Безопасность : Cisco AMP for Endpoints

Сбои Сервиса Разъёма FireAMP для Остановки из-за Защиты Разъёма

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (21 апреля 2016) | Отзыв

Введение

Разъём FireAMP имеет функцию под названием Защита Разъёма. Эта опция позволяет, что вы к паролю защищаете сервис Разъёма FireAMP и препятствуете тому, чтобы она была остановлена или деинсталлирована. Однако это может повлиять на процесс устранения проблем вследствие того, что остановка сервиса разъёма FireAMP или удаление его могут войти для игры как действие по устранению проблем. Этот документ описывает, как деинсталлировать FireAMP, когда это защищено паролем.

Внесенный Нэзмулом Рэджибом и Александром Дипэскуэлом, специалистами службы технической поддержки Cisco.

Конфигурация защиты разъёма

Для включения Параметра защиты Разъёма отредактируйте Политику, перейдите к Вкладке Общие и разверните Функции администрирования.

Сам защищают драйвер

Защитная функция разъёма использует самозащищать драйвер для защиты каталогов для FireAMP. Самозащищать драйвер выполняет следующие задачи:

1. Защитите ключи реестра, которые FireAMP использует от того, чтобы быть удаленным и модифицируемый.
2. Защитите приложения от записи или удаления файлов в каталоге установки. Каталог установки по умолчанию:

"%PROGRAMFILES%\Sourcefire\FireAMP" 

3. Защитите драйверы FireAMP от того, чтобы быть разгруженным или перезаписанный.
4. Защитите приложения FireAMP, iptray.exe и agent.exe, от того, чтобы быть "Концом, Обработанным" через Менеджера задач Windows.

Остановка сервиса разъёма FireAMP

Причины для остановки

Некоторые сценарии, где можно хотеть остановить сервис разъёма FireAMP или деинсталлировать FireAMP, были бы:

  1. Остановите сервис для удаления файлов поврежденной базы данных или старых файлов журнала.
  2. Деинсталлируйте FireAMP из-за ошибки, повреждения или незавершенной установки.
  3. Замените policy.xml файл для диагностирования проблем с подключением.

Остановите сервисное Использование свойств разъёма

Если Защитная функция Разъёма будет включена, вы не будете в состоянии остановить сервис с помощью Окна свойств Разъёма FireAMP. Кнопки для управления сервисом отключены как указано ниже:

Остановите сервисное Использование CLI

Когда вы пытаетесь остановить сервис, в то время как защитная функция разъёма включена, вы получаете сообщение об ошибках как ниже:

The requested pause, continue, or stop is not valid for this service.

На версии 4.3.0 + sfc.exe сервис может быть остановлен с командой "sfc.exe-k пароль", где 'пароль' является паролем, определенным в политике.

Решение

Остановите сервис с помощью Командной строки

Обратите внимание - Эта команда только работает на версию 4.3.0 и выше Разъёма FireAMP.

sfc.exe -k password

Замените слово "пароль" фактическим заданным паролем в вашей политике.

Остановите Сервис с помощью Интерфейса пользователя

Можно остановить защищенный паролем сервис от интерфейса пользователя.



Document ID: 118701