コーポレートエンジニアリング部の宮澤です。
今回は、CrowdStrike Falcon Sensorが正常に動作しなくなった場合や、端末交換時など何かしらの理由でアンインストールする必要がある場合の手順を紹介します。

CrowdStrike関連の記事一覧はこちら

はじめに

以下のブログに記載している、センサー更新ポリシーの設定で、基本的にはアンインストールは許可しないポリシーで運用をするのが望ましいです。

blog.serverworks.co.jp

アンインストール用のセンサー更新ポリシー

上記ブログに記載している通り、アンインストールは標準で許可しないポリシーで運用し、アンインストールが可能なポリシーを別途作成しましょう。

アンインストール用のセンサー更新ポリシーの作成

”ホストのセットアップおよび管理>センサー更新ポリシー”から"ポリシーを作成"を押して。
以下のように、”アンインストールとメンテナンスの防止”のチェックを外します。
※センサー更新ポリシーはOSの種類ごとに作成が必要です。

”ホストのセットアップおよび管理>センサー更新ポリシー”の画面に戻り、作成した、アンインストール用のセンサー更新ポリシーの優先順位を1にあげておきます。
優先順位を上げておかないと、複数のポリシーを適用した端末で、アンインストール用のポリシーが優先されず、アンインストールができなくなってしまうためです。

そして、アンインストール用のホストグループを作成し、ポリシーの割り当てからアンインストール用のセンサー更新ポリシーを割り当てます。

アンインストール手順

事前にインストールしたい端末をアンインストール用のホストグループに追加します。

Windows

Windowsの"設定 > アプリ > インストールされてるアプリ"から"CrowdStrike Windows Sensor"の"⋯"からアンインストールを押すことでアンインストールができます。

macOS

macOSでは

sudo /Applications/Falcon.app/Contents/Resources/falconctl uninstall