タンパー プロテクション ポリシー
タンパープロテクションは、未承認のユーザー (ローカルアドミニストレータや専門知識のないユーザーなど) や既知のマルウェアが、Sophos Endpoint Security and Control の GUI を通じて、ソフォスのセキュリティソフトをアンインストールしたり、無効にしたりすることを防ぎます。
注 この機能は詳しい専門知識を持つユーザーから製品を保護するものではありません。また、検出を避けるために OS を妨害するマルウェアから製品を保護するものでもありません。このタイプのマルウェアは、脅威検索や疑わしい動作検索のみで検出されます。
タンパープロテクションを有効にし、タンパープロテクションのパスワードを作成すると、パスワードが与えられていない SophosAdministrator グループのメンバーは次の操作ができなくなります。
- Sophos Endpoint Security and Control でオンアクセス検索や疑わしい動作の検知を再設定する。
- タンパープロテクションを無効にする。
- Sophos Endpoint Security and Control のコンポーネント (Sophos Anti-Virus、Sophos Client Firewall、Sophos AutoUpdate、Sophos Remote Management System) をアンインストールする。
SophosAdministrator グループのメンバーに上記のタスクの実行を許可するには、タンパープロテクションのパスワードを通知する必要があります。ユーザーはまずパスワード認証を行います。
SophosUser および SophosPowerUser グループのメンバーは、タンパープロテクション機能による影響を受けません。タンパープロテクションを有効にした場合、これらのユーザーは、タンパー プロテクションのパスワードを入力せずに、通常、実行を許可されているタスクすべてを実行できます。
ロールベースの管理を利用している場合は次の点に注意してください。
- タンパー プロテクション ポリシーを設定するには、「ポリシー設定 - タンパー プロテクション」権限が必要です。
- 各ユーザーは、ユーザーごとのアクティブなサブ管理サイトに適用されているポリシーだけ編集できます。
タンパー プロテクションのイベント
たとえば、未承認のユーザーがエンドポイントコンピュータから Sophos Anti-Virus をアンインストールしようとした操作をブロックするなど、タンパー プロテクションのイベントが発生すると、イベントログに記録されます。記録されたログは Sophos Enterprise Console で表示できます。
タンパー プロテクションのイベントには次の 2種類があります。
- タンパー プロテクションの認証に成功したときに記録されるイベント。認証済みのユーザーの名前と認証した日時が表示されます。
- ソフォス製品を改変しようとする操作が失敗したときに記録されるイベント。当該のソフォス製品またはコンポーネントの名前、発生日時、操作を行ったユーザーの名前が表示されます。