Windows センサーの RepCLI 認証の有効化

一部の Windows センサー RepCLI コマンドでは、ユーザー認証が必要です。この記事では、認証を有効にする方法について説明します。

センサーのインストール中に RepCLI 認証を有効にするには、 CLI_USERS=sid コマンドラインオプションを使用します。「エンドポイントへの Windows センサーのインストール」および「Windows センサーでサポートされるコマンド」を参照してください。センサーのインストール後に認証を有効にするには、次の手順を実行します。

手順

Carbon Black Cloud コンソールで、[Inventory (インベントリ) > Endpoints (エンドポイント)] をクリックします。
エンドポイントを選択し、[Take Action (アクション実行)] をクリックして [Enable bypass (バイパスの有効化)] をクリックします。アクションを確認します。
管理者としてコマンドプロンプトウィンドウを開き、残りの手順を実行します。
cfg.ini ファイルのバックアップを作成します。
Windows センサーバージョン 3.6 以前の場合は、次のコマンドを入力します。
```
copy "C:\Program Files\Confer\cfg.ini" "C:\Program Files\Confer\cfg-bkp.ini"
```
Windows センサーバージョン 3.7 以降の場合は、次のコマンドを入力します。
```
copy "C:\ProgramData\CarbonBlack\DataFiles\cfg.ini" "C:\ProgramData\CarbonBlack\DataFiles\cfg-bkp.ini"
```
次のパラメータを cfg.ini: AuthenticatedCLIUsers=<SID> に追加します。ここで、SID は Active Directory グループまたはユーザー SID です。SID は 1 つしか許可されないため、このコマンドを複数回実行しないでください。例:
```
echo AuthenticatedCLIUsers=S-1-5-21-992878714-4041223874-2616370337-1001 >> C:\ProgramData\CarbonBlack\DataFiles\cfg.ini
```
注意：コマンド構文では、> の代わりに >> を使用することが重要です。> を使用すると、すべてのファイルの内容が追加されている 1 行に置き換えられます。
ベストプラクティスとして、ローカル管理者アカウントには SID アカウントを使用しないことをお勧めします。SID アカウントは、よく知られており、攻撃者により悪意のある目的に使用される可能性があるためです。Active Directory グループの SID を指定することをお勧めします。この方法では、RepCLI で認証されたコマンドを単一のユーザーとして使用したり、共有アカウントを使用したり (安全性が低い) する代わりに、単一の SID に基づいて認証を有効にできます。必要に応じて RepCLI をさらに安全に使用できるようにグループメンバーシップを更新することができます。
挿入された値が cfg.ini に保存されていることを確認します。
Windows センサーバージョン 3.6 以前の場合は、次のコマンドを入力します。
```
findstr "Authenticated" "C:\Program Files\Confer\cfg.ini"
```
Windows センサーバージョン 3.7 以降の場合は、次のコマンドを入力します。
```
findstr "Authenticated" "C:\ProgramData\CarbonBlack\DataFiles\cfg.ini"
```
cfg.ini の内容を確認したら、手順 4 で作成した cfg-bkp.ini ファイルを削除します。
RepCLI ディレクトリ (C:\Program Files\Confer) に変更します。
次の RepCLI コマンドを実行します: repcli updateconfig。
repcli bypass 0 を実行してバイパスを無効にします。

注：手順 10 に失敗した場合、それは cfg.ini のエラー、または SID で識別される Active Directory グループのメンバーでないことが原因である可能性が最も高いです。後者の場合は、 whoami /groups と入力します。