Catoクライアントの改ざん防止機能の作業方法

この記事は、Windows用Catoクライアントの改ざん防止メカニズムに関する情報を提供します。

注意

ノート: Windowsクライアント v5.14 以降で利用可能です。 さらに、Windowsクライアント5.14は、改ざん防止をサポートするために追加のドライバをインストールします。 このドライバは、改ざん防止を有効にしない限り読み込まれません。

概要

改ざん防止は、管理者であるあなたが望まないCatoクライアントの変更をユーザーが行うのを防ぎます。 例えば、ユーザーが管理者が設定した特定のグローバル設定を無効にしようとしたり、クライアントのプロセスやサービスを停止させようとしたりすることがあります。 改ざんは通常、以下のような理由で行われます:

  • さまざまな防御メカニズムを無効にして攻撃を遂行したいと考える悪意のある攻撃者。

  • 管理者によって課された制限を好まない従業員が、それを回避しようとする。

改ざん防止機能は、ユーザーがローカル管理者権限を持っている場合でも、これらの防御メカニズムを変更または無効にしようとする試みからホスト上のさまざまなリソースを保護します。

アンチタンパリングが防ぐもの

アンチタンパリング機能は、クライアントの許可されていない変更を防ぎます。 改ざん防止が有効になっている場合、ユーザーは以下のことができません:

  • Catoクライアントのレジストリエントリを編集する

  • 以下の下でファイルとディレクトリを変更または作成する:

    • C:\Program Files (x86)\Cato Networks\Cato Client

    • C:\ProgramData\CatoNetworks

  • Catoクライアントをアップグレードまたはアンインストールする

ユーザーは、さまざまな保護を一時的に無効化するためのコードを受け取るために管理者に連絡することができます。

ユースケース

改ざん防止が施行されている場合、ユーザーはクライアントをアンインストールすることができません。 しかし、管理者が複数のクライアントを同時にアンインストールしたい場合、各ホストを個別にバイパスするように管理者に依頼することはできません。 その代わりに、すべてのクライアントに対して2週間有効な統一コードを使用することができます。

クライアントアップグレードを有効にするための改ざん防止プロテクションの無効化

改ざん防止プロテクションの一環として、改ざん防止が有効になっている場合、クライアントはアップグレードできません。 アップグレードを手動またはMDMを使用して有効化するには、設定された期間に関係なく改ざん防止を無効化するための特定のバイパスコードがあります。 改ざん防止保護を無効化する必要はありません。もしクライアントがCatoアップグレードサービスを使用して自動的にアップグレードされる場合。

クライアントアップグレードのために改ざん防止を無効化するには:

  1. アクセス > クライアント展開 に移動します。

  2. 該当するクライアントのOS種別の下で、アップグレードコードをコピーします。 そのOSのアップグレードポリシーがMDMによる管理に設定されている場合、コードをMDMにコピーするか、手動アップグレード用に特定のユーザに提供します。

クライアントアンインストールを有効にするための改ざん防止プロテクションの無効化

改ざん防止プロテクションの一環として、改ざん防止が有効になっている場合、クライアントはアンインストールできません。 管理者が手動またはMDMを使用してクライアントをアンインストールできるようにするためには、設定された期間に関係なく改ざん防止を無効化するための特定のバイパスコードがあります。

特定のクライアントに改ざん防止が有効になっているかどうかわからない場合でも、コードを入力できます - 改ざん防止が無効の場合でも、アップグレードは機能します。

クライアントをアンインストールするために改ざん防止を無効化するには:

  1. アクセス > クライアントアクセス に移動します。

  2. クライアントアンインストールコード セクションの下で、バイパスコードをMDMにコピーするか、手動アンインストール用に特定のユーザに提供します。

改ざん防止のための除外の設定

特定の管理されたシナリオで、信頼されたツールやワークフローが保護されたコンポーネントとやり取りする必要がある場合があります。 改ざん防止の除外により、改ざんを完全に無効にすることなく、これらのアクションを明示的に許可でき、運用の中断を避けながら保護を維持します。

改ざん防止の除外は、よく理解された検証済みのユースケースにおいてのみ慎重に使用するべきであり、広く除外されすぎるとセキュリティの姿勢が弱くなります。

ユースケース

ABC社は、保護されたエンドポイントコンポーネントと通常操作の一環としてやり取りする必要のあるエンドポイント管理およびセキュリティツールを多数使用しています。 例えば、ITチームは、信頼されたソフトウェア配布ツールを使用して、管理されるエンドポイントに更新をインストールし、メンテナンスを行います。

改ざん防止機能が有効化されていると、これらのツールは保護されたサービスやファイルを変更しようとし、アクションがブロックされます。 これにより、更新を正常に完了できなくなり、運用の中断を引き起こします。

これに対処するため、ITチームは配信ツールで使用される特定の信頼されたプロセスに対するターゲット改ざん防止除外を作成します。 その除外により、ツールが必要なアクションを実行できる一方で、改ざん防止機能は他のすべてのコンポーネントとプロセスをエンドポイント上で保護し続けます。

除外の設定

改ざん防止除外を設定するには:

  1. ナビゲーションメニューからアクセス > 常時強制ポリシーを選択し、改ざん防止除外タブをクリックします。

  2. 新規をクリックし、以下を設定します。

    • ルールの名前と説明

    • ユーザー/グループの下で、ルールが誰に適用されるかを定義します。

    • オブジェクトの下で、以下を設定します:

      • タイプ- 除外するものを選択します (例: プロセスまたはファイルパス)

      • - 除外されたエンティティの正確な名前またはパスを入力します。

      • 値の署名を確認するかどうかを決定します。 これは推奨されるセキュリティのベストプラクティスです

  3. 適用をクリックし、ポリシーページで保存をクリックします。

この記事は役に立ちましたか?

5人中4人がこの記事が役に立ったと言っています

0件のコメント