LanScope CATを社員が勝手に止めることはできるか確認してみた。

下記の手順で止められることがわかった。

管理者の方はクライアント側のセキュリティ対策の参考にしていただきたい。

なお筆者の環境は、ユーザーに管理者権限が割り当たっている状況である。

ネットワークからの切り離し

1. LANケーブルを抜く
2. 無線LANを無効にする
3. ipconfigコマンドでネットワークに接続されていないことを確認する

CATの停止

次のコマンドを実行する。あらかじめバッチファイルにしておいても実行可能である。

net pause LSPSERVICE_MR
taskkill /f /im Lspcmr.exe
taskkill /f /im LspSrvAny.exe

sc stop "LSPSERVICE_MR"
sc config "LSPSERVICE_MR" start= disabled
sc delete "LSPSERVICE_MR"

ログファイルの削除

CATの停止ができたらshutdown -r -f -t 0で再起動する。

再起動しないと排他で既存の収集ログファイルが削除できないためである。

再起動したら下記を実行する。こちらもあらかじめバッチファイル化できる。

標準のdelコマンドでなく、sdeleteなどをつかっても削除可能である。

SET TARGET="C:\Program Files (x86)\MOTEX\LanScope Cat MR\locallog\DetailLog\*"
del /S /Q %TARGET%
for /D %%1 in (%TARGET%) do rmdir /S /Q "%%1"

SET TARGET="C:\Program Files (x86)\MOTEX\LanScope Cat MR\locallog\AnalyzeLog\*"
del /S /Q %TARGET%
for /D %%1 in (%TARGET%) do rmdir /S /Q "%%1"

SET TARGET="C:\Program Files (x86)\MOTEX\LanScope Cat MR\locallog\log\*"
del /S /Q %TARGET%
for /D %%1 in (%TARGET%) do rmdir /S /Q "%%1"

SET TARGET="C:\Program Files (x86)\MOTEX\LanScope Cat MR\locallog\*.txt"
del /Q %TARGET%

SET TARGET="C:\Program Files (x86)\MOTEX\LanScope Cat MR\tracelog\*"
del /S /Q %TARGET%
for /D %%1 in (%TARGET%) do rmdir /S /Q "%%1"

SET TARGET="C:\ProgramData\MOTEX\MR\*"
del /S /Q %TARGET%
for /D %%1 in (%TARGET%) do rmdir /S /Q "%%1"

後処理

1. 再びshutdown -r -f -t 0で再起動する。
2. 収集したログファイルが残っていないか確認する。
3. CATがインストール、起動されないようにBITSを停止(無効)にする。
4. CATがインストールされないように%temp%のアクセス権を自分だけにして後のアカウントは削除する。
5. 再起動して状態を確認する。

最後に標準ではmotexでプログラムがアンインストールできてしまうため変更が必要なことを書き残しておきたい。

以上、構築時の参考にしていただきたい。