FireAMP连接器具有称为连接器保护的功能。此选项允许您对FireAMP连接器服务进行密码保护,并防止停止或卸载该服务。但是,这可能会影响故障排除过程,因为停止FireAMP连接器服务或卸载该服务可以作为故障排除步骤来执行。本文档介绍如何在FireAMP受到密码保护时将其卸载。
要启用Connector Protection选项,请编辑Policy,转到General选项卡,然后展开Administrative Features。
连接器保护功能利用自我保护驱动程序来保护FireAMP的目录。自我保护驱动程序执行以下任务:
1. 保护FireAMP使用的注册表项不会被删除和修改。
2. 防止应用程序写入或删除安装目录中的文件。默认安装目录为:
"%PROGRAMFILES%\Sourcefire\FireAMP"
3. 防止卸载或覆盖FireAMP驱动程序。
4. 通过Windows任务管理器,保护FireAMP应用程序iptray.exe和agent.exe不被“End Processed”。
您可能希望停止FireAMP连接器服务或卸载FireAMP的一些场景如下:
如果启用了连接器保护功能,将无法使用“FireAMP连接器属性”窗口停止服务。管理服务的按钮被禁用,如下所示:
当启用连接器保护功能时尝试停止服务时,您会收到如下故障消息:
The requested pause, continue, or stop is not valid for this service.
在版本4.3.0+上,可以使用命令“sfc.exe -k password”停止sfc.exe服务,其中“password”是在策略中定义的密码。
注意 — 此命令仅适用于FireAMP连接器版本4.3.0及更高版本。
sfc.exe -k password
将“password”一词替换为策略中设置的实际密码。
您可以从用户界面停止受密码保护的服务。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
04-Dec-2014
|
初始版本 |