管理者アカウントの管理

Check Pointの管理者とは、SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。、CLI、または API を使用してCheck Pointのセキュリティ環境を管理・保守する IT プロフェッショナルのことです。Check Pointの管理者は、Check Pointのセキュリティ製品の設定と管理を行い、サイバー攻撃やマルウェアなどのセキュリティ脅威から組織のネットワークを保護します。Check Pointの管理者は通常、Check Pointソフトウェアのインストール、設定、保守、ネットワークトラフィックおよびセキュリティポリシーの管理、システムパフォーマンスのモニタリング、セキュリティ問題のトラブルシューティングなどを行います。また管理者は、Check Pointのセキュリティ環境を最新のHotfixとアップデートで更新し、最適なセキュリティを維持できるようにします。

管理者アカウントは、Check Pointの管理データベースまたは外部のLDAPサーバに保存できます。Security Management Server閉じた 単一の管理ドメイン内でCheck Point環境のオブジェクトとポリシーを管理するために、Check Pointソフトウェアを実行するCheck Point専用サーバ(同義語:Single-Domain Security Management Server)。は、管理者認証を行います。Check Pointは、管理者向けにさまざまな認証方法をサポートしています。

管理者として、オブジェクトやユーザの定義などのタスクを他の管理者に委任することができます。これらのタスクを実行するために必要な権限を持つ管理者アカウントを必ず作成してください。自身が唯一の管理者である場合、トラブルシューティング、コンサルテーション、または監査に便利な、読み取り専用権限を持つ2番目の管理者アカウントを作成することをお勧めします。

管理者アカウントの作成

大規模なネットワークのセキュリティを上手く管理していくためには、まず管理チームを立ち上げ、タスクを委譲することをお勧めします。

SmartConsoleの管理者アカウントは、以下の手順、または初期設定ウィザードで作成することをお勧めします。

SmartConsoleで管理者アカウントを作成する場合、これらの認証方法のいずれかを選択できます:

認証方法

説明

Check Point Password

Check Pointのパスワードは、SmartConsoleに設定されている静的なパスワードです。Security Management Serverのローカルデータベースがパスワードを保存します。追加のソフトウェアは必要ありません。

参照: Check Pointのパスワード認証による管理者アカウントの作成

OS Password

OSパスワードは、Security Management ServerがインストールされているコンピュータのOS上に保持されます。Windowsドメインに保存されているパスワードを使うこともできます。追加のソフトウェアは必要ありません。

参照: OSパスワード認証による管理者アカウントの作成

RADIUS

RADIUS(Remote Authentication Dial-In User Service)は、外部認証方式の1つで、認証機能をアクセスサーバから分離することにより、セキュリティとスケーラビリティを実現するものです。RADIUSの場合、Security Management Serverは認証要求をRADIUSサーバに転送します。管理者のアカウント情報を保存しているRADIUSサーバが認証を行います。RADIUSプロトコルは、UDPを使用してセキュリティゲートウェイ閉じた Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。またはSecurity Management Serverと通信します。

参照: RADIUSサーバ認証による管理者アカウントの作成

TACACS

TACACS(Terminal Access Controller Access Control System)は、1つまたは複数の集中型サーバを通じて、ルータやネットワークアクセスサーバなどのネットワーク接続デバイスのアクセス制御を行うシステムです。

TACACSは、検証サービスを提供する外部認証メソッドです。TACACSでは、Security Management Serverは、リモート管理者による認証要求をTACACSサーバに転送します。管理者のアカウント情報を保存するTACACSサーバは、管理者を認証します。物理的なカードキーデバイスやトークンカード、Kerberos閉じた Microsoft Windows Active Directory Federation Services (ADFS)の認証サーバ。の秘密キー認証に対応しています。TACACSは、すべての認証要求の管理者名、パスワード、認証サービス、およびアカウンティング情報を暗号化し、通信を保護します。

参照: TACACS サーバ認証による管理者アカウントの作成

SecurID

SecurIDは、管理者がトークン認証器を所有し、PINまたはパスワードを提供することを要求します。トークン認証は、RSA認証マネージャ(AM)に同期するワンタイムパスワードを生成するもので、ハードウェアまたはソフトウェアの形態で提供されます。ハードウェアトークンは、キーホルダーやクレジットカード大のデバイスです。ソフトウェアトークンは、管理者が認証を希望するPCやデバイスに常駐します。すべてのトークンは、約1分ごとに変化するランダムな1回限りのアクセスコードを生成します。管理者が保護されたリソースを認証しようとする場合、AMはワンタイムユースコードを検証する必要があります。

Security Management Serverは、リモート管理者によるSecurID認証要求をAMに転送します。AMは、RSAユーザおよび割り当てられたハードトークンまたはソフトトークンのデータベースを管理します。Security Management ServerはAMエージェントとして機能し、すべてのアクセス要求をRSA AMに送り認証します。エージェント設定の詳細については、RSA Authentication Managerのドキュメントを参照してください。

SecurID認証方式に必要なパラメータは特にありません。認証リクエストは、SDKがサポートするAPIまたはREST APIを介して送信できます。

参照: SecurID認証による管理者アカウントの作成

API Key

管理者が管理用APIを使用するためのAPIキーをSmartConsoleで設定することができます。APIを使用できるのは、APIコマンドの実行のみで、SmartConsoleの認証には使用できません。詳細:APIキー認証による管理者アカウントの作成

SAML

管理者は、SAMLプロトコルを使用して、中央のサードパーティIDプロバイダからSmartConsoleにログインできます。IDプロバイダは、管理者を認証する機能など、管理者に関する情報を保持します。Check Pointは、Okta、Ping Identity、AzureのIDプロバイダをサポートしています。詳細:SAML認証ログインによる管理者アカウントの作成

Check Pointの認証方法のいずれかを使用して認証を構成した後、さらに証明書ファイル証明書認証を構成することができます。管理者は、Check Pointの認証方式または証明書ファイルを使用して、SmartConsoleを認証します。

SmartConsoleで証明書ファイルを作成します。管理者は証明書を使用して、SmartConsoleに2つの方法でログインできます:

  • SmartConsoleにCertificate Fileオプションでログインします。証明書ファイルを使用するには、管理者がパスワードを提供する必要があります。

  • Microsoft Windows SmartConsoleコンピュータのWindows証明書ストアに証明書ファイルをインポートできます。管理者は、この保存された証明書を使用して、CAPI証明書オプションを使用してSmartConsoleにログインできます。管理者がログインする際にパスワードを入力する必要はありません。

管理者は、他の管理者に証明書を渡して、自分の管理者アカウントなしでSmartConsoleにログインさせることもできます。

Check Point Configuration Toolツール(cpconfig)を使用して管理者アカウントを作成するには

cpconfig(Check Point Configuration Tool)を使用して管理者を作成することはお勧めしません。

SmartConsoleやGaia Portal閉じた Check Point Gaiaオペレーティングシステム用のWebインタフェース。にアクセスできない場合のみ使用してください。

cpconfigを使用して管理者を作成する場合:

  • これらのコマンドを使用して管理者をアクティブにするには、Check Point Services を再起動する必要があります:

    cpstop ; cpstart

  • 他の管理者は表示されません。

  • 認証方法として、Check Point Passwordが自動的に設定されます。

管理者アカウントの編集

  1. 左側のナビゲーションパネルでManage & Settingsをクリックします。

  2. Permissions & Administratorsをクリックします。

  3. 管理者アカウントをダブルクリックします。

    Administratorsプロパティウィンドウが表示されます。

管理者アカウントの削除

環境の安全性を確保するために、担当者の退職や異動時には管理者アカウントを削除することがベストプラクティスです。

管理者アカウントを削除するには

  1. 左側のナビゲーションパネルでManage & Settingsをクリックします。

  2. Permissions & Administratorsをクリックします。

  3. 管理者アカウントを選択してDeleteをクリックします。

  4. 表示される確認ウィンドウでYesをクリックします。

管理者のデフォルト有効期限

複数のアカウントで同じ有効期限を使用する場合は、管理者アカウントのデフォルトの有効期限を設定することができます。また、管理者がSmartConsoleまたはSmartConsoleクライアントのいずれかにログインしたときに、有効期限が近づいていることを通知するように選択することもできます。アカウントが生きている残りの日数は、ステータスバーに表示されます。

  1. 左側のナビゲーションパネルでManage & Settingsをクリックします。

  2. Permissions & Administrators >Advanced をクリックします。

  3. Advancedをクリックします。

  4. Default Expiration Dateセクションで、スナップショットを選択します。

    • Never expires

    • Expire at- カレンダーコントロールから有効期限を選択

    • Expire after- 管理者アカウントの有効期限が切れるまでの日数、月数、または年数(アカウントが作成された日から)を入力

  5. Expiration notificationsセクションで、Show 'about to expire' indication in administrators viewを選択し、days in advanceの日数を選択します。有効期限が近づいた際にメッセージが表示されます。

  6. SmartConsoleセッションを公開する。

- 管理者に有効期限を設定した場合、管理者は自動的にログアウトされません。新規ログインのみがブロックされる。

セキュリティを向上させるには、アイドルタイムアウトを設定します。SmartConsole >Manage & Settings >Permissions & Administrators >Advanced >Idle Timeoutに移動します。

SmartConsole セッションタイムアウトの設定

SmartConsoleを安全に使用し、すべての管理者に安全な使用方法を徹底します。SmartConsoleのタイムアウトを設定することは、安全に使用するための基本的な条件です。管理者がSmartConsoleを使用しない場合、ログアウトします。

  1. 左側のナビゲーションパネルでManage & Settingsをクリックします。

  2. Permissions & Administrators >Advanced をクリックします。

  3. Idle Timeout areaで、Perform logout after being idleを選択します。

  4. 数を入力します(単位は分)。

    SmartConsoleがこの時間経過後にアイドル状態になると、SmartConsoleは接続している管理者を自動的にログアウトしますが、変更内容はすべて保持されます。

管理者証明書の失効

証明書によって認証される管理者が一時的に管理者の職務を果たせない場合、アカウントの証明書を取り消すことができます。管理者アカウントは残りますが、証明書を使用してSecurity Management Serverを認証することはできません。しかし、アカウントに追加の認証方法(パスワードなど)がある場合、管理者はこの方法を使用してアカウントの認証を行うことができます。

管理者証明書を失効させるには

  1. 左側のナビゲーションパネルでManage & Settingsをクリックします。

  2. Permissions & Administratorsをクリックします。

  3. 管理者アカウントを選択してEditをクリックします。

  4. General > Authenticationで、Revokeをクリックします。

管理者のログイン試行の制限

Check Pointのパスワードを使用してSecurity Management Serverにログインする管理者に対して、このようなログイン制限を設定できます:

  • SmartConsoleが管理者アカウントを自動的にロックするまでのログイン試行回数。

  • SmartConsoleが管理者アカウントをロックした後、ロックを解除するまでの時間(分)。

ログイン制限を設定するには

  1. Manage & SettingsビューまたはMulti-Domainビューに移動します。

  2. Permissions & Administrators >Advanced >Login Restrictionsにアクセス。

- これらの制限は、Check Pointのパスワードで Security Management Serverを認証する管理者のみに適用されます。

管理者アカウントのロック解除

Manage Administrators権限を持つ管理者は、ロックされている管理者がCheck PointのパスワードでSecurity Management Serverを認証した場合、他の管理者のロックを解除することができます。

管理者のロックを解除するには

  1. Manage & SettingsビューまたはMulti-Domainビューに移動します。

  2. ロックされた管理者を右クリックし、Unlock Administratorを選択します。

または

API コマンド "unlock-administrator" を使用します。

- Unlock Administrator機能は、他の認証方法を使用している管理者には適用されません

複数の管理者

2人の管理者が同じ名前の管理者アカウントを作成した場合、最初の管理者がセッションを公開すると、2番目の管理者はセッションを公開できなくなります。2人目の管理者が管理者アカウントで名前を変更しようとしてもできません。この問題を解決するには、2番目の管理者がセッションの変更を破棄し、再接続する必要があります。