Le connecteur FireAMP est doté d'une fonction appelée Protection du connecteur. Cette option vous permet de protéger par mot de passe le service Connecteur FireAMP et d'empêcher son arrêt ou sa désinstallation. Cependant, cela peut avoir un impact sur la procédure de dépannage, car l'arrêt du service de connecteur FireAMP ou sa désinstallation peut être une étape de dépannage. Ce document décrit comment désinstaller FireAMP lorsqu'il est protégé par un mot de passe.
Afin d'activer l'option Protection du connecteur, modifiez votre politique, accédez à l'onglet Général, et développez Fonctions d'administration.
La fonction Connector Protection utilise un pilote d'autoprotection pour protéger les répertoires de FireAMP. Un pilote d'autoprotection effectue les tâches suivantes :
1. Empêchez la suppression et la modification des clés de registre utilisées par FireAMP.
2. Protégez les applications contre l'écriture ou la suppression de fichiers dans le répertoire d'installation. Le répertoire d'installation par défaut est :
"%PROGRAMFILES%\Sourcefire\FireAMP"
3. Protégez les pilotes FireAMP contre le déchargement ou le remplacement.
4. Protégez les applications FireAMP, iptray.exe et agent.exe, contre le risque de « fin de traitement » via le Gestionnaire des tâches de Windows.
Voici quelques scénarios dans lesquels vous pouvez arrêter le service de connecteur FireAMP ou désinstaller FireAMP :
Vous ne pourrez pas arrêter le service à l'aide de la fenêtre Propriétés du connecteur FireAMP si la fonctionnalité Protection du connecteur est activée. Les boutons permettant de gérer le service sont désactivés comme suit :
Lorsque vous essayez d'arrêter un service alors que la fonction de protection du connecteur est activée, vous recevez un message d'échec comme ci-dessous :
The requested pause, continue, or stop is not valid for this service.
Sur la version 4.3.0+, le service sfc.exe peut être arrêté avec la commande « sfc.exe -k password » où « password » est le mot de passe défini dans la stratégie.
Remarque : cette commande fonctionne uniquement sur les versions 4.3.0 et ultérieures du connecteur FireAMP.
sfc.exe -k password
Remplacez le mot « password » par le mot de passe réel défini dans votre stratégie.
Vous pouvez arrêter le service protégé par mot de passe à partir de l'interface utilisateur.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
04-Dec-2014
|
Première publication |