■はじめに
本記事ではCrowdsrike の Falconクライアントのリモートでのアンインストール手順をご紹介しております。
トラブルシュートの際などアンインストールが必要な場合に参考にしていただけますと幸いです。
=============================
もくじ
■はじめに
■【復習】ADを利用したリモートでのインストール手順
■【応用】ADを利用したリモートでのアンインストール手順
■最後に
=============================
■【復習】ADを利用したリモートでのインストール手順
本記事でご紹介するリモートアンインストール手順は、以前本サイトでご紹介したリモートインストール手順を活用しています。
ADを利用したインストール手順については以下をご参照ください。
【CrowdStrike】FalconセンサーAD展開手順 (Windows with Active Directory)
■【応用】ADを利用したリモートでのアンインストール手順
本記事でご紹介するリモートアンインストール手順は、前述のインストール手順において利用したクライアントのインストーラとスクリプトを
アンインストール用のものに差し替えることで実現しています。
差分が発生する手順に関してはタイトルを赤で表示します。
※記事資料を流用している部分がございますので、適宜読み替えてください。(インストーラ→アンインストーラ など)
まず最初に、インストーラの代わりに使用するアンインストールツールをダウンロードします。
アンインストールツールのダウンロード
ブラウザでFalconコンソールにログインし、ハンバーガメニューより、
[サポートおよびリソース > ツールのダウンロード]の順にクリックし移動します。
遷移先の画面で[Falcon Host Windows Sensor, Uninstall Tool]をダウンロードします。
共有フォルダの準備
アンインストール用トークンの確認(または設定変更)
アンインストールにはセンサー更新ポリシーの設定状況によりアンインストールトークンが必要となる場合があります。
本記事では"アンインストールトークンを無効にし、使用しない設定への変更方法"と"一括メンテナンストークンを利用してアンインストールを実施する方法"の2種類をご紹介します。
>アンインストールトークンを無効化する設定を行う場合
アンインストールを実施する端末に適用されているセンサー更新ポリシーの編集画面で、[アンインストールとメンテナンスの防止]のスイッチをOFFに切り替えて保存します。
>一括メンテナンストークンを利用してアンインストールを実施する場合
アンインストールを実施する端末に適用されているセンサー更新ポリシーの編集画面で、[一括メンテナンスモード]の"トークンを表示"をクリックします。
表示されたウィンドウ下部の"トークンを表示"をクリックします。
表示されたトークンをコピーして控えておきます。
このトークンは、スクリプト内に記述する形で利用します。
アンインストール用スクリプトの作成
前述のセンサー更新ポリシーの設定により、以下に記述するいずれかのスクリプトを作成します。
>アンインストールトークンを無効化する設定を行った場合
# 以下の値はご利用の環境に合わせて変更してください。
$UnInstallerShareFolder = '\\共有サーバホスト名やIP\共有フォルダパス\削除ツールファイル名(CsUninstallTool.exe等)'
$LocalInstaller = 'C:\Temp\アンインストーラーのファイル名(CsUninstallTool.exe等)'
#===============================================================
# 既存センサーの確認とフック処理&ローカルのフォルダ作成
if (Get-Service -Name 'CSFalconService' -ErrorAction SilentlyContinue) {
New-Item -ItemType Directory -Path 'C:\Temp' -Force -ErrorAction SilentlyContinue | Out-Null
# 共有フォルダの確認とアンインストールの実行
if (Test-Path -Path $UnInstallerShareFolder) {
Copy-Item -Path $UnInstallerShareFolder -Destination $LocalInstaller -Force
& $LocalInstaller /quiet
}
}
>一括メンテナンストークンを利用してアンインストールを実施する場合
# 以下の値はご利用の環境に合わせて変更してください。
$UnInstallerShareFolder = '\\共有サーバホスト名やIP\共有フォルダパス\削除ツールファイル名(CsUninstallTool.exe等)'
$LocalInstaller = 'C:\Temp\アンインストーラーのファイル名(CsUninstallTool.exe等)'
$Token = 'MAINTENANCE_TOKEN=一括メンテナンストークン'
#===============================================================
# 既存センサーの確認とフック処理&ローカルのフォルダ作成
if (Get-Service -Name 'CSFalconService' -ErrorAction SilentlyContinue) {
New-Item -ItemType Directory -Path 'C:\Temp' -Force -ErrorAction SilentlyContinue | Out-Null
# 共有フォルダの確認とアンインストールの実行
if (Test-Path -Path $UnInstallerShareFolder) {
Copy-Item -Path $UnInstallerShareFolder -Destination $LocalInstaller -Force
& $LocalInstaller $Token /quiet
}
}
共有フォルダへのアンインストーラ&スクリプトの配置
GPOセンサー展開設定
|
項目 |
値/項目 |
値 |
|
操作 |
更新 |
- |
|
名前 |
任意の値 |
- |
|
説明 |
任意の値 |
- |
|
セキュリティオプション |
タスクの実行時に使うユーザーアカウント |
System |
|
ユーザーがログオンしているかどうかにかかわらず実行する |
選択 |
|
|
最上位の特権で実行する |
チェック |
|
|
構成 |
Windows🄬7、Windows Server™ 2008R2 |
- |
GPOが各端末に適用されるまで時間がかかる場合がございます。(規定で90分)
更に30分ほどのずれがランダムに発生するため、安全マージンを確保するために少し先の時間(2~2時間半)を指定するのが無難です。
|
項目 |
値 |
|
操作 |
プログラムの開始 |
|
プログラム / スクリプト |
Powershell.exe |
|
引数の追加 |
-ExecutionPolicy Bypass -File \\任意の共有フォルダー\作成したスクリプト |
|
項目 |
値 |
|
タスクを要求時に実行する |
✓ |
|
スケジュールされた時刻にタスクを開始できなかった場合、 |
✓ |
|
タスクが失敗した場合の再起動の間隔 |
- |
|
タスクを停止するまでの時間 |
✓ |
|
要求時に実行中のタスクが終了しない場合、タスクを強制的に停止する |
✓ |
|
タスクが再度実行するようにスケジュールされていない場合に |
- |
|
タスクがすでに実行中の場合に適用される規則 |
新しいインスタンスを開始しない |
アンインストールの確認
ローカルで確認する場合→プログラムの追加と削除を開いてクライアントが削除されていることを確認
Falconコンソールで確認→ホストの管理画面でセンサーがオフラインとなっていることを確認 ※反映まで少し時間がかかる場合があります。
以上、Falconクライアントのリモートアンインストール手順でした。
■最後に
今回ご紹介したのはFalconクライアントのリモートアンインストール手順です。
CrowdStrike Falconをご利用になっている皆様に後顧の憂いなく安心してご利用いただくべく掲載させていただきました。
ご一読いただき、ありがとうございました。
※本ブログの内容は投稿時点での情報となります。今後アップデートが重なるにつれ
正確性、最新性、完全性は保証できませんのでご了承ください。
他のオススメ記事はこちら
著者紹介
SB C&S株式会社
技術統括部 第2技術部 2課
宮澤 建人
