Échec de l'arrêt du service de connecteur FireAMP en raison de la protection du connecteur
Table des matières
Introduction
Le connecteur FireAMP est doté d'une fonction appelée Protection du connecteur. Cette option vous permet de protéger par mot de passe le service Connecteur FireAMP et d'empêcher son arrêt ou sa désinstallation. Cependant, cela peut avoir un impact sur la procédure de dépannage, car l'arrêt du service de connecteur FireAMP ou sa désinstallation peut être une étape de dépannage. Ce document décrit comment désinstaller FireAMP lorsqu'il est protégé par un mot de passe.
Configuration de la protection des connecteurs
Afin d'activer l'option Protection du connecteur, modifiez votre politique, accédez à l'onglet Général, et développez Fonctions d'administration.
Pilote Auto-Protect
La fonction Connector Protection utilise un pilote d'autoprotection pour protéger les répertoires de FireAMP. Un pilote d'autoprotection effectue les tâches suivantes :
1. Empêchez la suppression et la modification des clés de registre utilisées par FireAMP.
2. Protégez les applications contre l'écriture ou la suppression de fichiers dans le répertoire d'installation. Le répertoire d'installation par défaut est :
"%PROGRAMFILES%\Sourcefire\FireAMP"
3. Protégez les pilotes FireAMP contre le déchargement ou le remplacement.
4. Protégez les applications FireAMP, iptray.exe et agent.exe, contre le risque de « fin de traitement » via le Gestionnaire des tâches de Windows.
Arrêt du service de connecteur FireAMP
Raisons d'un arrêt
Voici quelques scénarios dans lesquels vous pouvez arrêter le service de connecteur FireAMP ou désinstaller FireAMP :
- Arrêtez le service afin de supprimer les fichiers de base de données corrompus ou les anciens fichiers journaux.
- Désinstallez FireAMP en raison d'une erreur, d'une corruption ou d'une installation incomplète.
- Remplacez le fichier policy.xml afin de diagnostiquer les problèmes de connectivité.
Arrêter le service en utilisant les propriétés du connecteur
Vous ne pourrez pas arrêter le service à l'aide de la fenêtre Propriétés du connecteur FireAMP si la fonctionnalité Protection du connecteur est activée. Les boutons permettant de gérer le service sont désactivés comme suit :
Arrêter le service via CLI
Lorsque vous essayez d'arrêter un service alors que la fonction de protection du connecteur est activée, vous recevez un message d'échec comme ci-dessous :
The requested pause, continue, or stop is not valid for this service.
Sur la version 4.3.0+, le service sfc.exe peut être arrêté avec la commande « sfc.exe -k password » où « password » est le mot de passe défini dans la stratégie.
Solution
Arrêtez le service à l'aide de la ligne de commande
Remarque : cette commande fonctionne uniquement sur les versions 4.3.0 et ultérieures du connecteur FireAMP.
sfc.exe -k password
Remplacez le mot « password » par le mot de passe réel défini dans votre stratégie.
Arrêter le service via l'interface utilisateur
Vous pouvez arrêter le service protégé par mot de passe à partir de l'interface utilisateur.
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
1.0 |
04-Dec-2014
|
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)