管理者アカウントの管理

Check Pointの管理者とは、SmartConsole、CLI、または API を使用してCheck Pointのセキュリティ環境を管理・保守する IT プロフェッショナルのことです。Check Pointの管理者は、Check Pointのセキュリティ製品の設定と管理を行い、サイバー攻撃やマルウェアなどのセキュリティ脅威から組織のネットワークを保護します。Check Pointの管理者は通常、Check Pointソフトウェアのインストール、設定、保守、ネットワークトラフィックとセキュリティポリシーの管理、システムパフォーマンスのモニタリング、セキュリティ問題のトラブルシューティングなどを行います。また管理者は、Check Point のセキュリティ環境を最新の Hotfix とアップデートで更新し、最適なセキュリティを維持できるようにします。

管理者アカウントは、Check Point の管理データベースまたは外部の LDAP サーバに保存できます。Security Management Serverは、管理者認証を行います。Check Pointは、管理者向けにさまざまな認証方法をサポートしています。

管理者アカウントの作成

大規模なネットワークのセキュリティを上手く管理していくためには、まず管理チームを立ち上げ、タスクを委譲することをお勧めします。

SmartConsoleの管理者アカウントは、以下の手順、または初期設定ウィザードで作成することをお勧めします。

SmartConsoleで管理者アカウントを作成する場合、これらの認証方法のいずれかを選択できます:

認証方法

説明

Check Point Password

Check Pointのパスワードは、SmartConsoleに設定されている静的なパスワードです。Security Management Serverのローカルデータベースがパスワードを保存する。追加のソフトウェアは必要ありません。

参照: Check Pointのパスワード認証による管理者アカウントの作成

OS Password

OSパスワードは、Security Management ServerがインストールされているコンピュータのOS上に保持される。Windowsドメインに保存されているパスワードを使うこともできる。追加のソフトウェアは必要ありません。

参照: OSパスワード認証による管理者アカウントの作成

RADIUS

RADIUS(Remote Authentication Dial-In User Service)は、外部認証方式の1つで、認証機能をアクセスサーバから分離することにより、セキュリティとスケーラビリティを実現するものです。RADIUSの場合、Security Management Serverは認証要求をRADIUSサーバに転送する。管理者のアカウント情報を保存しているRADIUSサーバが認証を行う。RADIUSプロトコルは、UDPを使用してセキュリティゲートウェイまたはSecurity Management Serverと通信します。

参照: RADIUS サーバ認証による管理者アカウントの作成

TACACS

TACACS(Terminal Access Controller Access Control System)は、1つまたは複数の集中型サーバを通じて、ルータやネットワークアクセスサーバなどのネットワーク接続デバイスのアクセス制御を行うシステムです。

TACACSは、検証サービスを提供する外部認証メソッドです。TACACSでは、Security Management Serverは、リモート管理者による認証要求をTACACSサーバに転送する。管理者のアカウント情報を保存するTACACSサーバは、管理者を認証する。物理的なカードキーデバイスやトークンカード、Kerberosの秘密キー認証に対応しています。TACACSは、すべての認証要求の管理者名、パスワード、認証サービス、およびアカウンティング情報を暗号化し、通信を保護する。

参照: TACACSサーバ認証による管理者アカウントの作成

SecurID

SecurIDは、管理者がトークン認証器を所有し、PINまたはパスワードを提供することを要求します。トークン認証は、RSA認証マネージャ(AM)に同期するワンタイムパスワードを生成するもので、ハードウェアまたはソフトウェアの形態で提供されます。ハードウェアトークンは、キーホルダーやクレジットカード大のデバイスです。ソフトウェアトークンは、管理者が認証を希望するPCやデバイスに常駐します。すべてのトークンは、約1分ごとに変化するランダムな1回限りのアクセスコードを生成します。管理者が保護されたリソースを認証しようとする場合、AMはワンタイムユースコードを検証する必要があります。

Security Management Serverは、リモート管理者によるSecurID認証要求をAMに転送します。AMは、RSAユーザおよび割り当てられたハードトークンまたはソフトトークンのデータベースを管理します。Security Management ServerはAMエージェントとして機能し、すべてのアクセス要求をRSA AMに送り認証します。エージェント設定の詳細については、RSA Authentication Managerのドキュメントを参照してください。

SecurID認証方式に必要なパラメータは特にありません。認証リクエストは、SDKがサポートするAPIまたはREST APIを介して送信できます。

参照: SecurID 認証による管理者アカウントの作成

API Key

管理者が管理用APIを使用するためのAPIキーをSmartConsoleで設定することができます。APIを使用できるのは、APIコマンドの実行のみで、SmartConsoleの認証には使用できません。詳しくはAPIキー認証による管理者アカウントの作成

サムル

管理者は、SAML プロトコルを使用して、中央のサードパーティ ID プロバイダから SmartConsole にログインできます。ID プロバイダは、管理者を認証する機能など、管理者に関する情報を保持する。Check Pointは、以下のIDプロバイダをサポートしています:Okta、Ping Identity、Azure。詳しくはSAML 認証ログインによる管理者アカウントの作成

Check Pointの認証方法のいずれかを使用して認証を構成した後、さらに証明書認証を構成することができます。管理者は、Check Point の認証方式または証明書ファイルを使用して、SmartConsole を認証します。

SmartConsoleで証明書ファイルを作成します。管理者は、証明書を使用して、SmartConsoleに2つの方法でログインできます:

  • Certificate File 、SmartConsoleにログインします。証明書ファイルを使用するには、管理者がパスワードを提供する必要がある。

  • Microsoft Windows SmartConsoleコンピュータのWindows証明書ストアに証明書ファイルをインポートできます。管理者は、この保存された証明書を使用して、CAPI証明書オプションを使用してSmartConsoleにログインできます。管理者がログインする際にパスワードを入力する必要はない。

管理者は、他の管理者に証明書を渡して、自分の管理者アカウントなしでSmartConsoleにログインさせることもできます。

Check Point Configuration Tool」ツール(cpconfig)を使用して管理者アカウントを作成する手順

cpconfig (Check Point Configuration Tool)を使用して管理者を作成することはお勧めしません。

SmartConsoleやGaia Portalにアクセスできない場合のみ使用してください。

cpconfigを使用して管理者を作成する場合:

  • これらのコマンドを使用して管理者をアクティブにするには、Check Point Services を再起動する必要があります:

    cpstop ; cpstart

  • 他の管理者は表示されない。

  • 認証方法として、Check Point Passwordが自動的に設定されます。

管理者アカウントの編集

  1. Manage & Settings >Permissions & Administrators をクリックします。

  2. 管理者アカウントをダブルクリックします。

    Administratorsプロパティウィンドウが表示されます。

管理者アカウントの削除

環境の安全性を確保するために、担当者の退職や異動時には管理者アカウントを削除することがベストプラクティスです。

管理者アカウントを削除するには

  1. Manage & Settings >Permissions & Administrators をクリックします。

    デフォルトではAdministratorsペインが表示されます。

  2. 管理者アカウントを選択してDeleteをクリックします。

  3. 表示される確認ウィンドウでYesをクリックします。

管理者のデフォルト有効期限

複数のアカウントで同じ有効期限を使用する場合は、管理者アカウントのデフォルトの有効期限を設定することができます。また、管理者がSmartConsoleまたはSmartConsoleクライアントのいずれかにログインしたときに、有効期限が近づいていることを通知するように選択することもできます。アカウントが生きている残りの日数は、ステータスバーに表示されます。

  1. Manage & Settings >Permissions & Administrators > Advanced をクリック。

  2. Advancedをクリックします。

  3. Default Expiration Dateセクションで、スナップショットを選択します。

    • Never expires

    • Expire at- カレンダーコントロールから有効期限を選択

    • Expire after- 管理者アカウントの有効期限が切れるまでの日数、月数、または年数(アカウントが作成された日から)を入力します。

  4. Expiration notificationsセクションで、Show 'about to expire' indication in administrators viewを選択し、days in advanceの日数を選択します。有効期限が近づいた際にメッセージが表示されます。

  5. SmartConsoleセッションを公開する。

- 管理者に有効期限を設定した場合、管理者は自動的にログアウトされません。新規ログインのみがブロックされる。

セキュリティを向上させるには、アイドルタイムアウトを設定する。SmartConsole >Manage & Settings >Permissions & Administrators >Advanced >Idle Timeout.

SmartConsole セッションタイムアウトの設定

SmartConsoleを安全に使用し、すべての管理者に安全な使用方法を徹底します。SmartConsoleのタイムアウトを設定することは、安全に使用するための基本的な条件です。管理者がSmartConsoleを使用しない場合、ログアウトします。

  1. Manage & Settingsをクリックします。

  2. Permissions & Administrators >Advanced を選択します。

  3. Idle Timeout areaで、Perform logout after being idleを選択します。

  4. 数を入力します(単位は分)。

    SmartConsoleがこの時間経過後にアイドル状態になると、SmartConsoleは接続している管理者を自動的にログアウトしますが、変更内容はすべて保持されます。

管理者証明書の失効

証明書によって認証される管理者が一時的に管理者の職務を果たせない場合、アカウントの証明書を取り消すことができます。管理者アカウントは残りますが、証明書を使用してSecurity Management Serverを認証することはできません。しかし、アカウントに追加の認証方法(パスワードなど)がある場合、管理者はこの方法を使用してアカウントの認証を行うことができる。

管理者証明書を失効させるには

  1. Manage & Settings >Permissions & Administrators をクリックします。

  2. 管理者アカウントを選択してEditをクリックします。

  3. General >Authentication で、Revoke をクリックする。

管理者のログイン試行の制限

Check Pointのパスワードを使用してSecurity Management Serverにログインする管理者に対して、このようなログイン制限を設定できます:

  • SmartConsoleが管理者アカウントを自動的にロックするまでのログイン試行回数。

  • SmartConsoleが管理者アカウントをロックした後、ロックを解除するまでの時間(分)。

ログイン制限を設定するには

  1. Manage & SettingsビューまたはMulti-Domainビューに移動します。

  2. Permissions & Administrators >Advanced >Login Restrictions.

- これらの制限は、Check PointのパスワードでSecurity Management Serverを認証する管理者のみに適用されます。

管理者アカウントのロック解除

Manage Administrators 権限を持つ管理者は、ロックされている管理者がCheck PointのパスワードでSecurity Management Serverを認証した場合、他の管理者のロックを解除することができます。

管理者のロックを解除するには

  1. Manage & SettingsビューまたはMulti-Domainビューに移動します。

  2. ロックされた管理者を右クリックし、Unlock Administratorを選択します。

または

"unlock-administrator" API command を使用する。

-Unlock Administrator 機能は、他の認証方法を使用している管理者には適用されない

複数の管理者

2人の管理者が同じ名前の管理者アカウントを作成した場合、最初の管理者がセッションを公開すると、2番目の管理者はセッションを公開できなくなります。2人目の管理者が管理者アカウントで名前を変更しようとしても、それはできない。この問題を解決するには、2番目の管理者がセッションの変更を破棄し、再接続する必要がある。