インストールおよび構成の際に必要なユーザー・アカウント情報
インストールおよび構成時には、特定の権限が割り当てられた、さまざまなユーザー・アカウントが使用されます。サービス・アカウントとローカル・システム・ユーザー・アカウントは、同じユーザー名とパスワードを持つ単一アカウントである場合もあります。ただし、組織で職務を分離する必要がある場合は、インストールおよび構成時にはローカル・システム・ユーザー・アカウントを使用し、SQL Server データベース・アクセスの保守時にはサービス・アカウントを使用します。
sa'アカウントをサービスアカウントとして使用しないでください。このアカウントは、関連するすべての情報が公開されており、権限を変更できないため、よく知られたセキュリティリスクです。SQL Serverでは、最小特権の原則に従うために、サービスアカウント用の専用の非管理者ユーザーを常に作成してください。インストールおよび構成時のサービス・アカウントの使用
| 権限 | 説明 |
|---|---|
|
サービス・アカウントをローカル管理者にします。ソフトウェアのインストールまたは保守を行う場合は、このアカウントとしてログインします。サービス・アカウントには、コンピューターのローカル・セキュリティー・ポリシーで以下の権限が割り当てられている必要があります。
SQL Server データベースでは、インストール方法に応じて、単一または複数のサービス・アカウントを使用できます。 |
サーバー上に、インストールおよび構成が完了した後にコンピューターのローカル・セキュリティー・ポリシーを変更して上記のいずれかの権限を取り消すようなグループ・ポリシーがデプロイされている場合、AppScan Enterprise は機能しません。 |
|
インストールしたコンポーネントの構成時に、 サービス・アカウント情報を入力する必要があります。このサービス・アカウントによって、 エージェントはデータベース・サーバーにアクセスできます。個々のユーザーは、形式にかかわらず、データベースのアクセス権は必要ありません。エージェントおよびデータベースに対して使用されるサービス・アカウントは、有効期限が切れないパスワードを持っている必要があります。パスワードを定期的に変更する必要がある場合は、すべてのAppScan®エンタープライズサーバーおよび動的解析スキャナーコンピューターで設定ウィザードを再実行し、新しいパスワードを入力できます。 |
|
|
サービス・アカウントには、データベースに対する db_owner 権限が付与されます。サービス・アカウントには、データベースと表の作成、ユーザーの追加、ストアード・プロシージャーの実行、および権限の付与を行うことが許可されている必要があります。組織でサービス・アカウントに db_owner 権限を付与しないようにしている場合は、AppScan Enterprise の構成および実行に最低限必要な ddladmin、datawriter、および datareader 権限をアカウントに付与する必要があります。 |
|
| ファイルおよびフォルダーの許可 |
サービスアカウントは、Drive:\\YourInstallFolder\HCL\product name\ およびそのすべてのサブフォルダーに対して、次の権限を持っている必要があります。
注:
これらの許可によって、サービス・アカウントはログ・ファイルに書き込むことができます。また、これらの許可によって、スキャン・エージェントは一時ファイルに書き込むことができます。この書き込みができない場合、スキャンは機能しません。これらの権限は構成ウィザードで作成されます。変更しないでください。 |
| ローカル・セキュリティー・ポリシー |
サービス・アカウントには、ユーザーのログオン資格情報を偽装できるよう、ターゲット・マシンにローカルでログオンする権限が付与されている必要があります。また、サービスとしてログオンできる許可を持っている必要もあります。 |
| レジストリー許可 |
サービス・アカウントには、以下の権限が付与されている必要があります。
|
インストールおよび構成時のローカル・システム・ユーザー・アカウントの使用
- ネットワーク経由でコンピューターへアクセス
- ローカルでログオンを許可
- ローカル・システム・ユーザー・アカウントが、MS SQL Server 上に AppScan データベースを作成および構成します。
- ローカル・システム・ユーザー・アカウントが、データベース・サービスを db_owner としてデータベースに追加します。
- ローカル・システム・ユーザー・アカウントが、必要なデータを使用してデータベースを初期化します。
| 権限 | 説明 |
|---|---|
|
ローカル・システム・ユーザー・アカウントをローカル管理者にします。ソフトウェアのインストールまたは保守を行う場合は、このアカウントとしてログインします。ローカル・システム・ユーザー・アカウントには、コンピューターのローカル・セキュリティー・ポリシーで、以下の権限が割り当てられている必要があります。
SQL Server データベースでは、インストール方法に応じて、単一または複数のアカウントを使用できます。 |
サーバー上に、インストールおよび構成が完了した後にコンピューターのローカル・セキュリティー・ポリシーを変更して上記のいずれかの権限を取り消すようなグループ・ポリシーがデプロイされている場合、AppScan Enterprise は機能しません。 |
|
ローカル・システム・ユーザー・アカウントを使用することで、エージェントはデータベース・サーバーにアクセスできます。個々のユーザーは、形式にかかわらず、データベースのアクセス権は必要ありません。エージェントおよびデータベースに対して使用されるローカル・システム・ユーザー・アカウントは、有効期限が切れないパスワードを持っている必要があります。パスワードを定期的に変更する必要がある場合は、すべてのAppScan®エンタープライズサーバーおよびダイナミック分析スキャナーコンピューターで構成ウィザードを再実行し、新しいパスワードを入力できます。 |
インストールおよび構成が完了した後、ローカル・システム・ユーザー・アカウントからデータベースに対する権限を除去し、それらの権限をサービス・アカウントに割り当てて、AppScan Enterprise とデータベースの間のすべての対話を処理できるようにします。 |
|
ローカル・システム・ユーザー・アカウントには、データベースに対する db_owner 権限が付与されます。ローカル・システム・ユーザー・アカウントには、データベースと表の作成、ユーザーの追加、ストアード・プロシージャーの実行、および権限の付与を行うことが許可されている必要があります。組織でローカル・アカウントに db_owner 権限を付与しないようにしている場合は、AppScan Enterprise の構成および実行に最低限必要な ddladmin、datawriter、および datareader 権限をアカウントに付与する必要があります。 |
|
| ファイルおよびフォルダーの許可 |
ローカルシステムユーザーアカウントは、Drive:\\YourInstallFolder\HCL\product name\ およびそのすべてのサブフォルダーに対して、以下の権限を持っている必要があります。
注:
これらの権限によって、ローカル・システム・ユーザー・アカウントにはログ・ファイルへの書き込みが許可されます。また、これらの許可によって、スキャン・エージェントは一時ファイルに書き込むことができます。この書き込みができない場合、スキャンは機能しません。これらの権限は構成ウィザードで作成されます。変更しないでください。 |
| ローカル・セキュリティー・ポリシー |
ローカル・システム・ユーザー・アカウントには、ユーザーのログオン資格情報を偽装できるよう、ターゲット・マシンにローカルでログオンする権限が付与されている必要があります。また、サービスとしてログオンできる許可を持っている必要もあります。 |
| レジストリー許可 |
ローカル・システム・ユーザー・アカウントには、以下の権限が付与されている必要があります。
|
その他のユーザー・アカウント
| アカウント | 説明 |
|---|---|
| ASPNET アカウント |
ASPNET アカウントには、Drive:\\YourInstallFolder\HCL\product name\ およびこのすべてのサブフォルダーに対する以下の権限が付与されている必要があります。
|
| インターネット・ゲスト・アカウント |
インターネット・ゲスト・アカウントには、Drive:\\YourInstallFolder\HCL\product name\ およびそのすべてのサブフォルダーに対する以下の権限が付与されている必要があります。
|