアクセスの制御

4.4.1 識別子用アクセス制御エントリ (ACE) の使用

4.4.2 特定ユーザへのアクセスの許可

4.4.3 オブジェクトへのユーザのアクセスの禁止

4.4.4 デバイスへのアクセスの制限

4.4.5 環境へのアクセスの制限

4.4.6 リスト内の ACE の順序

4.4.7 ファイルの継承方式の設定

4.4.8 ACL の表示

4.4.9 既存の ACL への ACE の追加

4.4.10 ACL の削除

4.4.11 ACL からの ACE の削除

4.4.12 ACL の部分的な置き換え

4.4.13 ファイルのデフォルト ACL の復元

4.4.14 ACL のコピー

4.5 保護コードによるアクセスの制御

4.5.1 保護コードの形式

4.5.2 保護コード内のアクセスのタイプ

4.5.3 保護コードの処理

4.5.4 保護コードの変更

4.5.5 機密オブジェクトに対する保護の強化

4.5.6 ディレクトリ構造に対するデフォルトの保護コードの提供

4.5.7 ファイルのデフォルト・セキュリティ・プロファイルの復元

4.6 特権と制御アクセス

4.6.1 保護メカニズムに対する特権の影響

4.6.2 制御アクセスによるオブジェクトのプロファイルの変更

4.6.3 アクセスに関するオブジェクト固有の考慮事項

4.7 保護オブジェクトの監査

4.7.1 システムが監査するイベントの種類

4.7.2 オブジェクトのクラスに対する監査の有効化

4.7.3 セキュリティ監査用 ACE の追加

5 オブジェクト・クラスの詳細

5.1 ケーパビリティ

5.1.1 命名規則

5.1.2 アクセスのタイプ

5.1.3 テンプレート・プロファイル

5.1.4 実行される監査の種類

5.1.5 オブジェクトの永続性

5.2 コモン・イベント・フラグ・クラスタ

5.2.1 命名規則

5.2.2 アクセスのタイプ

5.2.3 テンプレート・プロファイル

5.2.4 必要な特権

5.2.5 実行される監査の種類

5.2.6 オブジェクトの永続性

5.3 デバイス

5.3.1 命名規則

5.3.2 アクセスのタイプ

5.3.3 入出力操作に必要なアクセス権

5.3.4 テンプレート・プロファイル

5.3.5 新しいデバイスに対するプロファイルの設定

5.3.6 必要な特権

5.3.7 実行される監査の種類

5.3.8 オブジェクトの永続性

5.4 ファイル

5.4.1 命名規則

5.4.2 アクセスのタイプ

5.4.3 必要なアクセス権

5.4.4 作成時の要件

5.4.5 プロファイルの割り当て

5.4.6 実行される監査の種類

5.4.7 ディスク領域再割り当て時の情報の保護

5.4.8 ファイル・セキュリティの最適化に関する推奨事項

5.5 グローバル・セクション

5.5.1 命名規則

5.5.2 アクセスのタイプ

5.5.3 テンプレート・プロファイル

5.5.4 必要な特権

5.5.5 実行される監査の種類

5.5.6 オブジェクトの永続性

5.6 論理名テーブル

5.6.1 命名規則

5.6.2 アクセスのタイプ

5.6.3 テンプレート・プロファイル

5.6.4 必要な特権

5.6.5 実行される監査の種類

5.6.6 オブジェクトの永続性

5.7 キュー

5.7.1 命名規則

5.7.2 アクセスのタイプ

5.7.3 テンプレート・プロファイル

5.7.4 必要な特権

5.7.5 実行される監査の種類

5.7.6 オブジェクトの永続性

5.8 資源ドメイン

5.8.1 命名規則

5.8.2 アクセスのタイプ

5.8.3 テンプレート・プロファイル

5.8.4 必要な特権

5.8.5 実行される監査の種類

5.8.6 オブジェクトの永続性

5.9 セキュリティ・クラス

5.9.1 命名規則

5.9.2 アクセスのタイプ

5.9.3 テンプレート・プロファイル

5.9.4 実行される監査の種類

5.9.5 オブジェクトの永続性

5.10 ボリューム

5.10.1 命名規則

5.10.2 アクセスのタイプ

5.10.3 テンプレート・プロファイル

5.10.4 必要な特権

5.10.5 実行される監査の種類

5.10.6 オブジェクトの永続性