株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

トップ > CrowdStrike > 応用!CrowdStrike Falconセンサーのアンインストール(Windows編)

応用!CrowdStrike Falconセンサーのアンインストール(Windows編)

CrowdStrike Security

はじめに

春頃にCrowdStrike Falconセンサーのインストール方法を紹介する記事を書きました。
ありがたいことに多くの方に閲覧いただいているようで、皆様のお役に立てていれば嬉しいです!

関連して「アンインストール方法も知っておきたい」とリクエストをいただきましたので、この記事ではFalcon Sensorをアンインストールする方法をご紹介します。
インストール記事はページ下部にリンクがありますのでそちらをご参照ください!

アンインストール準備

必要に応じて「メンテナンストークン」を準備します。
これは管理者が予期せぬタイミングで(たとえば攻撃者などによって)勝手にセンサーをアンインストールされることを防ぐ仕組みです。

メンテナンストークンは、Falconセンサーをアンインストールするときに使用する一時的な文字列で、ホストごとに発行されます。また、1回のみ使用可能なため悪用のリスクは限定的です。

センサーの更新やアンインストールなどの挙動を管理する「センサー更新ポリシー」で「アンインストールの防止」が有効になっている場合、メンテナンストークンの入力が必須になります。
本ブログではメンテナンストークンの発行手順も紹介しますが、この機能を有効にしていない環境では、そのまま「ステップ1」に進んで問題ありません。

アンインストール手順

ステップ0: メンテナンストークンの発行(必要に応じて)

メンテナンストークンはFalcon UI(CrowdStrikeコンソール)から発行します。
必要な権限(ホストの管理権限)がない、またはコンソールにログインできない場合は管理者に相談してください。

  1. Falcon UIにログインします(Falconユーザーアカウントが必要です)。
  2. ホストの管理]ページに移動します。
    メニューアイコン > ホストのセットアップおよび管理 > ホストの管理
  3. アンインストール対象のホストを選択し、[アクション]から[メンテナンストークンを表示]をクリックします。
    メニュー(︙)からも選択できます
  4. 必要に応じて理由を入力し、[トークンを表示]をクリックします。
    入力した理由コメントは監査ログに記録されます
  5. 表示されたトークンをコピーし、[完了]をクリックして画面を閉じます。
    トークンはホストごとに異なるため使いまわしできません

ステップ1: アンインストーラーの起動とアンインストール

アンインストールは一般的なWindowsアプリと同様にコントロールパネルから行います。
※ 最近は「設定」アプリを使うことも多いかもしれませんが、公式手順がコントロールパネル基準なので本ブログでも踏襲しています

  1. 対象ホストにログインします。
  2. コントロールパネルを開きます。
    Winキー+R >「control」で直接起動することもできます
  3. プログラムのアンインストール]をクリックします。
    または プログラム > プログラムと機能 でも同じ画面に遷移します
  4. CrowdStrike Windows Sensor」を選択し、[アンインストール]をクリックします。
    変更 のほうでも同じウィザードが起動します
  5. セットアップウィザードで必要に応じてメンテナンストークンを入力し、[アンインストール]をクリックします。
    環境によってはトークンの入力フォームは表示されません。クリック後はすぐにアンインストールが始まるので慎重に操作してください
  6. 「正常にアンインストールされました」と表示されれば完了です。[閉じる]をクリックしてウィザードを終了します。

おまけのFAQ

Q1. CLIでFalconセンサーをアンインストールできますか?

可能です。
Falcon UIの[ツールのダウンロード]からダウンロードできるアンインストールツール[Falcon Host Windows Sensor, Uninstall Tool]をホストで実行します。

メニューアイコン > サポートおよびリソース > ツールのダウンロード

管理者権限でコマンドプロンプトを起動してファイルを配置したディレクトリに移動し、ツールを実行します。

CsUninstallTool.exe

メンテナンストークンが必要な場合は以下のオプションを指定します。

CsUninstallTool.exe  MAINTENANCE_TOKEN=<token>

Q2. メンテナンストークンは必ず入力するものですか?

いいえ。「アンインストールの防止」機能が有効な場合のみ必要です。

  • ホストでは、トークン入力ボックスが出るかどうかで判断できます。
    最近デザインの更新があってなぜか若干イラストも違うのですが、注目してほしいのは入力ボックス部分です
  • Falcon UIでは「センサー更新ポリシー」の
    センサー設定 → アンインストールとメンテナンスの防止
    が有効なポリシーが割り当てられているかどうかで判断します。
    メニューアイコン > ホストのセットアップおよび管理 > センサー更新ポリシー でポリシー名をクリックします

Q3. アンインストール対象ホストが多くて毎回トークン発行が面倒……

「アンインストールとメンテナンスの防止」を無効にしたメンテナンス用のセンサー更新ポリシーを作成し、そのポリシーを一時的に対象ホストに割り当てるのが正式な回避手段です。
普段使っているポリシーの設定を変える方法もありますが、他のホストにも影響が出る可能性があるため、専用のメンテナンス用ポリシーを準備するほうが安全だと思います。

Q4. センサーのアンインストール後、OSの再起動は必要ですか?

再起動は不要です。

Q5. アンインストールできたかどうか確認できますか?

ホスト上では以下で確認できます。

  • プログラム一覧にFalconセンサーが表示されない
  • ディレクトリ C:\Windows\System32\drivers\CrowdStrike が存在しない
  • レジストリ HKLM\System\Crowdstrike が存在しない

Falcon UIでは直接確認できませんが、アンインストール後は該当ホストが「オフライン」になります。
一定期間(通常45日)が経過するとホスト自体が非表示になります。

Q6. センサーを再インストールする際に気をつけることはありますか?

特に機能的な注意点はありません。ただし、再インストール後はCrowdStrikeから新しいホストとして認識されます。
アンインストール済みのホストはしばらくFalcon UI上に残るため、同じ名前のホストが複数表示される場合があります。
管理上の混乱を避けたい場合は、再インストール前に不要なホストを非表示にしておくことをおすすめします。

メニューアイコン > ホストのセットアップおよび管理 > ホストの管理 でホストをクリックし、アクションメニューから[ホストを非表示にする]を選択します

まとめ

Falconセンサーインストール記事のリンクも貼っておきます。

Windowsセンサーのインストール blogs.networld.co.jp

Linuxセンサーのインストール blogs.networld.co.jp

ありがとうございました!

thumbnail