タンパー プロテクション ポリシー

タンパー プロテクションは、未認証のユーザー (ローカルアドミニストレータや専門知識のないユーザーなど) や既知のマルウェアが、ソフォスのセキュリティソフトをアンインストールしたり、Sophos Endpoint Security and Control の GUI を通じて無効に設定することを防止する機能です。

注: この機能は詳しい専門知識を持つユーザーから製品を保護するものではありません。また、検出を避けるために OS を妨害するマルウェアから製品を保護するものでもありません。このタイプのマルウェアは、脅威検索や疑わしい動作検索のみで検出されます。(詳細は、ウイルス対策および HIPS ポリシーを参照してください。)

タンパー プロテクションを有効にし、タンパー プロテクションのパスワードを作成すると、パスワードが与えられていない SophosAdministrator グループのメンバーは次の操作ができなくなります。

  • Sophos Endpoint Security and Control でオンアクセス検索や疑わしい動作の検知を再設定する。
  • タンパー プロテクションを無効にする。
  • Sophos Endpoint Security and Control のコンポーネント (Sophos Anti-Virus、Sophos Client Firewall、Sophos AutoUpdate、Sophos Remote Management System) をアンインストールする。

SophosAdministrator グループのメンバーに上記のタスクの実行を許可するには、タンパー プロテクションのパスワードを通知する必要があります。ユーザーはまずパスワード認証を行います。

SophosUser および SophosPowerUser グループのメンバーは、タンパー プロテクション機能による影響を受けません。タンパー プロテクションを有効にした場合、これらのユーザーは、タンパー プロテクションのパスワードを入力せずに、通常、実行を許可されているタスクすべてを実行できます。

注: ロールベースの管理を利用している場合は次の点に注意してください。
  • タンパー プロテクション ポリシーを設定するには、「ポリシー設定 - タンパー プロテクション」権限が必要です。
  • 各ユーザーは、ユーザーごとのアクティブなサブ管理サイトに適用されているポリシーだけ編集できます。

詳細は、ロールとサブ管理サイトを管理するを参照してください。

タンパー プロテクションのイベント

たとえば、未認証のユーザーがエンドポイントコンピュータから Sophos Anti-Virust をアンインストールしようとした操作をブロックするなど、タンパー プロテクションのイベントが発生すると、イベントログに記録されます。記録されたログは Enterprise Console で表示できます。詳細は、タンパー プロテクションのイベントを表示するを参照してください。

タンパー プロテクションのイベントには次の 2種類があります。

  • タンパー プロテクションの認証に成功したときに記録されるイベント。認証済みのユーザーの名前と認証した日時が表示されます。
  • ソフォス製品を改変しようとする操作が失敗したときに記録されるイベント。当該のソフォス製品またはコンポーネントの名前、発生日時、操作を行ったユーザーの名前が表示されます。