FireAMP コネクタには Connector Protection と呼ばれる機能があります。 このオプションにより、FireAMP コネクタ サービスをパスワードで保護し、このサービスが停止またはアンインストールされることがないようにできます。 ただし、トラブルシューティングの手順として FireAMP コネクタ サービスの停止またはアンインストールを行うことがあるため、これはトラブルシューティング プロセスに影響する可能性があります。 このドキュメントでは、パスワード保護されている FireAMP のアンインストール方法について説明します。
[Connector Protection] オプションを有効にするには、ポリシーを編集します。[General] タブで [Administrative Features] を展開します。
Connector Protection 機能は、自己保護ドライバを使用して FireAMP のディレクトリを保護します。 自己保護ドライバは次のタスクを実行します。
1. FireAMPが削除され、変更から使用するレジストリ キーを保護します。
2. 書き込みからアプリケーションをインストールまたはディレクトリのファイル削除保護します。 デフォルトのインストール ディレクトリは次のとおりです。
"%PROGRAMFILES%\Sourcefire\FireAMP"
3. 無負荷か、FireAMPまたは上書きからドライバを保護します。
4. 「処理されるWindowsタスク マネージャによって」エッジからFireAMPアプリケーション、およびiptray.exe agent.exeを保護します。
FireAMP コネクタ サービスを停止するか、または FireAMP をアンインストールするのは、次のような状況です。
[Connector Protection] 機能が有効な場合に、[FireAMP Connector Properties] ウィンドウを使用してサービスを停止することはできません。 サービス管理のためのボタンは、次に示すように無効になっています。
Connector Protection 機能が有効な場合にサービスを停止しようとすると、次のようなエラー メッセージが表示されます。
The requested pause, continue, or stop is not valid for this service.
バージョン 4.3.0+ では、「sfc.exe -k password」コマンドを使用して sfc.exe サービスを停止できます。この「password」は、ポリシーで定義されているパスワードです。
注:このコマンドは FireAMP Connector バージョン 4.3.0 以降でのみ機能します。
sfc.exe -k password
「password」を、ポリシーで設定されている実際のパスワードに置き換えます。
ユーザ インターフェイスから、パスワード保護されているサービスを停止できます。