タンパー プロテクション ポリシー
タンパー プロテクションは、未認証のユーザー (ローカルアドミニストレータや専門知識のないユーザーなど) や既知のマルウェアが、ソフォスのセキュリティソフトをアンインストールしたり、Sophos Endpoint Security and Control の GUI を通じて無効に設定することを防止する機能です。
タンパー プロテクションを有効にし、タンパー プロテクションのパスワードを作成すると、パスワードが与えられていない SophosAdministrator グループのメンバーは次の操作ができなくなります。
- Sophos Endpoint Security and Control でオンアクセス検索や疑わしい動作の検知を再設定する。
- タンパー プロテクションを無効にする。
- Sophos Endpoint Security and Control のコンポーネント (Sophos Anti-Virus、Sophos Client Firewall、Sophos AutoUpdate、Sophos Remote Management System) をアンインストールする。
SophosAdministrator グループのメンバーに上記のタスクの実行を許可するには、タンパー プロテクションのパスワードを通知する必要があります。ユーザーはまずパスワード認証を行います。
SophosUser および SophosPowerUser グループのメンバーは、タンパー プロテクション機能による影響を受けません。タンパー プロテクションを有効にした場合、これらのユーザーは、タンパー プロテクションのパスワードを入力せずに、通常、実行を許可されているタスクすべてを実行できます。
- タンパー プロテクション ポリシーを設定するには、「ポリシー設定 - タンパー プロテクション」権限が必要です。
- 各ユーザーは、ユーザーごとのアクティブなサブ管理サイトに適用されているポリシーだけ編集できます。
詳細は、ロールとサブ管理サイトを管理するを参照してください。
タンパー プロテクションのイベント
たとえば、未認証のユーザーがエンドポイントコンピュータから Sophos Anti-Virust をアンインストールしようとした操作をブロックするなど、タンパー プロテクションのイベントが発生すると、イベントログに記録されます。記録されたログは Enterprise Console で表示できます。詳細は、タンパー プロテクションのイベントを表示するを参照してください。
タンパー プロテクションのイベントには次の 2種類があります。
- タンパー プロテクションの認証に成功したときに記録されるイベント。認証済みのユーザーの名前と認証した日時が表示されます。
- ソフォス製品を改変しようとする操作が失敗したときに記録されるイベント。当該のソフォス製品またはコンポーネントの名前、発生日時、操作を行ったユーザーの名前が表示されます。